Товары в корзине: 0 шт Оформить заказ
Стр. 1 

101 страница

Устанавливает: - содержание пар команда-ответ, передаваемых между устройством сопряжения и картой; - средства извлечения элементов данных и информационных объектов из карты; - структуры и содержание байтов предыстории для описания рабочих характеристик карт; - структуры для приложений и данных в карте, прослеживаемые на стыке между картой и устройством сопряжения при обработке команд; - методы доступа к файлам и данным, содержащимся в карте; - архитектуру безопасности, определяющую права доступа к файлам и данным, содержащимся в карте; - средства и механизмы для идентификации и способов адресации приложений, содержащихся в карте; - методы безопасного обмена сообщениями; - методы доступа к алгоритмам, обрабатываемым картой (исключая описание самих алгоритмов); Стандарт не распространяется на реализацию обмена данными внутри карты или внешнего устройства. Стандарт не зависит от технологии физического сопряжения. Он применяется к картам, имеющим доступ при помощи одного или нескольких следующих методов: контактов, поверхностного действия и радио частоты.

 Скачать PDF

Идентичен ISO/IEC 7816-4:2005

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Сокращения и обозначения

5 Организация обмена информацией

     5.1 Пары команда-ответ

     5.2 Информационные объекты

     5.3 Структуры приложений и данных

     5.4 Архитектура безопасности

6 Безопасный обмен сообщениями

     6.1 Поля SМ и информационные объекты SМ

     6.2 Основные информационные объекты SМ

     6.3 Вспомогательные информационные объекты SМ

     6.4 Влияние SМ на пары команда-ответ

7 Команды для обмена

     7.1 Выбор

     7.2 Обработка единицы данных

     7.3 Обработка записи

     7.4 Обработка информационного объекта

     7.5 Основные средства защиты

     7.6 Обработка передачи

8 Услуги карты, не зависимые от приложения

     8.1 Идентификация карты

     8.2 Идентификация и выбор приложения

     8.3 Выбор через путь

     8.4 Извлечение данных

     8.5 Извлечение элемента данных

     8.6 Строки байтов, образованные картой

Приложение А (справочное) Примеры идентификаторов объекта и схем распределения тегов

Приложение В (справочное) Примеры безопасного обмена сообщениями

Приложение С (справочное) Примеры функций AUTHENTICATE в командах GENERAL AUTHENTICATE

Приложение D (справочное) Идентификаторы приложений, использующие идентификационные номера эмитента

Приложение ДА (справочное)Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации

Библиография

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ



НАЦИОНАЛЬНЫЙ ГОСТ Р исо/мэк

СТАНДАРТ




ФЕДЕРАЦИИ 2013


Карты идентификационные

КАРТЫ НА ИНТЕГРАЛЬНЫХ СХЕМАХ


Часть 4


Организация, защита и команды для обмена

ISO/IEC 7816-4:2005 Identification cards — Integrated circuit cards —

Part 4: Organization, security and commands for interchange

(IDT)


Издание официальное


Москва

Стандартинформ

2014


Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Всероссийский научно-исследовательский институт стандартизации и сертификации в машиностроении» (ВНИИНМАШ) и Техническим комитетом по стандартизации ТК22 «Информационные технологии» на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. № 1630-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 7816-4:2005 «Карты идентификационные. Карты на интегральных схемах. Часть 4. Организация, защита и команды для обмена» (ISO/IEC 7816-4:2005 «Identification cards — Integrated circuit cards — Part 4: Organization, security and commands for interchange»), включая изменение A1:2008, которое выделено в тексте одинарной линией.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВЗАМЕН ГОСТ Р ИСО МЭК 7816-4—2004

6    Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в ГОСТ 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в годовом (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок— в ежемесячно издаваемом информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте национального органа российской Федерации по стандартизации в сети Интернет (gost.ru).

©Стандартинформ, 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

-    Расширенное поле Le состоит л ибо из трех байтов (один байт установлен на ‘00’, за которым следуют два байта с произвольным значением), если поле 1_е отсутствует, либо из двух байтов (с произвольным значением), если расширенное поле 1_е присутствует:

-    от ‘0001 ’ до ‘FFFF’. Эти два байта кодируют Ne от одного до 65535;

-    если два байта установлены на ‘0000’, то Ne равно 65536.

Nr обозначает число байтов в поле данных ответа. Nr должно быть меньше или равно Ne. Поэтому в любой паре команда-ответ отсутствие поля 1_е является обычным способом получения поля данных без ответа. Если поле 1_е содержит только установленные на ‘00’ байты, то значение Ne максимально, т. е. в пределах 256 для короткого поля Ц, или в пределах 65356 для расширенного поля 1_е, при этом все имеющиеся байты должны быть возвращены.

Если операция прерывается, то карта может стать невосприимчивой. Однако если возникает ответный APDU, то поле данных ответа должно отсутствовать и SW1-SW2 должны показывать ошибку.

Р1-Р2 указывают элементы управления и опции для обработки команд. Байт параметров, установленный на ‘00’ обычно не обеспечивает дальнейшее уточнение. Других общих правил для кодирования байтов параметров не существует.

Ниже установлены общие правила для кодирования байта класса CLA(cm. 5.1.1), командного байта INS (см. 5.1.2) и байтов состояний (см. 5.1.3). В этих байтах биты, зарезервированные для использования в будущем, должны быть установлены на 0, пока не будет определено иначе.

5.1.1 Байт класса

CLA указывает класс команды. С учетом требований, определенных в ИСО/МЭК 7816-3, значение ‘FF’ является недействительным. Бит 8 в CLA проводит различие между межотраслевым классом и проприетарным классом.

Бит 8, установленный на 0, указывает межотраслевой класс. Ниже определены значения ОООххххх и Olxxxxxx. Значения OOlxxxxx зарезервированы для использования в будущем ИСО/МЭК СТК1/ПК 17.

В таблице 2 значения ОООх хххх определены как первые межотраслевые значения:

-    Биты 8, 7 и 6 установлены на 000;

-    Бит 5 управляет сцеплением команд (см. 5.1.1.1);

-    Биты 4 и 3 указывают безопасный обмен сообщениями (см. 6);

-    Биты 2 и 1 кодируют номер логического канала от нуля до трех (см. 5.1.1.2).

Таблица 2 — Первые межотраслевые значения CLA

Ь8

Ь7

Ь6

Ь5

Ь4

ьз

Ь2

м

Смысловое содержание

0

0

0

X

_ _

_ _

Управление сцеплением команд (см. 5.1.1.1)

0

0

0

0

- Команда является последней или единственной командой в цепочке;

0

0

0

1

— —

— —

- Команда не является последней командой в цепочке

0

0

0

X

X

- -

Индикация безопасного обмена сообщениями:

0

0

0

0

0

— —

- Нет SM или SM не указан;

0

0

0

0

1

— —

- Проприетарный формат SM

0

0

0

1

0

- -

- SM в соответствии с 6, заголовок команды не обрабатывается в соответствии 6.2.3.1

0

0

0

1

1

- -

- SM в соответствии с 6, заголовок команды аутентифицирован в соответствии с 6.2.3.1

0

0

0

— —

X

X

Номер логического канала от нуля до трех (см. 5.1.1.2)

В таблице 3 значения Olxxxxxx определены как последующие межотраслевые значения:

-    Биты 8 и 7 установлены на 01;

-    Бит 6 указывает безопасный обмен сообщениями (см. 6);

-    Бит 5 управляет сцеплением команд (см. 5.1.1.1);

-    Биты с 4 по 1 кодируют число от нуля до пятнадцати; данное число плюс четыре — это номер логического канала от четырех до девятнадцати (см. 5.1.1.2).

ГОСТ Р ИСО/МЭК 7816-4—2013

Таблица 3 — Последующие межотраслевые значения CLA

Ь8

Ь7

Ь6

Ь5

Ь4

ьз

Ь2

м

Смысловое содержание

0

1

X

_

_

_

_

_

Индикация безопасного обмена сообщениями:

0

1

0

- Нет SM или SM не указан;

0

1

1

- SM в соответствии с 6, заголовок команды не обрабатывается в соответствии 6.2.3.1

0

1

X

Управление сцеплением команд (см. 5.1.1.1)

0

1

0

- Команда является последней или единственной командой в цепочке;

0

1

1

- Команда не является последней командой в цепочке

0

1

X

X

X

X

Номер логического канала от четырех до девятнадцати

(см. 5.1.1.2)

Бит 8, установленный на 1, указывает проприетарный класс, за исключением значения ‘FF’, которое является недействительным. Контекст приложения определяет остальные биты.

