智能卡认证过程

Question

智能卡(例如公共交通卡)在一些国家被广泛用于大学和工作场所的认证，以便授权人只需将卡片放在读取器上即可使用打印机或进入房间。这究竟是如何运作的?在这种情况下，使用公共交通卡是否足够安全？在这种情况下，可以用银行卡代替公共交通卡吗？

Answer 1

哑卡的一个例子是那些在酒店里用来替换物理钥匙的卡。或者入境徽章。它们通常可以通过Proxmark、Proxmark pro甚至是支持NFC的智能手机来克隆。你可以说，它们不如物理钥匙安全，因为拥有便携设备(市场上很容易买到，而且可能已经存在于你的口袋里)并且离卡足够近的人可以复制一份。

说到非接触式，有相当多的标准。并非所有的卡在设计、密码能力方面都是一样的，而且它们并不都在相同的频率范围内工作。

让我谈谈这句话：

智能卡(例如公共交通卡)在一些国家被广泛用于大学和工作场所的认证，以便授权人只需将卡片放在读取器上即可使用打印机或进入房间。

您所描述的不是身份验证而是身份验证。因为你没有证明你是你所说的那个人(一个授权的用户)，例如，除了物理令牌之外，还提供了一个密码。任何人都可以借你的卡使用打印机。

这种区别可以简单地解释：

标识发生在用户(或任何主题)声明或声明身份时。这可以通过用户名、进程ID、智能卡或其他可以唯一标识主题的东西来实现.认证是证明身份的过程，当主体提供适当的凭证来证明自己的身份时，身份认证就会发生。例如，当用户提供带有用户名的正确密码时，密码证明用户是用户名的所有者。简而言之，身份验证提供了声称的身份证明。

来源：标识、身份验证和授权

有关更详细的讨论：身份验证与识别的区别[密码与安全视角]

至于“在这种情况下是否可以使用银行卡”的问题，答案可能是肯定的，但法律上的考虑可能是不容许的。如果我的雇主要求使用银行卡或芯片身份证进入打印机或洗手间，我国的数据保护当局就会介入，因为这样的计划是非法的。

除了法律上的考虑外，施罗德提出的赔偿责任方面也必须加以考虑。

Answer 2

巨大的免责声明，这是相当大的差异，由制造商的卡。这个答案是我的头绪，我希望有人可以给一个更好的一个通过一些研究。

哑铃卡

这种基本的非接触式卡只给出了它的ID号，例如通过RFID。读者在数据库中查找这一信息。这显然很容易被克隆。

PKI智能卡

这是不同的制造商，但基本的想法是，卡有RSA或ECDSA公钥(或证书)和私钥在其中。读取器将在数据库中查找您的公钥(或证书)，以了解您是谁，然后挑战该卡以证明它具有匹配的私钥。从概念上讲，读取器将创建一个随机字符串(名为nonce)，并要求卡片用其私钥对其进行数字签名。

这种卡的设计是为了防止克隆-卡永远不会释放它的私钥，并需要非常先进的反向工程，几乎字面上撕下它在晶体管水平。你可以读到关于密码侧信道攻击的文章。

它们还可以防止记录和重播攻击，因为每次读取器都会创建一个新的随机字符串，而由卡片生成的签名需要匹配。

EMV信用卡

我对EMV规范非常模糊，但我的理解是，它类似于PKI智能卡，但对于处理PIN却有一些额外的复杂性，而且您不一定相信卡与之交互的销售点终端。