Мир вокруг нас постоянно изменяется, но у каждого изменения есть свои причины. Очень часто о каждом явлении можно собрать целую кипу информации, из вполне авторитетных источников и благополучно в ней запутаться. А ведь чаще всего есть основное течение, главная причина, короткая фраза, или даже одно слово, описывающее суть происходящего. Интересно, что на поиски такого слова иногда нужно потратить больше времени, чем на написание тысяч других слов. Вот, например, все знают, что есть чиповые карты и есть карты с магнитной полосой. Но даже в рекламных проспектах банков, при описании отличий говорят что-то типа: «она более функциональная, надежная, в ней чип, он не размагнититься и вообще, это прогресс». Да, это все так, но это деревья, за которыми не видно леса. Почему, например, Сбербанк отказался от чиповой Сберкарты в пользу международных карт с магнитной полосой? Это же шаг назад с точки зрения технологии. Откаты-сволочи-всепропало-продалистрану? А как вы тогда объясните, что на текущий момент в США на чиповой технологии живут всего 1-5% карт, а миграцию который год отодвигают, сейчас вот на 2015 уже сдвинули. Почему лидер внедрения чиповых карт это Южная Азия. Как это объяснить все эти факты?Можно. И даже всего одним словом. Сейчас я вам вообще расскажу про эволюцию карт по принципу «одно слово для описания причин каждого эволюционного скачка».
Свою эволюцию банковские карты начали, как я уже говорил, из гламурных талонов на еду. Естественно они содержали на себе некоторую информацию тот же номер карты и имя владельца. Покушав или сделав покупку, клиент отдавал карту, продавец звонил в процессинг и проверял наличие денег, потом в импринтере (специальном механизме с роликами про который я тоже рассказывал) делал отпечаток номера на особом бланке, где к отпечатанной информации от руки вписывал сумму покупки и давал на подпись клиенту. Представьте теперь количество этих бумажек, а ведь каждую из них нужно еще обработать! Да и сам процесс ручного оформления не из быстрых. Опять же, ночная жизнь Нью Йорка требовала круглосуточного доступа к банковским услугам, а держать сотрудников в отделении день и ночь затратно. Вот бы как-то автоматизировать выдачу денег... По счастливому стечению обстоятельств с похожей проблемой столкнулись авиаперевозчики. В 1967 они начали планировать закупку первых широкофюзеляжных самолетов Боинг 747 и Дуглас DC-10, которые значительно увеличили бы пассажиропоток, а, следовательно, и число пассажиров, приходящих одновременно к стойкам регистрации. Стали думать как наладить быструю идентификацию и учет пассажиров. И решением оказалась магнитная полоса, приклеенная на карточку. Карточку назвали идентификационной картой – ведь она идентифицирует, что её владелец это клиент банка или пассажир самолета. Размеры карт стандартизировали, например банковские карты с точки зрения стандарта ISO 7810-2006 это карты ID-1 (примерно 85мм длиной и 54мм толщиной). SIM-карта это тоже идентификационная карта ID-000. Есть в стандарте и большие карты ID-3 размером с трудовую книжку - 125 на 88 миллиметров.
То что зарождались идентификационные карты ID-1 как карты для авиакомпаний можно подсмотреть в ГОСТ Р 50809-95 Нумерация и метрологическое обеспечение идентификационных карточек для финансовых расчетов который создан на основе международного стандарта ISO 7812-87. Если номер карты начинается на 1 или 2 это идентификационая карточка из раздела "авиалинии", если на 3 - путешествия и развлечения (тут же примостился American Express). Для банков отдано 4 (обычно это VISA) , 5 (обычно это MC) и 6 (тут Maestro и UnionCard и даже China UnionPay). Вот так карта обрела современный облик – циферки спереди, магнитная полоса сзади. Она позволила автоматизировать обработку транзакций и выдачу наличных. Итак, первое слово которое толкнуло карты вперед это автоматизация.