5.1.1.1    Управление сцеплением команд

Данный раздел определяет механизм, при помощи которого в межотраслевом классе последовательные пары команда-ответ могут быть соединены в цепочку. Данный механизм может быть использован при выполнении многоступенчатой операции, например, передачи слишком длинной для одной команды строки данных.

Если карта поддерживает этот механизм, то это должно быть указано (см. таблицу 88, третья таблица программных функций) в байтах предыстории (см. 8.1.1) или в EF.ATR (см. 8.2.1.1).

Настоящий стандарт определяет поведение карты только в тех случаях, когда цепочка, один раз инициированная, прерывается до инициализации пары команда-ответ, не являющейся частью цепочки. В другом случае поведение карты стандартом не определено.

Для сцепления в межотраслевом классе должен использоваться бит 5 в CLA, пока остальные семь бит остаются постоянными.

-    Если бит 5 установлен на 0, то команда является последней или единственной командой в цепи;

-    Если бит 5 установлен на 1, то команда не является последней командой в цепочке.

В ответе на команду, которая не является последней командой в цепочке, SW1-SW2, установленные на ‘9000’, означают, что операция к настоящему времени завершена; предупредительная индикация запрещена (см. 5.1.3), кроме того, могут происходит следующие специфические состояния ошибки:

-    Если SW1-SW2 установлены на ‘6883’, то ожидается последняя команда в цепочке;

-    Если SW1-SW2 установлены на ‘6884’, то сцепление команд не поддерживается.

5.1.1.2    Логические каналы

В настоящем разделе определен механизм, посредством которого в межотраслевом классе пара команда-ответ может обратиться к логическим каналам.

Если карта поддерживает механизм, то она должна указывать максимальное число доступных каналов (см. таблицу 88, третья таблица программных функций) в байтах предыстории (см. 8.1.1) или в EF.ATR (см. 8.2.1.1).

Если указанное картой число доступных каналов? четыре ил и меньше, то следует применять таблицу 2.

Если указанное картой число доступных каналов ? пять или более, то следует применять еще таблицу 3.

Для обращения к логическим каналам в межотраслевом классе следует применять следующие правила:

-    CLA кодирует номер канала пары команда-ответ;

-    основной канал должен быть постоянно доступен, т. е. он не может быть закрыт. Ему присваивается нулевой номер;

-    карты, не поддерживающие данный механизм (по умолчанию), должны использовать только основной канал;

-любой другой канал может быть открыт при завершении либо команды SELECT (см. 7.1.1), при этом CLA кодирует номер еще не использованного канала, либо команды MANAGE CHANNEL с функцией открытия (см. 7.1.2);

7

-    любой другой канал может быть закрыт при завершении команды MANAGE CHANNEL с функцией закрытия. После закрытия канал становится доступным для повторного использования;

-    только один канал должен быть активен единовременно. Использование логических каналов не снимает запрет чередования пар команда-ответ на стыке интерфейса, т. е. ответный APDU должен быт получен до инициализации другой пары команда-ответ (см. 5.1);

-для одной и той же структуры можно открыть более одного канала (см. 5.3), т. е. для DF, и возможно для DF приложения, а также возможно и для EF, если это явно не исключено байтом описателя файла (см. таблицу 14).

Каждый логический канал имеет свое состояние защиты (см. 5.4). Метод распределения состояний защиты выходит за рамки настоящего стандарта.

5.1.2 Командный байт

INS указывает команду для обработки. Учитывая положения ИСО/МЭК 7816-3, значения ‘6Х’ и ‘9Х’ являются недействительными.

В таблице 4 приведены все команды, указанные в ИСО/МЭК 7816 на момент публикации.

В таблице 4.1 приведены наименования команд в алфавитном порядке.

В таблице 4.2 приведены коды INS числовом порядке.

Наименование команды

INS

Cm.

ACTIVATE FILE

'44'

Раздел 9

APPEND RECORD

CM

Ш

7.3.7

CHANGE REFERENCE DATA

'24'

7.5.7

CREATE FILE

m

о

Раздел 9

DEACTIVATE FILE

'04'

Раздел 9

DELETE FILE

m

-p^

Раздел 9

DISABLE VERIFICATION REQUIREMENT

'26'

7.5.9

ENABLE VERIFICATION REQUIREMENT

'28'

7.5.8

ENVELOPE

'C2', 'C3'

7.6.2

ERASE BINARY

'OE'.'OF

7.2.7

ERASE RECORD(S)

'0C

7.3.8

EXTERNAL (/MUTUAL) AUTHENTICATE

'82'

7.5.4

GENERAL AUTHENTICATE

'86', '87'

7.5.5

GENERATE ASYMMETRIC KEY PAIR

'46'

Раздел 8

GET CHALLENGE

'84'

7.5.3

GET DATA

'CA, 'CB'

7.4.2

GET RESPONSE

'CO'

7.6.1

INTERNAL AUTHENTICATE

'88'

7.5.2

MANAGE CHANNEL

'70'

7.1.2

MANAGE SECURITY ENVIRONMENT

'22'

7.5.11


Таблица 4.1 — Команды в алфавитном порядке    Таблица 4.2 — Команды в числовом порядке

INS

Наименование команды

Cm.

'04'

DEACTIVATE FILE

Раздел 9

'ОС'

ERASE RECORD(S)

7.3.8

■0Е', '0F'

ERASE BINARY

7.2.7

'10'

PERFORM SCQL OPERATION

Раздел 7

'12'

PERFORM TRANSACTION OPERATION

Раздел 7

'14'

PERFORM USER OPERATION

Раздел 7

'20', '21'

VERIFY

7.5.6

'22'

MANAGE SECURITY ENVIRONMENT

7.5.11

'24'

CHANGE REFERENCE DATA

7.5.7

'26'

DISABLE VERIFICATION REQUIREMENT

7.5.9

'28'

ENABLE VERIFICATION REQUIREMENT

7.5.8

'2А

PERFORM SECURITY OPERATION

Раздел 8

'2С

RESET RETRY COUNTER

7.5.10

'44'

ACTIVATE FILE

Раздел 9

'46'

GENERATE ASYMMETRIC KEY PAIR

Раздел 8

'70'

MANAGE CHANNEL

7.1.2

'82'

EXTERNAL (/ MUTUAL) AUTHENTICATE

7.5.4

'84'

GET CHALLENGE

7.5.3

'86', '87'

GENERAL AUTHENTICATE

7.5.5

'88'

INTERNAL AUTHENTICATE

7.5.2

ГОСТ Р ИСО/МЭК 7816-4—2013

Окончание таблицы 4.1

Окончание таблицы 4.2

Наименование команды

INS

См.

INS

Наименование команды

Cm.

PERFORM SCQL OPERATION

'10'

Раздел 7

'АО'/АГ

SEARCH BINARY

7.2.6

PERFORM SECURITY OPERATION

'2А'

Раздел 8

A2'

SEARCH RECORD

7.3.7

PERFORM TRANSACTION OPERATION

'12'

Раздел 7

1

А4'

SELECT

7.1.1

PERFORM USER OPERATION

'14'

Раздел 7

'ВО', 'В1'

READ BINARY

7.2.3

PUT DATA

'DA', 'DB'

7.4.3

'В2', 'ВЗ'

READ RECORD (S)

7.3.3

READ BINARY

'ВО', 'В1'

7.2.3

'СО'

GET RESPONSE

7.6.1

READ RECORD (S)

'В2', 'ВЗ'

7.3.3

'С2', 'СЗ'

ENVELOPE

7.6.2

RESET RETRY COUNTER

■2С

7.5.10

'СА', 'СВ'

GET DATA

7.4.2

SEARCH BINARY

АО'/АГ

7.2.6

'DO', 'D1'

WRITE BINARY

7.2.6

SEARCH RECORD

'А2'

7.3.7

'D2'

WRITE RECORD

7.3.4

SELECT

■А4'

7.1.1

'D6', 'D7'

UPDATE BINARY

7.2.5

TERMINATE CARD USAGE

'FE'

Раздел 9

'DA', 'DB'

PUT DATA

7.4.3

TERMINATE DF

■Е6'

Раздел 9

'DC', 'DD'

UPDATE RECORD

7.3.5

TERMINATE EF

СО

ш

Раздел 9

■E0'

CREATE FILE

Раздел 9

UPDATE BINARY

'D6', 'D7'

7.2.5

'E2'

APPEND RECORD

7.3.6

UPDATE RECORD

'DC', 'DD'

7.3.5

'E4'

DELETE FILE

Раздел 9

VERIFY

'20', '21'

7.5.6

'E6'

TERMINATE DF

Раздел 9

WRITE BINARY

'DO', 'D1'

7.2.4

CO

LU

TERMINATE EF

Раздел 9

WRITE RECORD

CM

p

7.3.4

'FE'

TERMINATE CARD USAGE

Раздел 9

Примечание — В межотраслевом классе любой недействительный код INS, который не определен в серии ИСО/МЭК 7816, зарезервирован для использования в будущем ИСО/МЭК СТК 1 /ПК 17.

