В прошлый раз я рассказывал краткую историю технологии мобильных платежей с применением Secure Element (SE). Сегодня расскажу, как эта технология работает.
Давайте вспомним, зачем вообще нужен этот Secure Element, почему вокруг него было столько ажиотажа. Да, это как бы кусочек пластиковой карты (главная ее часть), но чем он таким занимается? В принципе, я много об этом писал, но повторить не помешает, repetitio est mater studiorum (не зря же я в детстве заучивал несколько латинских фраз).
Итак, чип пластиковой карты (и чип Secure Element) устроен так, что данные туда записать можно, а вытащить — нельзя. Ниппель. В смысле, какие-то данные он наружу выдает, конечно же, но — строго осмысленные. Так что если вы захотите записать в него PIN-код, то это можно сделать довольно-таки смело: наружу он потом этот код не отдаст даже под пытками.
Более того, если чип заподозрит, что его пытаются взломать, он может необратимо заблокироваться. Вполне себе такой сейф.
Если требуется проверить PIN, так вы просто отправляйте ему комманду: «дорогой чип, проверь, пожалуйста, подходит ли тебе PIN 1234?». И он в ответ скажет, подошло или нет. А если вы несколько раз подряд спросите неверный PIN — он через сколько-то попыток заблокируется. Ну не весь, только платежное приложение на нем. Так что подобрать перебором не выйдет, чип не дурак.
ОБНОВИ ЭТО ПРИЛОЖЕНИЕ НА СВОЁМ XIAOMI С MIUI 11 И ПОЛУЧИ НОВЫЕ ФИШКИ! (#1)
Т.е. внутри себя он хранит много какой информации, бОльшая часть которой недоступна извне. И внутри себя умеет использовать эту информацию, как того требует процедура проверки, электронной подписи, шифрования и т.д.
Чтобы записать в этот чип какое-то приложение, надо предъявить чипу управляющий ключ, который туда попал, если кратко, при его производстве, и этот ключ производитель секретно передает эмитенту (банку в случае с банковской картой, оператору сотовой связи в случае с симкой или производителю телефона в случае с embedded SE). В чип записывается в итоге платежное приложение, с помощью которого происходят платежные транзакции. Однако одного приложения мало, для работы ему еще нужны ключи, с помощью которых рассчитываются криптограммы для транзакционных запросо. Эти ключи туда тоже помещает издатель (банк). Их тоже просто так не запишешь, надо управляющий ключ чипу предъявить.
В общем, очень продуманная штука, реально цифровой мини-сейф. Вот такой чип в виде специальной SIM-карты, или в виде встроенного на плату Secure Element, или в виде комбинированной MicroSD-SE карты и находится в телефоне.
Чтобы ваш телефон стал «банковской картой», надо установить платежное приложение с необходимыми настройками и записать ключи банка-издателя (предъявив управляющий ключ). А в нашем случае есть много контор, у кого этот управляющий ключ может быть. Если у нас смартфон со встроенным SE — то ключ есть у производителя телефона. Если у нас SIM-centric решение, то ключ — у сотового оператора. Если у нас специальная MicroSD-SE — то ключ у производителя этой карты.
Давай удалим?⛔ 2 тайных приложения XIAOMI, собирают информацию и отправляют ее неизвестно куда.
Нда. Сложновато выстраивать бизнесс-процессы. Причем каждая из этих контор просто так не позволит записывать ваши приложения и ключи, они хотят денег. И как я говорил, рынок не выдержал такой сложности. Кроме одной экосистемы.
Экосистема Apple — это та система, где такое решение прижилось, что совершенно не удивительно. Потому что это очень закрытая экосистема, полностью контроллируемая одним вендором. Тут даже близко нет такого разнообразия решений, как есть на других мобильных платформах. Если прибавить к этому достаточно жесткую политику Apple по контролю над софтом их смартфонов, то неожиданно получается довольно управляемая платформа. При всем моем неприятии многих ценностей этой платформы, не могу не оценить преимущества, которые в данном случае имеются.
