E-sim: één kaart voor printen, toegang en bellen?

Blogserie: de draadvrije campus van de toekomst

Tot nu toe zagen we de e-sim vooral als een provideronafhankelijke simkaart, voor in je telefoon dus. Maar technisch gezien is de e-sim een applet met simkaartfunctie op een smartcard. De e-sim maakt het mogelijk de functies van de simkaart te integreren met de smartcardfuncties waar onderwijs- en onderzoeksinstellingen nu al gebruik van maken, voor bijvoorbeeld student- en medewerkerpassen. Als zo’n smartcard geplaatst wordt in het simkaartslot van een telefoon, krijgt de gebruiker toegang tot het mobiele netwerk, en de apps op de telefoon kunnen ook gebruikmaken van die smartcard. Een wereld van mogelijkheden opent zich. We verwachten dat de e-sim een belangrijke component wordt voor onderwijs en onderzoek. Vandaar dat deze centraal staat in de derde blogpost over de draadvrije campus van de toekomst. Lees ook de eerste en tweede blog.

Simkaart en smartcard in één

We zien de e-sim eigenlijk niet meer als een simkaart ingebouwd in je telefoon, maar in de eerste plaats als een applet met simkaartfunctie op een smartcard. Onderwijs- en onderzoeksinstellingen gebruiken nu smartcards voor student- en medewerkerspassen. De e-sim maakt het mogelijk die smartcardfunctionaliteit uit te breiden met simkaartfunctionaliteit, en deze te integreren in de telefoon. Dit betekent dat apps die op je telefoon draaien, voor securityfuncties, gebruikmaken van de smartcard waar ook de e-sim op staat.

Voorbeeld van een studentenkaart die smartcard- en simkaartfuncties combineert.
Bron: website Universiteit Twente, nieuwsbericht 19-05-2016. Voorbeeld van een studentenkaart die smartcard- en simkaartfuncties combineert. Het simkaartgedeelte kan worden uitgedrukt en in een telefoon geplaatst.

De e-sim heeft eigen methodes voor beheer en onderhoud, die zijn voorgeschreven door de telecomindustrie. In de e-sim worden de telecomprofielen gezet voor telefonie, sms/m2m en datacommunicatie. Simkaarten maken nu ook al gebruik van profielen om gebruikers te authenticeren en telefoons op het goede mobiele netwerk te bedienen. Het verschil met de e-sim is dat deze flexibiliteit biedt: een profiel hoeft niet fabrieksmatig op een smartcard worden geplaatst maar kan daarop geüpload worden. En later weer vervangen door een profiel van een andere telecomprovider, waardoor gebruikers vanaf dat moment gebruik maken van het mobiele netwerk van die nieuwe provider.

Door een telecomprofiel te plaatsen op een smartcard die ook wordt gebruikt voor de technische functionaliteiten die de student- en medewerkerspas biedt, opent zich een wereld van geïntegreerde functionaliteiten. Op de smartcard kun je functies zetten die bijvoorbeeld toegang verstrekken tot gebouwen, printers, liften, koffieautomaten maar ook toegang tot eduroam kan geregeld worden. De applicaties op de telefoon besteden de securityfuncties dan uit aan de smartcard waar tevens de telecomprofielen op staan. Allerlei applets zijn mogelijk, dus het aantal mogelijke toepassingen is groot.

Schematische weergave van de smartcard waarop smartcard- en simkaartfuncties gecombineerd worden.
Schematische weergave van de smartcard waarop smartcard- en simkaartfuncties gecombineerd worden.

Betere beveiliging dan telefoon

Een smartcard kan worden gebruikt als een soort kluis om wachtwoorden te bewaren. Wat er feitelijk gebeurt: een applicatie op de telefoon stuurt een ‘challenge’ naar de applet op de smartcard. Die stuurt dan een response terug. Op basis van de juiste response wordt geconcludeerd dat de beveiliging goed is. Dit is veiliger dan het opslaan op je telefoon zelf: als iemand dan je telefoon vindt, kan hij er een brute-force op uitvoeren om je wachtwoord te kraken. Daarmee zou bijvoorbeeld je digitale identiteit (voor een applicatie) kunnen worden gestolen. Met een smartcard is dat veel moeilijker, omdat die speciaal is ontworpen en ingericht om te voorkomen dat anderen de geheime informatie kunnen achterhalen.

Naar een gezamenlijke security-architectuur

Om de ‘kluisfunctionaliteit’ van de smartcard goed te kunnen gebruiken, stelt SURF voor om daarvoor met de aangesloten instellingen een gezamenlijke hardwaresecurity-architectuur te ontwikkelen. In deze architectuur zijn de technische en functionele eisen aan de hardware (de smartcard) vastgelegd. Door die keuzes samen te maken, kun je leveranciers van bijvoorbeeld parkeergelegenheden, pasjes, printers, maar ook softwareontwikkelaars overtuigen om met die architectuur aan de slag te gaan. Dan kun je bijvoorbeeld goedkoper inkopen, en je hebt ook maar één pas (of je telefoon) nodig. Maar er is een belangrijker voordeel: doordat alle leveranciers voldoen aan de gezamenlijke architectuurspecificaties, kunnen we het hele systeem auditen op beveiligingsaspecten. Daarnaast kunnen we beter optreden bij beveiligingsproblemen: iedereen maakt gebruik van dezelfde architectuur, dus we kunnen centraal communiceren over oplossingen, bijvoorbeeld bij hacks.

Smartcard inbouwen… of niet

De smartcard zoals we hierboven beschrijven, kán in een telefoon ingebouwd worden (de ‘e’ in e-sim staat tenslotte voor ‘embedded’), maar dat hoeft niet. Hij kan ook geplaatst worden in andere typen apparaten (denk aan smartwatches, automaten, maar ook speelgoed). Door NFC-functionaliteit toe te voegen in de smartcard kun je hem plaatsen in een kaart van creditcardformaat die bijvoorbeeld dienst doet als de traditionele student- of medewerkerspas. Later kun je de smartcard alsnog als simkaart gebruiken: je verwijdert dan het smartcardgedeelte uit de pas, plaatst hem in het simkaartslot van een Androidtelefoon en pusht er een gebruikersprofiel voor communicatie naartoe. In de pilot die we eerder deden met de e-sim, lieten we zien dat de e-sim op een traditionele simkaart kan worden gezet, en niet noodzakelijk ingebouwd hoeft te zijn in de telefoon.

Voordeel van het plaatsen in een telefoon: in dat geval kan de smartcard altijd op afstand worden beheerd, zolang er maar een netwerkverbinding is. Het beheer verloopt gewoon via een user interface, applets kunnen bijvoorbeeld via een appletstore worden geïnstalleerd. De instelling kan dit centraal doen, binnen haar eigen securitydomein.

Lees ook

Auteur

Reacties

Dit artikel heeft 0 reacties