Серия стандартов ИСО/МЭК 7816 определяет использование этих команд для межотраслевого класса.

-    Настоящий стандарт (см. 7) определяет команды для обмена информацией;

-    ИСО/МЭК 7816-7 [4] определяет команды языка структурированных запросов для карт (SCQL);

-    ИСО/МЭК 7816-8 [4] определяет команды для операций по защите информации;

-    ИСО/МЭК 7816-9 [4] определяет команды для управления картами.

В межотраслевом классе бит 1 в INS указывает следующий формат поля данных:

-    если бит 1 установлен на 0 (четный код INS), то никаких указаний не предусмотрено;

-    если бит 1 установлен на 1 (нечетный код INS), то кодирование BER-TLV (см. 5.2.2) должно применяться следующим образом:

-    в несцепленных командах с SW1, не установленным в ‘61', поля данных, если имеются, должны быть закодированы в BER-TLV;

-    сцепление команд и/или использование SW1, установленного на ‘61', позволяет сделать передачу слишком длинной строки данных за одну команду. Такая операция позволяет разделить информационные объекты на поля данных, которые посылаются в виде последовательности в одном направлении, т.е. в обратном направлении поле данных не посылают. При сцеплении команд и/или использовании SW1, установленного на ‘61 ’, сцепление всех последовательных полей данных в том же направлении той же последовательности должно быть закодировано в BER-TLV.

9

5.1.3 Байты состояний

SW1-SW2 указывают состояния обработки. Учитывая положения ИСО/МЭК 7816 любые значения, отличные от ‘6ХХХ’ и ‘9ХХХ’ являются недействительными; любые значения ‘60ХХ’ являются также недействительными.

Значения ‘61XX’, ‘62ХХ’, ‘63ХХ’, ‘64ХХ’, ‘65ХХ’, ‘66ХХ’, ‘68ХХ’, ‘69ХХ’, ‘6АХХ’ и ‘6СХХ’ являются межотраслевыми. Учитывая положения ИСО/МЭК 7816-3, значения ‘67ХХ’, ‘6ВХХ’, ‘6DXX’, ‘6ЕХХ’, ‘6FXX’ и ‘9ХХХ’ являются проприетарными, за исключением значений ‘6700’, ‘6В00’, ‘6D00’, ‘6Е00’, ‘6F00’ и ‘9000’, которые являются межотраслевыми.

На рисунке 1 показана структурная схема значений ‘9000’ и от ‘61ХХ’до ‘6FXX’ для SW1-SW2.

SW1-SW2

-1-1-

Процесс завершен    Процесс    прерван

Нормальная    Обработка    Ошибка    Ошибка

обработка    с    предупреждением    выполнения    контроля

‘9000’и‘61ХХ’    ‘62ХХ’    и    ‘63ХХ’    ‘64ХХ'    и    66ХХ'    ‘67ХХ’    и    ‘6FXX’

Рисунок 1 — Структурная схема значений SW1-SW2

В таблице 5 перечислены межотраслевые значения SW1-SW2 и представлено их общее смысловое содержание. ИСО/МЭК СТК1 /ПК17 зарезервировал для использования в будущем межотраслевые значения SW1-SW2, не определенные в серии ИСО/МЭК 7816.

Таблица 5 — Общее смысловое содержание межотраслевых значений SW1-SW2

Состояние обработки

SW1-SW2

Смысловое содержание

Нормальная

'9000'

Нет дальнейшего уточнения

обработка

'61ХХ'

Байт SW2 кодирует число еще доступных байтов данных (см. текст ниже)

'62ХХ'

Состояние энергонезависимой памяти без изменений (дальнейшее уточ-

Обработка

нение в SW2)

с предупреждением

'63ХХ'

Состояние энергонезависимой памяти изменено (дальнейшее уточнение в SW2)

'64ХХ'

Состояние энергонезависимой памяти без изменений (дальнейшее уточ-

Ошибка

нение в SW2)

выполнения

'65ХХ'

Состояние энергонезависимой памяти изменено (дальнейшее уточнение в SW2)

'66ХХ'

Для сообщений, связанных с безопасностью

'6700'

Неверно указанная длина (нет дальнейшего уточнения)

'68ХХ'

Функции, указанные в байте CLA, не поддерживаются (дальнейшее уточнение в SW2)

'69ХХ'

Команда не разрешена (дальнейшее уточнение в байте SW2)

'6АХХ1

Неверно указанный(е) параметр(ы) Р1-Р2 (дальнейшее уточнение в байте SW2)

Ошибка контроля

'6В00'

Неверно указанный(е) параметр(ы) Р1-Р2

'6СХХ

Неверно указанное поле Le: байт SW2 кодирует точное число доступных байтов данных (см. текст ниже)

'6D00'

Командный код не поддерживается или недействителен

'6Е00'

Класс не поддерживается

'6F00'

Нет точной диагностики

ГОСТ Р ИСО/МЭК 7816-4—2013

Если процесс прерван со значением SW1 от ‘64' до ‘6F’, то поле данных ответа должно отсутствовать.

Если SW1 установлен в ‘63' или ‘65', то состояние энергонезависимой памяти будет изменено. Если SW1 установлен в ‘6Х', за исключением ‘63' и ‘65', то состояние энергонезависимой памяти будет без изменений.

В ответе на команду, которая не является последней командой в цепочке (см. 5.1.1.1) межотраслевая индикация предупреждения не допускается (см. ИСО/МЭК 7816-3), т. е. SW1 не должен быть установлен ни на ‘62’, ни на ‘63’.

Два межотраслевых значения SW1 зависят от протокола передачи:

-    если SW1 установлен на ‘61 ’, то процесс будет завершен; до выдачи какой-либо команды, команда GET RESPONSE может быть выдана с тем же CLA и с использованием SW2 (число еще доступных байтов данных) в качестве короткого поля 1_е;

-    если SW1 установлен на ‘6C, то процесс будет прерван; до выдачи какой-либо команды та же команда может быть повторно выдана с использованием SW2 (точное число доступных байтов данных) в качестве короткого поля 1_е.

В таблице 6 перечислены специфические межотраслевые состояния предупреждения и состояния ошибок, используемые в серии ИСО/МЭК 7816.