Именно поэтому единственной достаточно масштабной системой, построенной вокруг Secure Element, был и остается Apple. Он же был пионером на рынке платежей с помощью смартфонов. Остальной игрок подтянулся немного позже.
Кстати, в часах — отдельный Secure Element.
Итак, на ваш смартфон надо записать данные вашей пластиковой карты, и тогда смартфон сможет прикинуться картой.
«Добавление» карты в телефон на любой платформе — интересный и многоступенчатый процесс, который заслуживает отдельного поста (а может быть, и нескольких), и мы сейчас в деталях его разбирать не будем. Главное, что после этого самого процесса в Secure Element телефона (независимо от конкретной платформы) оказывается некий токен и ключи для платежного приложения.
Токен с т.зр. терминала очень похож на платежную карту, это номер вроде PAN, и обрабатывается он практически так же, за исключением некоторых деталей, о которых я тоже расскажу в другой части. Если не придираться к подробностям, то теримнал не видит разницы между приложенной к нему бесконтактной картой и телефоном.
Транзакционный запрос должен быть подписана криптограммой, а для этого используются ключи, находящиеся в Secure Element. Точно так же, как бесконтактная карта подписывает запрос ключами, находящимися в ее чипе.
Обратите внимание, все это время я говорю о некоем платежном приложении, которое находится в самом чипе Secure Element. Пользователь с ним напрямую не взаимодействует, и, чаще всего даже не догадывается о его существовании. Взаимодействуем мы с приложением на самом телефоне, которое выполняется на операционной системе телефона. А вот уже это телефонное приложение умеет немного взаимодействовать с Secure Element (например, предъявлять ему результаты проверки пользователя — пароля там или отпечатка пальца).
В итоге у вас получается так, что все необходимое для формирования и подписи транзакционного запроса есть на борту телефона. И для этой работы ему не нужен не только интернет, но даже и подключение к сотовой сети.
Источник: dzen.ru
Что такое NFC и как этим пользоваться? | Часть 2
С первой частью статьи, посвященной технологии NFC вы можете ознакомиться по ссылке. Напомню, что NFC (Near Field Communication) — это технология передачи данных на малых расстояниях, и имеет совместимость со стандартом ISO 14443, объединяющим большинство современных бесконтактных «умных» карт: банковские карты (MasterCard PayPass и VISA PayWave), транспортные карты «Тройка» и «Подорожник», всевозможные пропуска и многие другие виды.
Как работает пластиковая карта?
Привычная пластиковая карта содержит в себе микропроцессор в металлической оболочке, помещенный в пластиковый корпус. В этом процессоре установлена своя ОС, содержащая платежное приложение конкретного поставщика услуги, которое взаимодействует с платежными данными конкретного клиента. Стоит отметить, что данные на такой карте защищены специальными ключами без возможности их изменения. Контактируя с устройством считывания, карта получает необходимую долю энергии, запускает операционную систему и содержащееся внутри приложение, взаимодействующее со считывателем. Бесконтактные карты работают аналогично, только питание получают от электромагнитного поля устройства считывания на местах продаж или турникете метрополитена.
Как вы теперь понимаете, для пластиковой карты камнем преткновения была форма, которую необходимо было стандартизировать для использования в любом терминале. В связи с переходом к бесконтактным картам форма потеряла свое значение, что, в свою очередь, открыло возможность использовать в качестве «носителя» микропроцессора с платежным приложением практически любой объект: часы, брелок или смартфон.
Смартфон в качестве платежной карты
Чтобы использовать смартфон в качестве носителя платежных данных, в него необходимо установить вышеупомянутый микропроцессор со специальными приложениями. Такой микропроцессор в смартфоне называется Secure Element, а NFC-модуль выполняет функции контроллера. Secure Element может быть интегрирован в материнскую плату телефона, либо находиться на отдельном модуле: SIM-карте или SD-карте.
