2011-08-07

Polkuja älykorttien kanssa osa 1 - tarve

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Polkuja älykorttien kanssa osa 1 - tarve

Sain aloitettua pitkäaikaisen haaveeni älykorttien
hyötykäytöstä. Koska minulla on kortinlukija, miksen käyttäisi
sitä, kun korttejakin on kertynyt taskuun iso pino.
Älykorttihan on luottokortin kokoinen ja näköinen kortti, jossa
on sisällä prosessori, muistia ja kontaktipinta, sellainen
kultainen chip, päällimmäisenä. Yritän tässä käydä läpi mitä
älykorteille kuuluu, miksi niitä ei ole käytössä ja miten
minun kohdalla älykortti voi toimia ja mitä hyötyä siitä on.
Tulen myös testaamaan omien sähköisten avaimieni siirtämistä
älykortille.

Minusta älykortteja pidetään jotenkin mystisenä kaikkivoipana
ratkaisuna kun puhutaan sähköisestä vahvasta tunnistuksesta tai
salaamisesta. Tottakai älykortti on vahvempi ja turvallisempi
tapa monessa paikassa, mutta käytettävyys kärsii usein
verrattuna tavalliseen käyttäjätunnus-salasanapariin ja
tarvitaan se salasana myös älykorttiin. Toisaalta seinästä on
saanut rahaa vuosikymmenet älykortilla ja sitä ennen
magneettinauhakortilla salasanan kanssa. Mikä siinä niin
vaikeaa on?

Vaikeus ei edes piileskele missään, vaan siihen törmää heti,
kun yrittää löytää tietokoneesta sitä paikkaa, johon sen kortin
työntäisi. Kotipäätelaitteita, johon sen kortin voi tunkea on
aika paljon. Korttityyppejäkin on monta. Kortinlukulaitteessa,
joka keskustelee älykortin kanssa, voi olla eri-ikäisiä
ohjelmistoja, samoin tietokoneessa voi olla eri ohjelmistoja ja
versioita tietokoneen ja lukijalaitteen väliseen yhteyteen.
Tämän kaiken jälkeen tieto, mikä saadaan turvallisesti ulos
kortista jää hyödyntämättä itse loppupalveluissa. Kuinka moneen
web-palveluun on mahdollista syöttää rekisteröityesssä
SATU-tunnus (SÄhköinen TUnnus), jotta HST-korttia voisi
hyödyntää esim. kirjautumiseen?

Turvallisuudesta puhuttaessa on sitten vielä määrittelykysymys
pitääkö avaimen, tässä älykortin kanssa käyttää salasanaa ja
täytyykö sen haltijalla vielä olla jokin biometrinen olemus
(sormenjäljet, käsiala, kasvonpiirteet), mutta termi "vahva
tunnistus" määrittelee, että käytetään ainakin kahta
ominaisuutta kolmen setistä 1) Omistus fyysiseen avaimeen tai
koodiin, 2) Salasana ja 3) Biometrinen ominaisuus. Moni
olisi valmis pelkkään yhden ominaisuuden käyttöön, kuten
joskus kulunvalvonta ja oven avaus RFID-avaimen kanssa.
Talon ympäri kulkiessa olisi aika turhauttavaa syöttää joka
pisteeseen pin-koodeja, mutta esim. ulko-ovella voidaan
käyttää numerosarjan kyselyä.


Voisiko käytön vähyys johtua siitä, että vaikka websivuja on
miljardeja ja niiden tekijöitä miljoonia, on palvelinalustoissa
jätetty tarjoamatta helppo tapa ottaa käyttöön kortit tai muut
henkilökohtaiset vahvat tunnisteet? Jos teet web-sivun tai
kirjoitat blogia, ei sinulla ole välttämättä mitään pääsyä
siihen osaan sivustoa, joka määrittelee pääsynvalvontaa. Tai
voi ollakin, riippuu vähän ohjelmistosta.

Kieltämättä korttejakaan ei ole monella käytössä, vielä
vähemmän kortinlukulaitteita, mutta ne joilla nämä on eivät
niitä pääse hyödyntämään. Harmin paikka. Otan siis
syystavoitteekseni, että siirrän ainakin osan minun
hallinnassani olevista tunnistuspalveluista älykortilla
toimivaksi vaikkakin vain todisteena, että se on mahdollista.
Sen jälkeen, kun olen kortenut kantanut muurahaiskekoon, voin
maukua vahvemmin siitä, miten maailma ei makaa niin kuin
pitäisi.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (Cygwin)
Comment: Use GnuPG with Firefox : http://firegpg.com (Version: 0.8)

iEYEARECAAYFAk4+sP8ACgkQfwlELCNtlAD+5wCfVtY7XiRagmCr8RVwRzEh5TpV
ohIAoIXJlq3WvHKdXK/64/rJcKPKIl1k
=IBaK
-----END PGP SIGNATURE-----