Таблица 6 — Специфические межотраслевые состояние предупреждения и состояний ошибок

SW1

SW2

Смысловое содержание

‘62’

‘00’

Информация не предоставлена

(предупреждение)

От ‘02’ до ‘80’

Активация карты (см. 8.6.1)

‘81’

Часть выдаваемых данных может быть искажена

‘82’

Конец файла или записи достигнут до считывания Ne байтов

‘83’

Выбранный файл недействителен

‘84’

Контрольная информация файла не форматирована по 5.3.3

‘85’

Выбранный файл в стадии завершении

‘86’

Нет входных данных на карту, полученных от датчиков

‘87’

Как минимум одна запись деактивирована

‘63’

‘00’

Информация не предоставлена

(предупреждение)

‘81’

Файл заполнен при последней операции записи

СХ’

Счетчик от 0 до 15, кодированный ‘X’ (точное смысловое содержание зависит от команды)

‘64’

‘00’

Ошибка выполнения

(ошибка)

‘01’

Непосредственный ответ, требуемый картой

От ‘02’ до ‘80’

Активация карты (см. 8.6.1)

‘65’

‘00’

Ошибка выполнения

(ошибка)

‘81’

Отказ памяти

‘68’

‘00’

Информация не предоставлена

(ошибка)

‘81’

Логический канал не поддерживается

‘82’

Безопасный обмен сообщениями не поддерживается

‘83’

Ожидается последняя команда в цепочке

‘84’

Сцепление команд не поддерживается

‘69’

‘00’

Информация не предоставлена

(ошибка)

‘81’

Команда несовместима со структурой файла

‘82’

Состояние защиты неудовлетворительное

‘83’

Метод аутентификации заблокирован

‘84’

Ссылочные данные не используются

‘85’

Условия использования не удовлетворены

‘86’

Команда невозможна (нет текущего EF)

‘87’

Пропадание ожидаемых информационных объектов, связанных с безопасным обменом сообщениями

‘88’

Информационные объекты, связанные с безопасным обменом сообщениями, некорректны

Окончание таблицы 6

SW1

SW2

Смысловое содержание

‘69’

‘00’

Информация не предоставлена

(ошибка)

‘80’

Некорректные параметры в поле данных команды

‘81’

Функция не поддерживается

‘82’

Файл или приложение не найдены

‘83’

Запись не найдена

‘84’

Область памяти в файле недостаточна

‘85’

Nc не согласуется со структурой TLV

‘86’

Некорректные параметры Р1-Р2

‘87’

Nc не согласуется с параметрами Р1-Р2

‘88’

Ссылочные или ссылаемые данные не найдены (точное смысловое

содержание зависит от команды)

‘89’

Файл уже существует

‘8А’

Имя DF уже существует

Примечание — Любое другое значение SW2 зарезервировано для использования в будущем

ИСО/МЭК СТК1/ПК 17

5.2 Информационные объекты

Каждое поле данных или сцепление полей данных, если оно(они)закодировано(ы) в TLY, представляет собой последовательность информационных объектов. В данном разделе определены две категории информационных объектов: информационные объекты SIMPLE-TLV и информационные объекты BER-TLV.

5.2.1    Информационный объект SIMPLE-TLV

Каждый информационный объект SIMPLE-TLV должен состоять из двух или трех последовательных полей: обязательного поля тега, обязательного поля длины и условного поля значения. Записью (см. 7.3.1) может быть информационный объект SIMPLE-TLV.

Поле тега состоит из одиночного байта, кодирующего номер тега от 1 до 254. Значения ‘00’ и ‘FF’ являются недействительными для поля тега. Если записью является информационный объект SIMPLE-TLV, то тег может использоваться как идентификатор записи.

Поле длины состоит из одного или трех последовательных байтов:

-    если первый байт не установлен в ‘FF’, то поле длины состоит из одиночного байта, кодирующего число от нуля до 254 и обозначается как N;

-если первый байт установлен в ‘FF’, то поле длины продолжается последующими двумя байтами со значениями, кодирующими число от нуля до 65535 и обозначается как N.

Если N равно нулю, то поле значения отсутствует, т.е. информационный объект является пустым. В противном случае (N > 0), поле значения состоит из N последовательных байтов.

5.2.2    Информационный объект BER-TLV

Каждый информационный объект BER-TLV состоит из двух или трех последовательных полей (см. базовые правила кодирования АСН.1 по ИСО/МЭК 8825-1): обязательного поля тега, обязательного поля длины и условного поля значения:

Поле тега состоит из одного или большего числа последовательных байтов. Оно указывает класс и кодирование и кодирует номер тега. Значение ‘00’ является недействительным для первого байта полей тега (см. ИСО/МЭК 8825-1).

Поле длины состоит из одного или большего числа последовательных байтов. Оно кодирует длину, т.е. число N.

Если N равно нулю, то поле значения отсутствует, т.е. информационный объект является пустым. В противном случае (N > 0), поле значения состоит из N последовательных байтов.

5.2.2.1 Поля тегов BER-TLV

Стандарты серии ИСО/МЭК 7816 поддерживают поля тегов из одного, двух или трех байтов; более длинные поля тегов зарезервированы для использования в будущем.

Биты 8 и 7 первого байта поля тега указывают класс:

-    значение 00 указывает информационный объект универсального класса;

-    значение 01 указывает информационный объект класса приложения;

ГОСТ Р ИСО/МЭК 7816-4—2013

-    значение 10 указывает информационный объект контекстно-зависимого класса;

-    значение 11 указывает информационный объект приватного класса.

Бит 6 первого байта поля тега указывает кодирование:

-    значение 0 указывает простое кодирование информационного объекта, т. е. поле значения не кодировано в BER-TLV;

-    значение 1 указывает составное кодирование информационного объекта, т. е. поле значения кодировано в BER-TLV.

Если биты с 5 по 1 первого байта поля тега не все установлены в состояние 1, то они должны кодировать номер тега от нуля до тридцати, при этом поле тега состоит из единственного байта.

В противном случае (биты с 5 по 1 установлены в состояние 1) поле тега должно продолжаться на один или большее число последующих байтов:

-    бит 8 каждого последующего байта, за исключением последнего байта, должен быть установлен в состояние 1;

-    биты с 7 по 1 первого последующего байта не должны быть все установлены в состояние 0;

-    биты с 7 по 1 первого последующего байта, сцепленные с битами с 7 по 1 каждого из остальных последующих байтов, включая биты с 7 по 1 последнего байта, должны кодировать номер тега.

В таблице 7 показаны первые байты поля тега. Значение ‘00' является недействительным.

Таблица 7 — Первый байт BER-TLV полей тегов по ИСО/МЭК 7816.

Ь8

Ь7

Ь6

Ь5

Ь4 ЬЗ Ь2

ы

Смысловое содержание

0

0

- - -

Универсальный класс, не определенный в ИСО/МЭК 7816

0

1

— — —

Класс приложения, идентификация определена в настоящем стандарте

1

0

— — —

Контекстно-зависимый класс, определен в ИСО/МЭК 7816

1

1

— — —

Приватный класс, не определен в ИСО/МЭК 7816

0

0

0 0 0

0

Простое кодирование

1

— — —

Составное кодирование

Не все байты установлены в состояние 1

Номер тега от нуля до тридцати (короткое поле тега, т. е. единичный байт)

1

1 1 1

1

Номер тега больше тридцати (длинное поле тега, т. е. два или три байта)

В полях данных, кодированных в BER-TLV, байты, установленные в ‘00’, могут присутствовать до, между или после информационных объектов (например, за счет удаления или изменения информационных объектов в пределах EF, поддерживающего единицу данных). Такое заполнение запрещено в пределах полей значения составных информационных объектах и называется в ИСО/МЭК 7816 «шаблонами».

Если байт кодирования данных присутствует в байтах предыстории (см. 8.1.1) или в EF.ATR (см. 8.2.1.1) или в контрольной информации какого-либо файла (см. тег‘82 ’ в таблице 12), то этот байт (см. таблицу 87) указывает, является ли значение ‘FF’:

-    действительным для первого байта длинного поля тега приватного класса, составного кодирования (заданного в явном виде), или

-    недействительным для первого байта полей тегов (значение по умолчанию), т.е. используется для аналогичного назначения (заполнения) и при тех же условиях, что и значение ‘00’.

В полях тега двух или более байтах значения от ‘00’ до ‘1Е’ и ‘80’ являются недействительными для второго байта.

-    В двухбайтных полях тега второй байт состоит из бита 8, установленного в состояние 0, и битов с 7 по 1, кодирующих число, большее тридцати. Второй байт имеет значения от ‘1F’ до ‘7F’; номер тега — от 31 до 127.

-    В трехбайтовых полях тега второй байт состоит из бита 8, установленного в состояние 1, и битов с 7 по 1, не все их которых установлены в состояние 0; третий байт состоит из бита 8, установленного в состояние 0, и битов с 7 по 1, принимающих любые значения. Второй байт принимает значения от ‘81 ’ до ‘FF’, а третий байт — от ‘00’ до ‘7F’; номер тега принимает значения от 128 до 16383.

13

5.2.2.2 Поля длины BER-TLV

В коротком формате поле длины состоит из единичного байта, в котором бит 8 установлен в состояние 0, а биты с 7 по 1 кодируют число байтов в поле значения. Таким образом, одним байтом может быть закодировано любое число от нуля до 127.