В новой версии ОС Android 4.4. KitKat появилась возможность использования платежных приложений без использования Secure Element благодаря Host Card Emulation (HCE). Иными словами, операционная система самостоятельно эмулирует карты, данные которых могут храниться либо в ней же (допустимо для карт лояльности и дисконт карт, не требующих высокой степени безопасности), либо все в том же Secure Element (для банковских и транспортных карт, требующих надежного хранилища), либо даже на сервере в интернете (в данном случае для совершения платежа потребуется быстрый и стабильный интернет).
Эмуляция платежной карты в телефоне
Если в вашем смартфоне находится такой же микропроцессор, как и в пластиковых картах, то в него можно записать аналогичные платежные приложения и осуществлять бесконтактные платежи, поднесением телефона к считывателю. Вы можете удаленно записывать платежные карты необходимых вам поставщиков услуг.
TSM (Trusted Service Manager) – служба, которая позволяет поставщикам услуг и мобильным операторам управлять своими бесконтактными приложениями удаленно, обеспечивая доступ к защищенным элементам на терминалах с поддержкой NFC.
Операторам мобильной связи, производителям смартфонов и поставщикам услуг достаточно подключиться к TSM по стандартному протоколу и они производят мульти интеграцию с множеством партнеров. Для нас с Вами, как конечных пользователей, это возможность не зависеть от модели телефона или оператора мобильной связи при необходимости в получении услуги конкретного банка.
Взаимосвязь смартфона и службы TSM
Служба TSM удаленно управляет чипами Secure Element в смартфонах пользователей через безопасный канал связи, используя смартфон в качестве модема. Ключи от Secure Element хранятся на специальных серверах HSM (Hardware Security Module), являющихся неотъемлемой частью платформы TSM, и без участия последнего получить доступ к чипу невозможно. На основании распоряжения поставщика услуги TSM записывает (или удаляет, например, в случае утери смартфона) данные карты в Secure Element, а также позволяет получать информацию по картам.
Карту для оплаты выбирает сам пользователь через специальное приложение «Кошелёк» (не путать с Qiwi Wallet или Google Wallet), которое отображает выпущенные и доступные для выпуска карты, а также принимает заявки на выпуск новых. Поставщик услуги, получая заявку на выпуск карты, передает эти данные Secure Element телефона через платформу TSM.
Оплата картой в смартфоне
На сегодняшний день выпущенной в «Кошельке» банковской картой можно оплачивать покупки в магазинах, принимающих карты MasterCard PayPass по всему миру без активного доступа в интернет в смартфоне. Как многие уже видели, банковские терминалы в таких точках продаж обозначаются логотипом бесконтактной оплаты, который размещается именно в том месте, где находится антенна в считывателе, и прикладывать телефон (местом где в его корпусе расположена антенна) необходимо к этому логотипу, даже если он находится на экране терминала.
Местонахождение антенны различается в зависимости от модели телефона. На банковских терминалах, оборудованных бесконтактными считывателями, имеется 4 цветовых индикатора. Первый означает готовность к работе, второй — считывание, третий — считывание завершено и можно убирать карту, а четвертый — результат считывания. При оплате банковской картой в смартфоне, как и при оплате обычной пластиковой картой, вас могут попросить ввести PIN-код (который можно получить по звонку в банк) или поставить подпись на чеке. Для покупок на сумму менее 1000 рублей ни PIN-код, ни подпись не потребуются.
Приложение «Кошелёк»
Приложение «Кошелёк» не имеет отношения к платежной системе, это лишь универсальный интерфейс к приложениям (картам) в Secure Element, благодаря которому смартфон становится универсальной интерактивной пластиковой картой. Основная роль приложения заключается в отображении выпущенных или доступных к выпуску карт и обеспечении канала связи между Secure Element и TSM. Также «Кошелёк» дает пользователю возможность интерактивно управлять картами, загруженными в Secure Element.