Постепенно карт становилось все больше, были придуманы криптографические методы подтверждения подлинности – ПИН-код, специальный защитный код, нанесенный на треке, и еще один код CVV или CVC на полосе для подписи. Его вы обычно вводите при платежах в интернете. Все эти криптограммы повысили защищенность карт, но у этой защиты есть технологический предел. Дело в том, что магнитная полоса, сама по себе, никак не защищена от считывания информации и очень легко копируется и воспроизводится. А это значит, скопировав полосу и подсмотрев ПИН-код, можно украсть деньги со счета клиента. Мошенники почуяли халяву, и начали резвиться все сильнее и сильнее, нанося все больший и больший ущерб банкам и их клиентам. И в какой-то момент наступила ситуация, когда ущерб от фрода стал таким большим, что банкам стало дешевле выдать каждому клиенту по маленькому компьютеру. Ну а раз это дешевле, значит нужно это сделать, встроив этот маленький компьютер прямо в карту! Чтобы рулить, был создан межотраслевой стандарт EMV (Europay, MasterCard и VISA) который в четырех томах описывает как и что должно работать, поэтому переход на чиповые карты обычно называют EMV миграцией, хотя локальные чиповые программы совсем не обязаны быть EMV-совместимыми. Итак, слово, толкающее карты с магнитной полосой к следующему эволюционной ступени это риск. Риск в математическом его понимании – произведение вероятности ущерба, на ущерб. Как только риск становится сопоставим со стоимостью EMV-миграции она происходит. Думаете банки стали бы тратить деньги просто так? Вот теперь вы знаете ответ на вопрос почему Южная Азия обогнала Северную Америку в плане миграции карт на чипы. Да просто риск там был самый высокий, там он толкал вперед сильнее всего, банки терпели такие убытки, что защитили индустрию от мошенников при помощи новых технологий. По этой же причине Сбербанк перестал пенсионерам и студентам выдавать чиповую карту Сберкарт. Может и без отката не обошлось, судить не берусь, но вы сами посчитайте - риск фрода среди пенсионеров ничтожный, карты используются раз в месяц в банкомате банка и все! У карт подходит срок действия, их нужно регулярно менять. Производство чиповой карты стоит в несколько раз дороже производства обычной. Там где можно сократить издержки в несколько раз бизнес сделает это.
Тут в комментариях меня уже поправляют, что Сбер в итоге все равно полностью переходит на чип, так что в данном решении Сбера перераспределение рисков могло быть и не при чем, а сэкономили они на том, что свели разные продукты на единую платформу, чтобы не сопровождать лишние системы.
Про то, как именно чиповая карта работает и как она защищает своего владельца я могу написать отдельно и много, но это будет слишком узкоспециально и ненужно. Если кратко – чип это небольшой компьютер, работают они на разных платформах, таких как общеизвестная JAVA, менее известная MULTOS или на native операционках Gemalto, Oberthur , CombOS и иже с ними. У платежных систем есть свои стандарты для приложений, их программят очень умные дядьки, обычно бородатые, и эти дядьки написали несколько разных реализаций для разных чипов. В момент изготовления карты приложение загружается на чип (если его не зашили на уровне маски еще при производстве кристалла). В момент персонализации номера и имени клиента это приложение конфигурируется индивидуально для клиента. В приложении кроме обычных данных, что бывают на треке, еще есть целая куча настроек для управления рисками плюс у неё на борту бывает криптографический RSA-сопроцессор, который умеет ставить электронную подпись на сообщения. Такие карты называют картами с динамической аутентификацией данных или DDA. Подделать такую карту практически невозможно, как и считать с неё нужные данные.
На самом деле, конечно нет ничего невозможного, если очень хочется можно нагреть карту и подцепив за контактную площадку вынуть чип, он, кстати, по размеру гораздо меньше чем площадка. Потом нужно вытравить эпоксидку, в которую он залит, для этого хорошо подойдет высококонцентрированная азотная кислота. А потом, под прицелом мощного микроскопа можно попробовать потыкать заточенным вольфрамовым волоском, чтобы подключиться к нужной шине данных. Чтобы знать куда тыкать, нужно либо быть проектировщиком этого кристалла, либо предварительно узнать топологию чипа, в этом вам поможет сфокусированный пучок ионов галлия, луч диаметром 5-10 нанометров будет в самый раз. В домашних условиях это сделать трудновато, придется купить вот такую FIBустановку, приготовьте примерно полмиллиона евро.
Но можно не париться и действовать по старинке – стравливая слой за слоем фтористоводородной кислотой в ультразвуковой ванне, а потом сфотографировать каждый слой под нормальным CCDмикроскопом, чтобы потом построить рабочую модель в эмуляторе.
К чему я клоню, сломать можно вообще все, но тут стоит вопрос стоимости нужного лабораторного оборудования и наличии человеконедель труда высококвалифицированных специалистов. Массовый взлом чипов сейчас экономически невыгоден, в отличии от массовой подделки карт с магнитной полосой. Их можно хоть чемодан наклепать за копейки. Про чемодан это не шутка.