Примечание — Любое число от одного до 127 кодируется в поле длины BER-TLV так же, как в полях Lc и Le. Кодирование отличается для ноля, 128 и более. Для примера см. кодирование информационных объектов в команде GET DATA в 7.4.2

В длинном формате поле длины состоит из двух или более байтов. Бит 8 первого байта установлен в состояние 1, а биты с 7 по 1 не должны быть все равны, таким образом происходит кодирование последующих байтов в поле длины. Эти последующие байты должны кодировать число байтов в поле значения.

В стандартах серии ИСО/МЭК 7816 не используют «неопределенную длину», указанную базовыми правилами кодирования АСН.1.

В стандартах серии ИСО/МЭК 7816 поддерживаются поля длины из одного, двух,... до пяти байтов (см. таблицу 8). В ИСО/МЭК 7816 значения ‘80’ и от ‘85’ до ‘FF’ являются недействительными для первого байта полей длины.

Таблица 8 — Поля длины BER-TLV по ИСО/МЭК 7816

Iй байт

2й байт

3й байт

4й байт

5й байт

N

1 байт

От ‘00’ до ‘7F’

От 0 до 127

2 байта

‘81’

От ‘00’ до ‘FF’

От 0 до 255

3 байта

‘82’

От ‘0000’ до ‘FFFF’

От 0 до 65535

4 байта

‘83’

От ‘000000’ до ‘FFFFFF’

ОтОдо 16777215

5 байтов

‘84’

От ‘00000000’ до ‘FFFFFFFF’

От 0 до 4294967295

5.2.3    Поля данных, поля значений, информационные объекты и элементы данных

Каждое поле данных команды или ответа может быть закодировано в BER-TLV, например в паре команда-ответ, где CLA указывает безопасный обмен сообщениями (см. 6) или где бит 1 в INS установлен в состояние 1 (нечетный код INS, см. 5.1.2).

- Любой информационный объект BER-TLV обозначается {T-L-V} с полем тега, за которым следует поле длины, кодирующее число. В зависимости от того является ли число нулевым или нет, поле значения отсутствует (пустой информационный объект) или присутствует.

-Любой составной информационный объект обозначается {T-L-{T1-L1 -VI}... -{Tn-Ln-Vn}} с полем тега, за которым следует поле длины, кодирующее число. Если число не является нулевым, то поле значения составного информационного объекта, т. е. шаблона, состоит из одного или более информационных объектов BER-TLV, каждый их которых состоит из поля тега, поля длины, кодирующего число, и если это число является нулевым, то из поля значения.

Некоторые поля данных, например команды для работы с единицами данных (см. 7.2), поля значений информационный объектов SIMPLE-TLV и поля значений некоторых простых информационных объектов состоят из элементов данных в соответствии с характеристиками команд или в соответствии с тегом информационного объекта.

Некоторые поля данных, например команды для работы с записями (см. 7.3) и поля значений некоторых простых информационных объектов BER-TLV состоят из информационных объектов SIMPLE-TLV.

Некоторые поля данных, например команды для работы с информационными объектами (см. 7.4) и поля значений составных информационных объектов BER-TLV, т. е. шаблонов, состоят из информационных объектов BER-TLV.

5.2.4    Идентификация элементов данных

Идентификация элементов данных основывается на следующих принципах:

1) Если число битов, представляющих элемент данных, не кратно восьми, то преобразование в байт или строку байтов должно быть указано в контексте соответствующего элемента данных. Если не указано иное, соответствующее число бит должно быть установлено на 1 в последнем байте, начиная с бита 1.

ГОСТ Р ИСО/МЭК 7816-4—2013

2)    На стыке интерфейса между картой и устройством сопряжения элемент данных обычно присутствует в поле значения информационного объекта BER-TLV.

3)    Для обеспечения поиска и обращения к элементу данных при обмене информацией, он должен быть связан с тегом информационного объекта BER-TLV и может быть сформирован в этом информационном объекте.

4)    Обращение к элементу данных может осуществляться через непосредственно связанный с ним тег BER-TLV. Элемент данных может быть связан с другим элементом данных, который устанавливает контекст, к которому он принадлежит.

5)    Один или несколько информационных объектов «команда на выполнение» могут непосредственно ссылаться на элемент данных.

6)    При наличии, информационные объекты универсального класса (первый байт от ‘ОТ до ‘3F’) принимают общее значение.

7)    Все информационные объекты класса приложения (первый байт от ‘40’ до ‘7F’) являются межотраслевыми до тех пор, пока не будет указано иное. Настоящий стандарт и другие стандарты серии ИСО/МЭК 7816 выделяют теги для класса приложения. Каждый тег класса приложения, не определенный в серии ИСО/МЭК 7816 зарезервирован ИСО/МЭК СТК1 /ПК 17.

8)    В настоящем стандарте определено множество межотраслевых элементов данных. В дополнение к определенным далее межотраслевым элементам данных, стандарты серии ИСО/МЭК 7816 содержат исчерпывающий перечень межотраслевых элементов данных, определенных в ИСО/МЭК 7816.

9)    В карте может быть несколько одинаковых межотраслевых информационных объектов.

10)    В поле данных команды и ответа все информационные объекты контекстно-зависимого класса (первый байт от ‘80’ до ‘BF’) должны быть вложены в межотраслевые шаблоны, за исключением контрольной информации файла (см. 5.3.3) и безопасного обмена сообщениями (см. 6).

11)    В последующих разделах (см. приложение А) определена схема распределения тегов для идентификации межотраслевых информационных объектов в полях данных. Эти схемы распределения тегов, используемые для идентификации межотраслевых информационных объектов, показаны в таблице 9 для уведомления органа, ответственного за распределение тегов.

Таблица 9 — Межотраслевые информационные объекты для органа распределения тегов

Тег

Смысловое значение

‘06’

Идентификатор объекта (кодирование определено в ИСО/МЭК 8825-1, см. примеры в приложении А)

‘41’

Код страны (кодирование определено в ИСО 3166 [1]) и, дополнительные национальные данные

‘42’

Идентификационные номер эмитента (кодирование и регистрация определены в ИСО/МЭК 7812-1 [3]) и, дополнительные данные эмитента

‘4F’

Идентификатор приложения (AID, кодирование определено в 8.2.1.2)

5.2.4.1 Совместимая схема распределения тегов

Эти схемы распределения тегов используют межотраслевые информационные объекты и дополнительные информационные объекты.

Эти дополнительные информационные объекты должны быть вложены в межотраслевые шаблоны, связанные с тегами от 70' до 77' (за исключением тега 73’, зарезервированного для проприетарных инфор-мационых объектов, см. 5.2.4.3). Содержание тегов класса приложения в пределах этих шаблонов настоящий стандарт и стандарты серии ИСО/МЭК 7816 не определяют, за исключением тегов ‘41 ’, ‘42’ и ‘4F’ для идентификации органа распределения тегов, как показано в таблице 9.

Использование контекстно-зависимого класса (первый байт от ‘80’ до ‘BF’) в пределах межотраслевых шаблонов с тегами ‘65’ (данные, относящиеся к держателю карты), ‘66’ (данные карты), ‘67’ (аутентификационные данные) и ‘6Е’ (данные, относящиеся к приложению) не рекомендуется.

15

ГОСТ Р ИСО/МЭК 7816-4—2013

Содержание

1    Область применения....................................... 1

2    Нормативные ссылки....................................... 1

3    Термины и определения...................................... 2

4    Сокращения и обозначения.................................... 4

5    Организация обмена информацией................................ 5

5.1    Пары команда-ответ...................................... 5

5.2    Информационные объекты................................... 12

5.3    Структуры приложений и данных............................... 16

5.4    Архитектура безопасности................................... 23

6    Безопасный обмен сообщениями................................. 31

6.1    Поля SM и информационные объекты SM........................... 31

6.2    Основные информационные объекты SM........................... 33

6.3    Вспомогательные информационные объекты SM....................... 35

6.4    Влияние SM на пары команда-ответ.............................. 41

7    Команды для обмена....................................... 42

7.1    Выбор............................................. 42

7.2    Обработка единицы данных.................................. 45

7.3    Обработка записи....................................... 48

7.4    Обработка информационного объекта............................. 57

7.5    Основные средства защиты.................................. 60

7.6    Обработка передачи..................................... 68

8    Услуги карты, не зависимые от приложения............................ 69

8.1    Идентификация карты..................................... 69

8.2    Идентификация и выбор приложения............................. 73

8.3    Выбор через путь....................................... 77

8.4    Извлечение данных...................................... 77

8.5    Извлечение элемента данных................................. 77

8.6    Строки байтов, образованные картой............................. 79

Приложение А (справочное) Примеры идентификаторов объекта и схем распределения тегов ...    81

Приложение В (справочное) Примеры безопасного обмена сообщениями............. 83

Приложение С (справочное) Примеры функций AUTHENTICATE в командах GENERAL AUTHENTICATE ....................................... 89

Приложение D (справочное) Идентификаторы приложений, использующие идентификационные номера эмитента................................... 93

Приложение ДА (справочное)Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации............. 94

Библиография............................................ 95

Для идентификации совместимой схемы распределения тегов и органа, ответственного за эту схему, может быть использован межотраслевой шаблон, связанный с тегом ‘78’. При наличии, такой шаблон должен содержать один из межотраслевых информационных объектов, показанных в таблице 9, для идентификации органа распределения тегов.

