Protocolo CAP em Smartphones: análise e implementação do protocolo de autenticação Chip Authentication Program

Abstract

sociedade atual tem vindo a adotar a conveniência dos serviços bancários online. Estes, no entanto, tem enfrentado um problema crescente de fraudes. Uma das soluções que emergiu no mercado para tentar contrariar esta tendência é o protocolo Chip Authentication Program (CAP), que fornece ao sistema mecanismos de autenticação forte, baseados em dois fatores de autenticação. Contudo, este implica a utilização de um dispositivo dedicado, que, pelo investimento financeiro avultado envolvido e pela falta de aceitação dos clientes em transportar um dispositivo adicional sempre que pretendem usufruir dos serviços bancários online, tem funcionado como barreira à massificação deste protocolo.

Com a presença cada vez mais relevante dos smartphones na sociedade e com o surgimento de smart cards para estes dispositivos, os objetivos desta dissertação focaram-se, fundamentalmente, em chamar a atenção para a potencialidade destas tecnologias para aplicações com requisitos de segurança críticos e em incentivar a utilização do protocolo CAP, ultrapassando os principais entraves à sua adoção e contribuindo com uma solução que permita reduzir as fraudes em serviços bancários online.

O resultado desta dissertação é um sistema baseado no protocolo CAP, que reúne as características que melhor caracterizam um smartphone com as propriedades de segurança que os smart cards acrescentam a um sistema. A utilização do smartphone, um dispositivo bem mais ubíquo do que o dispositivo dedicado tipicamente usado no protocolo CAP, permite reduzir o investimento necessário, uma vez que não é necessário fornecer dispositivos aos clientes, e reflecte-se também numa maior aceitação por parte do utilizador final que não tem de transportar um dispositivo adicional para usufruir dos serviços bancários online.

Today’s society has adopted the convenience of online banking. These services, however, have faced a growing fraud problem. One solution that emerged to try to counteract this tendency is the Chip Authentication Program (CAP) protocol, which provides strong authentication mechanisms based on two-factor authentication. The main obstacle to the massification of this protocol is the use of a dedicated device, which involves a substantial financial investment and damages consumer. With the increasing presence of smartphones in society and the emergence of smart cards for these devices, the objectives of this dissertation have focused mainly on drawing attention to the potential of these technologies for applications with critical security requirements, and promoting the use of CAP protocol, overcoming the main obstacle to its adoption and contributing with a solution for reducing frauds in online banking. The result of this master thesis is a system based on the CAP protocol, which brings together the best features of a smartphone with the security properties that smart cards can add to a system. The use of smartphones, a device far more ubiquitous than the dedicated device typically used in the CAP protocol, reduces the investment required, since it is not necessary to provide a device to clients, and also reflects in a greater acceptance by the enduser, who does not have to carry an additional device to take advantage of online banking.