Приложение предустанавливается на совместимые телефоны на производстве или добавляется с обновлением программного обеспечения таких телефонов:
- HTC One
- Philips W8555
- Philips Xenium W336,
В ближайшее время добавятся:
- HTC One Dual SIM
- HTC One Max
- HTC One SV
- HTC Desire 500
- HTC Desire 600.
Первая карта, которая доступна в «Кошельке» уже сегодня — предоплаченная банковская карта «ТКС Банка». «Предоплаченная» означает, что карта выпускается без заключения письменного договора с банком, не связана с вашими другими картами в банке, а также в соответствии с законодательством РФ имеет ограничения на одну операцию (не более 15 000 рублей) и общую сумму операций за месяц (не более 40 000 рублей). При выполнении заявки пользователя на выпуск, карта доставляется в телефон в среденем в течение 10 минут.
Банковская карта, загруженная в «Кошелёк», не является виртуальной, как бы нам не хотелось использовать этот термин для нематериальной карты. После персонализации и активации карта действительно существует «физически» именно в телефоне и взаимодействует с терминалом на кассе в магазине также, как ее пластиковый оригинал, а банковский термин «виртуальная» используется для карт, предназначенных исключительно для платежей в интернете, и не подразумевает взаимодействия с физической инфраструктурой и множества прочих функций карточных продуктов.
Любая карта в любом смартфоне
Платежные карты в телефон не переносятся, не привязываются и не дублируются, а именно выпускаются. Для выпуска карты поставщик услуги должен подключиться к TSM, а TSM должен иметь доступ к Secure Element. Поэтому на сегодня пока еще невозможно выпустить любую карту в любой телефон, но движение идет именно в этом направлении. Заинтересованность наблюдается у всех участников процесса: и производители телефонов, которым нужна новая интересная функциональность, и сотовые операторы, и поставщики услуг, которым нужна новая аудитория, и, главное, пользователи, уставшие от тяжести пластиковых карт в бумажнике. Выпускать карты в смартфон совсем скоро станет привычным делом.
Источник: mediapure.ru
Безопасность компонентов Apple Pay
В Apple Pay используется несколько аппаратных и программных функций, предназначенных для безопасного и надежного совершения покупок.
Secure Element
Чип Secure Element представляет собой стандартную сертифицированную микросхему, работающую на платформе Java Card и совместимую с требованиями финансовой отрасли к электронным платежам. Чип Secure Element и платформа Java Card сертифицированы по стандарту оценки безопасности EMVCo. После успешного прохождения оценки безопасности EMVCo выдает уникальный сертификат интегральной микросхемы и платформы.
Чип Secure Element был сертифицирован на основе стандартов оценки по общим критериям. Подробная информация приведена в разделе Сертификация безопасности процессора Secure Enclave в документе «Сертификация платформы Apple».
Контроллер NFC
Контроллер NFC обрабатывает протоколы ближней бесконтактной связи и маршрутизирует данные, передаваемые между процессором приложений и чипом Secure Element, а также между Secure Element и терминалом, установленным в точке продажи.
Apple Wallet
Приложение Apple Wallet — удобный способ добавлять кредитные, дебетовые и магазинные карты, управлять ими и совершать платежи через Apple Pay . В Apple Wallet пользователи могут просматривать свои карты и дополнительную информацию, предоставленную эмитентом, например, о действующих политиках конфиденциальности, недавних транзакциях и многом другом. Кроме того, пользователи могут добавлять карты в Apple Pay через следующие приложения:
- Ассистент настройки и Настройки в iOS и iPadOS;
- приложение «Часы» на Apple Watch ;
- раздел «Wallet https://support.apple.com/ru-ru/guide/security/sec2561eb018/web» target=»_blank»]support.apple.com[/mask_link]