-    Если тег 78’ имеется в строке начальных данных (см. 8.1.2) или в EF.ATR, то орган распределения тегов действителен для карты в целом.

-    Если тег 78’ присутствует в данных управления DF (см. 5.3.3), то орган распределения тегов является действительным в пределах этого DF.

5.2.4.2    Сосуществующая схема распределения тегов

В сосуществующих схемах распределения тегов могут использовать теги с интерпретацией, которая не определена в стандартах серии ИСО/МЭК 7816. Для идентификации сосуществующей схемы распределения тегов и органа, ответственного за эту схему, должен быть использован межотраслевой шаблон, связанный с тегом 79’. Если такой шаблон имеется, то он должен содержать один из межотраслевых объектов данных, показанных в таблице 9, для того, чтобы идентифицировать орган распределения тегов.

-    Если орган распределения тегов действителен для карты в целом, тогда тег 79’ должен присутствовать в строке начальных данных (см. 8.1.2) или в EF.ATR (см. 8.2.1.1).

-    Если орган распределения тегов действителен в пределах DF, тогда тег 79’ должен присутствовать в данных управления DF (5.3.3).

В такой схеме все межотраслевые информационные объекты должны быть вложены в межотраслевые шаблоны, связанные с тегом 7Е'. Кроме того, теги 79’ 7Е’ не должны интерпретироваться иначе, чем теги ‘62’, ‘64’, ‘6F’ (шаблоны FCP, FMD и FCI, см. 5.3.3) и ‘7D’ (шаблон SM, см. 6)

5.2.4.3    Независимые схемы распределения тегов

В этих схемах распределения тегов могут использовать теги с иной интерпретацией, чем принятая в настоящем стандарте и стандартах серии ИСО/МЭК 7816, которая не подчиняется требованиям 5.2Л.2. Такие схемы распределения тегов делают невозможным межотраслевой обмен информацией и не согласуются с настоящим стандартом.

Использование межотраслевых произвольных информационных объектов с тегами '53'для представления произвольных элементов данных и тегами 73'для вложения проприетарных информационных объектов в произвольные шаблоны дает возможность применения проприетарных элементов данных и информационных объектов, сохраняя в то же время соответствие настоящему стандарту.

5.3    Структуры приложений и данных

В настоящем подразделе определена структура приложений и данных, прослеживаемые на стыке интерфейса между картой и устройством сопряжения при обработке команд, используемых в межотраслевом классе. Размещение данных в физической памяти и структурная информация сверх той, что представлена в данном подразделе, находятся за пределами компетенции настоящего стандарта и стандартов серии ИСО/МЭК 7816.

Настоящий стандарт поддерживает следующие две категории структур: назначенный файл (DF) и элементарный файл (EF).

Файлы DF выполняют хостинг приложений и/или группы файлов и/или хранят информационные объекты. DF приложения является файлом DF, который выполняет хостинг приложения. DF может быть родительским файлом или иным файлом. Считается, что эти иные файлы находятся непосредственно под DF.

Файлы EF хранят данные. EF не может быть родительским или иным файлом. Определены следующие две категории файлов EF:

-внутренние EF хранят данные, интерпретируемые картой, т. е. данные, используемые картой в целях управления и контроля;

-    рабочие EF хранят данные, не интерпретируемые картой, т. е. данные, подлежащие использованию исключительно внешними устройствами.

Предусмотрено два типа логической организации:

На рисунке 2 показана иерархия файлов DF с их соответствующей архитектурой безопасности (см. 5.4). В такой организации карт файл DF в основании иерархии называется главным файлом (MF); любой DF может быть файлом DF приложения с или без своей собственной иерархией файлов DF.

Введение

Настоящий стандарт — один из серии стандартов, описывающих параметры карт на интегральных схемах и их применение для обмена информацией.

Данные карты представляют собой идентификационные карты, предназначенные для обмена информацией между внешним устройством и интегральной схемой карты. В ходе обмена карта поставляет информацию (результаты вычислений, хранимые данные) и (или) изменяет свое содержимое (память данных, память событий).

Пять стандартов из серии ИСО/МЭК 7816 относятся к картам с гальваническими контактами, а три из них определяют электрический интерфейс:

ИСО/МЭК 7816-1 — определяет физические характеристики карт с контактами;

ИСО/МЭК 7816-2 — определяет размеры и расположение контактов;

ИСО/МЭК 7816-3 — определяет электрический интерфейс и протоколы передачи для асинхронных

карт;

ИСО/МЭК 7816-10 — определяет электрический интерфейс и ответ на восстановление для синхронных карт;

ИСО/МЭК 7816-12 — определяет электрический интерфейс и рабочие процедуры для USB

карт.

Все остальные стандарты не зависят от технологии физического интерфейса. Они применяются к картам, имеющим доступ при помощи контактов и/или радиочастоты:

ИСО/МЭК 7816-4 — определяет организацию, защиту и команды для обмена информацией;

ИСО/МЭК 7816-5 — определяет регистрацию провайдеров прикладных программ;

ИСО/МЭК 7816-6 — определяет элементы данных для межотраслевого обмена;

ИСО/МЭК 7816-7 — определяет команды языка структурированных запросов для карты;

ИСО/МЭК 7816-8 — определяет команды, обеспечивающие операции по защите информации;

ИСО/МЭК 7816-9 — определяет команды для управления картами;

ИСО/МЭК 7816-11 — определяет верификацию личности биометрическими методами;

ИСО/МЭК 7816-13 — определяет команды для управления приложением в мульти-прикладной среде.

ИСО/МЭК 7816-15 — определяет приложение с криптографической информацией.

ИСО/МЭК 10536 [13] определяет доступ при помощи поверхностного действия. ИСО/МЭК 14443 [15] и ИСО/МЭК 15693 [17] определяют радиочастотный доступ. Такие карты известны также как бесконтактные карты.

ИСО и МЭК обращают внимание на заявление о том, что соответствие настоящему стандарту может включать использование следующих патентов и иностранных эквивалентов:

JPN 2033906 Portable electronic device;

JPN 2557838 Integrated circuit card;

JPN 2537199 Integrated circuit card;

JPN 2856393 Portable electronic device;

JPN 2137026 Portable electronic device;

JPN 2831660 Portable electronic device;

DE 198 55 596 Portable microprocessor-assisted data carrier that can be used with or without contacts.

ИСО и МЭК не занимают никакой позиции относительно наличия, действительности и области применения данных патентных прав.

