Железо кредиток

Федор «5p1k3» Галков

Спецвыпуск Xakep, номер #036, стр. 036-004-3

Чип

Чип – самый высокотехнологичный элемент креды, и, естественно, этот вид карт стал применяться сравнительно недавно. Можно с уверенностью сказать, что за смарт-картами будущее (вернее, уже и настоящее).

У чиповых карт множество преимуществ перед другими и лишь один недостаток. Первый плюс – надежное хранение информации. А это - один из определяющих факторов в финансовых операциях (деньги ведь никто не хочет терять). Хотя, как ты знаешь, непробиваемой защиты не существует. Потом, если в карточке используется микросхема, то креда может сама принять решение о правомерности выполняемой сделки. К недостаткам можно отнести, разве что, сравнительно высокую стоимость производства карты.

Чиповые карты делятся на карты с памятью и карты с микросхемой.

Больше всего сейчас распространены креды с памятью (это самый простой вариант чиповой карты).

Для хранения инфы используется EEPROM (electrically erasable programmable read-only memory - электрически стираемая программируемая память только для чтения). Для обеспечения безопасности финансовых операций, вся память разделена на несколько зон, каждая из которых защищена отдельно (каждая своим ключом, одна из них - твоим pin-кодом). Считыванием инфы и определением валидности карты занимается терминал.

Карты с микросхемой устроены значительно сложнее, и, соответственно, стоимость их производства намного выше. В кредах применяется 8-разрядный проц, а также имеется постоянная (ROM) и оперативная (RAM) память. Для хранения информации используется все тот же EEPROM. Рабочий софт (некое подобие операционки) прошит жестко и перезаписи не подлежит. Аппаратная криптографическая защита построена обычно на алгоритмах RSA (Rivest-Shamir-Adleman) или DES (Data Encryption Standard) - про них ты наверняка много раз читал в Хакере.

Конечно, никаких элементов питания на карте не предусмотрено, поэтому креда «включается» только тогда, когда на нее терминалом подается рабочее напряжение (через контакты чипа).

Одним из бонусов креды с микросхемой является электронный кошелек. Он реализован аппаратно и представляет собой особый файл в памяти, содержащий сведения о количестве средств на счете. Для доступа к кошельку необходимо знать pin-код. При добавлении или списании средств со счета, соответственно изменяется файл.

Для большинства чиповых кред используется спецификация EMV, разработанная крупнейшими платежными системами: Europay, MasterCard и Visa.

При всем этом, кредитка может выполнять и дополнительные функции. Например - играть роль бесконтактного проездного в метро (кстати, такие креды иногда выдают студентам даже в наших вузах).

В последние время стали продвигаться всевозможные проекты девайсов для бесконтактного использования контактных кред (например, при помощи Bluetooth). Т.е. ты вставляешь кредитку в небольшой переходник и при оплате карточку доставать уже не нужно. Переходник сам обменяется всеми необходимыми данными с электронным терминалом. Так как все данные передаются по радиоканалу, то нет никакой гарантии, что их никто не перехватит. Поэтому весь трафик шифруется (при помощи ключей, которые передаются только на этапе персонализации карточки). Это, конечно, выглядит довольно ненадежно, но что поделаешь – всем хочется удобства.