В итоге все мы рано или поздно переползем на чипы, и казалось бы это потолок. Но еще одно слово толкает прогресс вперед. К прошлой статье был один интересный комментарий именно на эту тему:
у нас вот построили супермаркет "АТАК", поначалу принимали карты, потом к ним пошел такой вал покупателей, что теперь "только наличные"
Догадались, что это за слово? Это конечно скорость. Есть места где картам не хватает скорости, чтобы работать – заправки, парковки, турникеты в метро, любые места где есть очереди, любая мелкая покупка, с которой вам проще быстро достать купюру, чем морочится с картой. Скорость подгоняет эволюцию вперед и банковская отрасль опять идет к транспортной. В прошлый раз это были самолеты, теперь это поезда. Хотя начинались бесконтактные карты не с поездов, а с магазинов. Те самые противоугонные наклейки на все подряд, от которых мерзко пищит стойка на выходе и ты инстинктивно хочешь убежать, хотя ничего не украл. Эти RFID наклейки тоже ведь маленькие чипы, правда всего-то они и умеют, что запитываться от магнитного поля рамки, накапливать энергию и выплескивать её в виде короткой числовой последовательности, которая в них зашита в момент производства. Никакой криптографии, всегда один и тот же код. В этом отношении проездные того же московского метрополитена штука уже гораздо более сложная. Там тоже пассивный чип MIFARE, который питается прямо от магнитного поля, создаваемого турникетом при помощи антенны встроенной в карту в несколько витков. Этот чип уже не просто отдает заводской номер, хотя это он тоже умеет. На чипе MIFAREесть несколько ячеек памяти, каждая из которых может быть защищена тем или иным ключом, и для каждой из них проставлены права доступа. По сути эта карта - своеобразная бесконтактная флешка, на которую могут читать и писать только обладатели определенных ключей. Но никаких приложений на этой карте нет, кроме тех, что обеспечивают антиколизионные алгоритмы, соединение и обмен данными. Умные маркетологи догадались встроить такой чип в банковскую карту, получилась гибридная карта. Но это еще не банковская бесконтактная карта, аналогичного результата можно достичь нося банковскую карту и метрошный проездной в одном пластиковом чехле. Настоящая банковская бесконтактная карта обладает своим банковским приложением способным общаться с терминалами не только через контактную площадку, но и через бесконтактный интерфейс. Её так и называют - карта dualinterphase. Один и тот же чип имеет выводы и на контактную площадку и на впаянную в толщу пластика антенну. Производить такие карты гораздо сложнее простых, надежно все это соединить, да еще и так чтобы контакты выдерживали многочисленные механические нагрузки задача не из легких. Есть и чисто бесконтактные карты, и даже такие, которые уже и на карты-то уже не похоже, они имеют другой форм-фактор, в виде брелоков или маленьких карточек.
Вкратце о том как работают бесконтактные банковские приложения. Приложение визы называется VisaPayWaveу мастера MasterCardPayPassи MasterCardPayPassMagStripe. PayWaveи PayPass в принципе похожи, одни делают почти все то же самое, что обычные контактные EMV приложения, только протокол обмена оптимизирован для более быстрого обмена. А вот приложение MasterCardPayPassMagStripeгораздо интереснее, оно эмулирует поведение… обычной карты с магнитной полосой, только при сборке трека добавляет туда свою криптограмму, каждый раз разную. Ход очень умный - банк обладающий только инфраструктурой приема карт с магнитной полосой, может вместо EMV миграции сразу прыгнуть через ступеньку на бесконтактные карты, с минимальными доработками.
Что же нас ждет дальше? Уже два года как в России запущен первый проект NFC MasterCard-MTS-MTS Bank, симки cNFCмодулем выпускала компания Novacard на чипах Oberthur. По сути это симка в которой собрана и обычная симочная начинка и банковское приложение, и все это еще дополнено гибкой антенной, которая выпускается под разные модели телефонов и клеится внутри, на аккумулятор. Станет ли это следующей ступенью развития? Все может быть, но наверняка судить не берусь. Слишком уж неотчетливо пока слышно новое слово, толкающее эволюцию вперед. Но оно обязательно будет сказано.
Источник: aftershock.su.
Рейтинг публикации:
|