Обладатели данных патентных прав заверили ИСО и МЭК, что они готовы вести переговоры с претендентами со всего мира о предоставлении лицензии на разумных и не недискриминационных условиях, включая сроки. В связи с этим, утверждение владельцев данных патентных прав зарегистрировано в ИСО и МЭК. Информацию можно получить у следующих компаний:

Контакты

Данные патента

Toshiba Corporation Intellectual Property Division 1-1, Shibaura 1-Chome Minato-ku, Tokyo 105-8001, Japan

JPN 2033906 (дата приоритета: 1986-02-18; дата опубликования: 1996-03-19),

FRA 8614996, KOR 44664

JPN 2557838 (дата приоритета: 1986-02-18; дата опубликования: 1996-09-05),

FRA 8700343, GER 3700504, KOR 42243, USA 4841131

JPN 2537199 (дата приоритета: 1986-06-20; дата опубликования:

1996-07-08),

FRA 8708646, FRA 8717770, USA 4833595, USA 4901276

JPN 2856393 (дата приоритета: 1987-02-17; дата опубликования:

1998-11-27),

FRA 8801887, KOR 43929, USA 4847803

JPN 2137026 (дата приоритета: 1987-02-20; дата опубликования: 1998-06-26),

JPN 3054119, FRA 8802046, KOR 44393, USA 4891506

JPN 2831660 (дата приоритета: 1988-08-26; дата опубликования:

1998-09-25),

FRA 8911249, KOR 106290, USA 4988855

Orga Kartensysteme Gmbh Am Hoppenhof 33 D-33104 Paderborn Germany

DE 198 55 596 (дата приоритета: 1998-12-02; дата опубликования: 2000-06-29)

Applications pending in Europe, Russia, Japan, China, USA, Brazil, Australia

Международный стандарт ИСО/МЭК 7816-4 подготовлен подкомитетом №17 «Карты и идентификация личности» совместного технического комитета № 1 ИСО/МЭК «Информационные технологии» (ISO/IEC JTC 1/SC 17).

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Карты идентификационные КАРТЫ НА ИНТЕГРАЛЬНЫХ СХЕМАХ Часть 4

Организация, защита и команды для обмена

Identification cards. Integrated circuit cards. Part 4. Organization, security and commands for interchange

Дата введения — 2015—01—01

1    Область применения

Настоящий стандарт устанавливает:

-    содержание пар команда-ответ, передаваемых между устройством сопряжения и картой;

-    средства извлечения элементов данных и информационных объектов из карты;

-    структуры и содержание байтов предыстории для описания рабочих характеристик карт;

-    структуры для приложений и данных в карте, прослеживаемые на стыке между картой и устройством сопряжения при обработке команд;

-    методы доступа к файлам и данным, содержащимся в карте;

-    архитектуру безопасности, определяющую права доступа к файлам и данным, содержащимся в карте;

-    средства и механизмы для идентификации и способов адресации приложений, содержащихся в

карте;

-    методы безопасного обмена сообщениями;

-    методы доступа к алгоритмам, обрабатываемым картой (исключая описание самих алгоритмов);

Стандарт не распространяется на реализацию обмена данными внутри карты или внешнего устройства.

Настоящий стандарт не зависит от технологии физического сопряжения. Он применяется к картам, имеющим доступ при помощи одного или нескольких следующих методов: контактов, поверхностного действия и радиочастоты.

2    Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты. Для датированных ссылок следует использовать только указанное издание, для недатированных ссылок следует использовать последнее издание указанного документа, включая все поправки:

ИСО/МЭК 7816-3 карты идентификационные. Карты на интегральных схемах. Часть 3. Карты с контактами. Электрический интерфейс и протоколы передачи (ISO/IEC 7816-3, Identification cards — Integrated circuit cards — Part 3: Cards with contacts — Electrical interface and transmission protocols»).

ИСО/МЭК 7816-6 карты идентификационные. Карты на интегральных схемах. Часть 6. Межотраслевые элементы данных для обмена информацией (ISO/IEC 7816-6, Identification cards — Integrated circuit cards — Part 6: Interindustry data elements for interchange).

ИСО/МЭК 8825-1:20021) Информационная технология. Правила кодирования АСН.1. Часть 1. Спецификация базовых (BER), канонических (CER) и отличительных (DER) правил кодирования (ISO/IEC 8825-1:2002, Information technology — ASN.1 encoding rules. Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER))

^ Заменен на ИСО/МЭК 8825-1:2008.

Издание официальное

3 Термины и определения

В настоящем стандарте используют следующие определения:

3.1    правило доступа (access rule): Элемент данных, который содержит метод доступа, связанный с действием, и условия секретности, которым необходимо соответствовать перед началом действия.

3.2    файл Ответа-на-Восстановление (Answer-to-Resetfile): Дополнительный EF, который указывает рабочие характеристики карты.

3.3    приложение (application): Структуры, элементы данных и программные модули, необходимые для выполнения определенных функций.

3.4    DF приложения (application DF): Структура, принимающая приложение в карте.

3.5    идентификатор приложения (application identifier): Элемент данных (до шестнадцати байт), который идентифицирует приложение.

3.6    метка приложения (application label): Элемент данных для использования в человеко-машинном интерфейсе.

3.7    провайдер приложения (application provider): Организация, предоставляющая компоненты, которые составляют приложение в карте.

3.8    шаблон приложения (application template): Множество информационных объектов, относящихся к приложению и включающих один информационный объект «идентификатор приложения».

3.9    ассиметричный криптографический метод (asymmetric cryptographic technique): Метод криптографии, который использует две взаимосвязанные операции: открытую операцию, определенную открытым числом или открытым ключом, и приватную операцию, определенную приватным числом или приватным ключом (две операции обладают таким свойством, что при наличии открытой операции вычислительно невозможно определить приватную операцию).

3.10    сертификат (certificate): Цифровая подпись, связывающая конкретного человека или объект с его соответствующим открытым ключом (организация, выдающая сертификат, также действует в качестве органа, распределяющего теги для элементов данных в сертификате).

3.11    пара команда-ответ (command-response pair): Набор из двух сообщений на стыке сопряжения: командного APDU и следующего за ним ответного APDU в противоположном направлении.

3.12    элемент данных (data element): Смысловой элемент информации, прослеживаемый на стыке между картой и устройством сопряжения, для которого определены наименование, описание логического содержания, формат и кодирование.

3.13    информационный объект (data object): Информация, прослеживаемая на стыке между картой и устройством сопряжения, состоящая из сцепления обязательного поля тега, обязательного поля длины и условного поля значения.

3.14    единица данных (data unit): Наименьший набор битов, на который можно дать однозначную ссылку в пределах EF, поддерживающего единицу данных.

3.15    назначенный файл (dedicated file): Структура, содержащая контрольную информацию файла и, возможно, свободную память для распределения.

3.16    имя DF (DF name): Элемент данных (до шестнадцати битов), который уникальным образом идентифицирует DF в карте.

3.17    цифровая подпись (digital signature): Присоединенные данные или криптографически преобразованные данные, позволяющие получателю данных подтвердить источник и целостность данных и защитить их от подделки, например получателем.

3.18    справочный файл (directory file): Дополнительный EF, содержащий список приложений, поддерживаемых картой, и дополнительно связанные элементы данных.

3.19    элементарный файл (elementary file): Набор единиц данных или записей, или информационных объектов, которые совместно используют один и тот же идентификатор файла и один(ни) и тот(те) же атрибут(ы) секретности.

3.20    файл (file): Структура для приложения и/или для данных, имеющихся в карте, прослеживаемая на стыке между картой и устройством сопряжения при обработке команд.

3.21    идентификатор файла (file identifier): Элемент данных (двухбайтовый), используемый для обращения к файлу.

3.22    список заголовков (header list): Сцепление пар полей тегов и полей длины без разграничения.

ГОСТ Р ИСО/МЭК 7816-4—2013

3.23    идентификационная карта (identification card): Карта, которая содержит данные о ее держателе и эмитенте и может содержать сведения, необходимые в качестве входных данных для применения карты в соответствии с ее назначением и выполнения основанных на них транзакций.

[ИСО/МЭК 7810 [2]]

3.24    внутренний элементарный файл (internal elementary file): EF для хранения данных, интерпретируемых картой.

3.25    ключ (key): Последовательность символов управления криптографической операцией (например, операциями шифрования и дешифрования, приватной или открытой операциями в динамической аутентификации, получением подписи, верификацией подписи).

3.26    главный файл (masterfile): Уникальный DF, представляющий собой корень файловой структуры в карте, использующей иерархию файлов DF.

3.27    смещение (offset): Число последовательных обращений к единице данных в EF, который поддерживает эту единицу данных, или байт при записи.

3.28    родительский файл (parent file): DF, непосредственно предшествующий заданному файлу в пределах иерархии файлов DF.

3.29    пароль (password): Данные, которые могут быть затребованы приложением от пользователя карты для аутентификации.

3.30    путь (path): Сцепление идентификаторов файлов без разграничения.

3.31    приватный ключ (private key): Ключ субъекта пары ассиметричных ключей, который может использовать только этот субъект.

