JavaCard特性采用率：开源与认证产品的洞察

### JavaCard特性采用率：开源与认证产品的洞察 JavaCard作为当今加密智能卡最流行的平台，自其API规范首次发布二十多年来，已出货超过200亿张智能卡，历经了十三次修订。然而，新特性、加密算法及其参数化的采用情况，以及对整体活动的系统分析却有所缺失。本文旨在通过公开可用的资源，深入研究JavaCard生态系统的活动，重点关注安全认证文档和开源小程序的情况。 #### 研究背景与问题提出 此前的研究虽对JavaCard API规范描述的特性与实际物理智能卡支持的特性之间的差异进行了分析，但存在局限性。一方面，仅考虑了社区维护的JCAlgTest数据库中的智能卡，可能遗漏了近期或不常见的卡片；另一方面，未评估小程序代码中算法的实际使用情况。因此，本文提出两个研究问题： - **Q1**：特定版本JavaCard规范引入的加密算法，在认证智能卡和开源小程序实现中的采用水平和延迟情况如何？ - **Q2**：JavaCard开源生态系统在开发活动、所需JavaCard特性和内存使用方面如何演变？ #### JavaCard在通用标准和FIPS140中的情况 由于智能卡常用于有严格合规要求的环境，其平台通常需要通过FIPS140或通用标准等认证。为深入了解认证设备生态系统的现状，我们对认证文档进行了分析。 - **数据收集与处理**：下载了sec-certs项目收集的所有公共认证文档，该数据集已使用正则表达式提取了JavaCard API版本号。进一步，使用正则表达式“ALG [0 - 9A - Z ]+”匹配认证文档的文本内容，并筛选出符合JavaCard目标的匹配项，将匹配字符串与已知的JavaCard API名称进行比较并纠正明显错误的值。 - **认证文档分析** - **API版本分析**：分析了认证文档中JavaCard API版本提及情况与证书颁发年份的关系。结果显示，JavaCard API 2.2.2版本使用时间最长，从2008年开始使用，直至2017年仍常被提及，2022年仍有相关证书颁发。自2010年起，主版本号为3的API逐渐出现，到2013年，在大多数JavaCard认证文档中被提及。为分析新算法的采用情况，重点关注了3.0.1、3.0.4、3.0.5和3.1.0版本。 - **算法采用分析**：在10197份认证文档中，确定了66份描述JavaCard目标且包含以“ALG_”开头字符串的文档。其中，2009年之前颁发的6份证书仅通过FIPS140认证，之后的60份通过通用标准认证。文档中确定了139个匹配模式的唯一字符串，但只有104个对应于JavaCard API中的算法。 - 一般来说，算法在规范版本发布两年或更久后才开始在认证文档中被提及。例如，JavaCard API 3.0.5于2015年发布，其规范中添加的第一个算法在2017年的认证文档中出现；3.0.4版本引入的两个新算法在2016年（发布五年后）首次出现在认证文档中；3.0.1版本在2009年5月发布，除Oberthur智能卡证书外，其算法提及在2011年开始出现，2015年后提及更为频繁。 - 还发现了一些不在JavaCard API中的算法，部分可能是文档输入错误，部分则明显表示JavaCard API不支持的算法，如ALG_EC_SVDP_DH_GK（与Oberthur的专有API扩展有关）、ALG_ED25519PH_SHA_512（可能指Ed25519签名算法与预哈希输入和SHA512函数）和ALG_MONT_DH_25519（可能指蒙哥马利形式的Curve25519上的Diffie - Hellman密钥协商）。 |算法名称|可能含义| | ---- | ---- | |ALG AES BLOCK 128 CBC NOPAD STANDARD|可能是AES 128位块CBC模式无填充标准算法| |ALG DES CMAC|DES CMAC算法| |ALG EC SVDP DHC GK|与椭圆曲线相关的特定算法（可能是Oberthur专有）| |...|...| 以下是认证文档中提及特定JavaCard API版本的数量分布情况： ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(2008):::process --> B(JavaCard API 2.2.2):::process C(2010):::process --> D(JavaCard API 3.x)::: ```