Vlákno názorů k článku Bezkontaktní platby: Těšme se bez obav od Jean Laroux - Zajímavý nápad ;) Myslím, že to ale nebude...

Zajímavý nápad ;) Myslím, že to ale nebude tak jednoduché. Zloděj by musel někde ukradnout ten terminál. Ten terminál bude jistě někde registrován jako autorizovaný a pokud se ztratí tak to jistě majitel okamžitě nahlásí. Navíc ten terminál nejspíš bude vě většině případů připojen někam nějakým UTP kabelem a nebude v bezdrátové variantě (i když by teoreticky mohl být). Možná by přenosné terminály měly být jen kontaktní např. pro Policii a platbu pokut. Pro různá použití možná bude potřebný i bezkontaktní terminál v bezdrátové variantě. Např. pro nějaké sámošky někde na vsi, kam nevedou žádné dráty ale je zde mobilní signál. Někdo pak vybere sámošku, sebere mobilní bezkontaktní terminál a vyrazí do metra, kde nenápadně "luxuje" :-) No myslím ale, že i tuto variantu již asi někdo ošetřil. Kdyby ne, tak by takový systém jistě neprošel certifikací na NBÚ.

No hlavne by ten chmatak nejakym tajemnym zpusobem musel promenit penize na uctu majitele terminalu na svoje penize....

Dovedu si představit bezkontaktní terminál, který by peníze neukládal na účet ale tisknul je přímo na místě :-)))))

Zas tak jednoduché to nebude, bude potřeba použít mechanismus, který popisuji výše, pomocí MitM útoku. Tady se nejedná o "hloupé" karty, ale o kryptograficky zabezpečenou komunikaci mezi kartou a terminálem, stejně jako u kontaktní technologie (a na ni jsou také známy útoky).

A jak si to predstavujete? Ze chmatak prijde do banky a rekne: "tady mam 1000 cisel karet, ktere mi zaplatily po stovce, prosim vyplatit v hotovosti"? ;)

A zadny obchodnik to pres svou ctecku protahnout nenecha, protoze by ho hodne rychle sebrali...

Ale - pokud se jedná o elektronické peníze, jak si myslím, tak chmaták do žádné banky chodit nemusí, prostě je už má stažené z Vaší karty a zase s nimi klidně někde jinde zaplatí. Tyto platby nemají s bankou nic společného. Jde o (téměř identickou) elektronickou obdobu papírových peněz.

Jenomze komunikace mezi kartou a terminalem urcite nebude predani serioveho cisla ale nejaka sifrovana komunikace s aplikaci uvnitr karty (jako to dela treba opencard).

Záleží na tom, jakou technologii použijete. V článku se mluví o hybridních kartách pro kontaktní/bez­kontaktní technologii, tam bude asi čip použit pro oba typy plateb. Samozřejmě elektronická peněženka ala In-karta bude fungovat jinak.

Omyl. Ty karty se samozřejmě rušit nebudou. Pokud si přečtete něco o RFID, tak budete vědět, že právě RFID protokol zajišťuje rozlišení jednotlivých klientů. Např. v supermarketu si naházíte zboží do košíku a u pokladny si čtečka projede celou hromadu a vytahá si z ní jednotlivé položky, protože mají jedinečnou identifikaci, stejně jako např. ta zmiňovaná opencard.

Spis to budou dva nezavisle cipy, jako to ma treba ta zminovana opencard... A ostatne ani u cipovych platebnich karet ten cip neni jen podavadlo ID, ale aktivne se ucastni komunikace/si­frovani.

Zalezi na typu karty, Delaji se kolizni (lacinejsi, ale muze byt u ctecky jen jedna) a bezkolizni (drazsi, ctecka/protokol se srovna s vic kartami najednou)

Já myslím, že to naopak jednoduché bude. Samozřejmně, karty se navzájem můžou rušit, ideální bude nosit tyto karty ve Faradayově kleci. Ale samotný princip zde popisovaného systému je podle mne založen na elekronických penězích, čili tyto platby nejsou autorizovány bankou on-line (proto ta rychlost transakcí), proto také nepůjde kartu při ztrátě zablokovat, a jednou zcizené "peníze" jsou anonymní, navíc nejde o převody peněz z účtu na účet jako u platebních karet, ale klidně mohou zůstat ve čtečce, tak jako byly původně ("fyzicky") na Vaší kartě, takže zloděj nebude mít žádné problémy s uplatněním zcizených peněz. Nevidím žádný problém v tom si takovou čtečku vyrobit, strčit si ji do batohu a potloukat se davem turistů, a systém se zatím bude automaticky snažit "luxovat" karty našťastníků. Okradený na to přijde až kdovíkdy, když bude později platit nebo dobíjet kartu, o to bude práce "kapsářů" pohodlnější. Když každému sebere třeba "jen" stovku, tak si toho možná většina lidí ani hned nevšimne a nebude jim stát za to po tom nějak pátrat. Peníze by asi šlo později dohledat podle "sériových čísel" jako u běžných peněz, ale u té stovky to asi bude řešit málo kdo. Holt se opět čeká na Čechy, když to zatím jinde funguje, myslím že pro nás nebude problém tento systém nabourat. :-)

Myslíte? Já bych to spíše tipoval na obyčejné rfid. Pracovat s číslem karty je stejné jako pracovat s číslem id a to banky umí, jsou na to zvyklé. Zneužití karet je pak otázka primitivního wardrivingu a přepisovatelných karet. Zábava pro studenty průmyslovek na cestě mezi školou a hospodou.
A BTW jak se rozpozná na účtě autorizovaná útrata od neautorizované? Pokud dojde k rozšíření těchto plateb tak, jak banky doufají, můžu mít během měsíce cca 10-30 podobných mikroplateb (nákupy, obědy, mhd, zábava). V případě zneužití a provedení několika plateb navíc se ve výpise prostě ztratí.

Ale ono to nebude tak, ze by se penize hned pri transakci pripsaly na kartu obchodnika/zlodeje a ten s nimi zaplatil nekomu jinemu. Jedine co vzikne po platbe je informace pro banku "100Kc od kienta 123 pro obchodnika 456" a ta to nekdy pripise obchodnikovi na ucet.

Nedá mi to, abych nereagoval. Z principu je jako u všech takových zařízení, založených na RFID technologii možný man-in-the-middle útok, kdy tunelujete přenos mezi kartou a čtečkou.

Pokud to nebude slušně ošetřeno časováním, tak stačí na větší vzdálenost 2 mobily pro přenos dat, zbastlená čtečka, "emulátor" čipové karty (nejlépe Bluetooth, v "peněžence") a patřičně napsaný SW pro ty telefony. V době 3G sítí je to sice realizovatelné, ale problém bude se synchronizací těch 2 osob z hlediska placení.

Takže to zkusíme jinak. 2 komplici, 1 stojí ve frontě u dalšího člověka s peněženkou, 2 "platí". Nepotřebujete ani mobily, stačí přímý přenos signálu mezi zbastlenou čtečkou karty a "emulátorem" v peněžence na pár desítek nebo jednotek metrů.

Jinak bych chtěl poznamenat, že různé čipové karty mohou fungovat na různých frekvencích, takže karta na vstup do budovy, platby v kantýně, karta do Fit centra a karta pro el. peněženku se vůbec rušit nemusí.

...takže chmaták, kterej se na člověka nalepí v mhd už ani nebude potřebovat šikovný prsty, ale pouze někoho, kdo mu sbastlí čtečku...