[ИСО/МЭК 9798-1 [8]]

3.32    провайдер (provider): Орган, имеющий или получивший право на создание DF в карте.

3.33    открытый ключ (public key): Ключ субъекта пары ассиметричных ключей, который может быть сделан общедоступным.

[ИСО/МЭК 9798-1 [8]]

3.34    запись (record): Строка байтов, к которой карта обращается и которую карта обрабатывает в пределах EF, поддерживающего запись.

3.35    идентификатор записи (record identifier): Числовое значение, используемое для обращения к одной или более записей в пределах EF, поддерживающего запись.

3.36    номер записи (record number): Порядковый номер, который однозначно идентифицирует каждую запись в пределах EF, поддерживающего запись.

3.37    зарегистрированный идентификатор провайдера приложения (registered application provider identifier): Элемент данных (из пяти байтов), который однозначно идентифицирует провайдер приложения.

3.38    секретный ключ (secret key): Ключ, используемый в методах симметричной криптографии при

помощи установки определенных объектов.

[ИСО/МЭК 11770-3 [14]]

3.39    безопасный обмен сообщениями (secure messaging): Совокупность методов для криптографической защиты [частей] пары команда-ответ.

3.40    атрибут секретности (security attribute): Условие использования объектов, имеющихся в карте, включающих записанные данные и функции обработки данных, выраженные как элемент данных, содержащий одно или несколько правил доступа.

3.41    безопасная среда (security environment): Совокупность компонентов, необходимых для приложения в карте, для обеспечения безопасного обмена сообщениями или для операций по защите.

3.42    ассиметричный криптографический метод (asymmetric cryptographic technique): Криптографический метод, который использует один и тот же секретный ключ, как для операций отправителя, так и для операций получателя (без секретного ключа невозможно путем вычислений определить обе операции).

3.43    список тегов (tag list): Сцепление полей тегов без разграничения.

3.44    шаблон (template): Множество информационных объектов BER-TLV для формирования поля значения составного информационного объекта BER-TLV.

3.45    рабочий элементарный файл (working elementary file): EF для хранения данных, не интерпретируемых картой.

3

4 Сокращения и обозначения

В настоящем стандарте применены следующие сокращения.

AID — идентификатор приложения (application identifier);

APDU — блок данных прикладного протокола (application protocol data unit));

ARR — указатель правила доступа (access rule reference);

ASN.1 —абстрактно-синтаксическая нотация версии 1 (abstract syntax notation one) (cm. ИСО/МЭК 8825-1);

AT — шаблон управляющих ссылок аутентификации (control reference template for authentication);

ATR — Ответ-на-Восстановление (Answer-to-Reset);

BER— базовые правила кодирования абстрактно-синтаксической нотации версии 1 (АСН.1) (basic encoding rules of ASN.1) (см. ИСО/МЭК 8825-1);

CCT — шаблон управляющих ссылок «криптографическая контрольная сумма» (control reference template for cryptographic checksum);

CLA — байт класса (class byte);

CRT — шаблон управляющих ссылок (control reference template);

CT — шаблон управляющих ссылок конфиденциальности (control reference template for confidentiality); DF — назначенный файл (dedicated file);

DIR— директория (directory);

DST — шаблон управляющих ссылок цифровой подписи (control reference template for digital signature); EF — элементарный файл (elementary file);

EF.ARR— файл указателя правил доступа (access rule reference file);

EF.ATR —файл Ответа-на-Восстановление (Answer-to-Reset file);

EF.DIR — справочный файл (directory file);

FCI — контрольная информация файла (file control information);

FCP — контрольный параметр файла (file control parameter);

FMD — данные управления файлом (file management data);

HT — шаблон управляющих ссылок хэш-кода (control reference template for hash-code);

INS— командный байт (instruction byte);

KAT —шаблон управляющих ссылок для согласования ключей (control reference template for key agreement);

Lc field — поле Lc (поле длины для кодирования числа Nc);

LCS byte — байт состояния жизненного цикла (life cycle status byte);

Le field — поле Le (поле длины для кодирования числа Ne);

MF — главный файл (masterfile);

Nc — число байтов в поле данных команды;

Ne — максимальное число байтов, ожидаемое в поле данных ответа;

Nr — число байтов в поле данных ответа;

FIX— проприетарное расширение идентификатора приложения (proprietary application identifier extension);

P1-P2 — байты параметров (parameter bytes (указаны для ясности, тире не существенно));

RFU — зарезервировано для использования в будущем (reserved for future use);

RID — зарегистрированный идентификатор провайдера приложения (registered application provider identifier);

SC — условие секретности (security condition);

SCQL — язык структурированных запросов для карты (structured card query language);

SE — безопасная среда (security environment);

SEID byte — байт идентификатора безопасной среды (security environment identifier byte);

SM — безопасный обмен сообщениями (secure messaging);

SW1-SW2 — байты состояния (status bytes (указаны для ясности, тире не существенно)); (SW1-SW2) — значение сцепления байтов SW1 и SW2 (первый байт является старшим значащим байтом);

TLV — тег, длина, значение (tag, length, value);

{T-L-V} — информационный объект (указан для ясности, дефис и фигурные скобки не существенны); 'XX' — обозначение, использующее шестнадцатеричные цифры от '0' до '9' и от 'А' до 'F', равно XX по основанию 16.

4

ГОСТ Р ИСО/МЭК 7816-4—2013

5 Организация обмена информацией

Для организации обмена информацией в настоящем разделе определены следующие основные компоненты:

1)    Пары команда-ответ;

2)    Информационные объекты;

3)    Структуры для приложений и данных;

4)    Архитектура безопасности.

5.1 Пары команда-ответ

В таблице 1 приведена пара команда-ответ, а именно командный APDU, за которым следует ответный APDU в противоположном направлении (см. ИСО/МЭК 7816-3). Чередования пары команды-ответа на стыке сопряжения не должно быть, т. е. ответный APDU должен быть получен до инициализации другой пары команды-ответа.

Таблица! — Пара команда-ответ

Поле

Число байтов

Число байтов

Заголовок

Байт класса CLA

1

команды

Командный байт INS

1

Байты параметров Р1-Р2

2

Поле Lc

Отсутствует для кодирования Nc = 0,

0, 1 или 3

присутствует для кодирования Nc > 0

Поле данных команды

Отсутствует, если Nc = 0,

присутствует как строка байтов Nc, если Nc > 0

Nc

Поле Le

Отсутствует для кодирования Ne = 0, присутствует для кодирования Ne > 0

0, 1, 2 или 3

Поле данных ответа

Отсутствует, если Nr = 0,

присутствует как строка байтов Nr, если Nr > 0

Nr (не более чем Ne)

Завершитель

ответа

Байты состояний SW1-SW2

2

В любой паре команда-ответ, включающей в себя и поле 1_е и поле 1_с (см. ИСО/МЭК 7816-3), короткое и расширенное поля длины не должны складываться: либо оба поля длины короткие, либо оба поля длины расширенные.

Если в карте явно заявлена возможность обрабатывать «расширенные поля 1_с и 1_е» (см. таблицу 88, третья таблица программных функций) в байтах предыстории (см. 8.1.1) или EF.ATR (см. 8.2.1.1), то карта обрабатывает короткое и расширенное поле длины. В противном случае (значение по умолчанию), карта работает только с короткими полями длины.

Nc обозначает число байтов в поле данных команды. Поле 1_с кодирует Nc.

-    Если поле 1_с отсутствует, то Nc равно нулю;

-    короткое поле 1_с состоит из одного байта, которое отлично от ‘00’ и принимает значения:

-    от ‘01 ’ до ‘FF’. Этот байт кодирует Nc от одного до 255;

-Расширенное поле 1_е состоит из трех байтов: одного байта, установленного на‘00’, за которым следуют два байта, которые отличны от ‘0000’, и принимают значения:

-от ‘0001’ до ‘FFFF’. Эти два байта кодируют Nc от одного до 65535.

Ne обозначает максимальное число байтов, ожидаемое в поле данных ответа. Поле 1_е кодирует Ne.

Если поле 1_е отсутствует, то Ne равно нулю;

короткое поле 1_е состоит из одного байта с произвольным значением:

от ‘01 ’ до ‘FF’. Этот байт кодирует Ne от одного до 255;

если этот байт установлен на ‘00’, то Ne равно 256.

5