Как то не ожидаешь на geektimes таких желтых статей, достойных совсем желтых газет.
Ну если уж начал писать статью, то будь добр хоть немного в теме разбирайся (EMV платежи. В том числе и бесконтактные). Ну и вообще стиль автора статьи просто желтый желтый… и как раз характеризует уровень его технической грамотности.
В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается).
Ага… "по этим изоляторам потечет ток в родной город" (подпись под снимком опоры электропередач)
При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин
Ну все же он правильно и грамотно рассказал! Детали заключаются в том, что ничего особо с этой информацией и не сделаешь.
Разве что продать наивным кардерам, покупающим "номера кредитных карт".
Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман.
Запихнули в ридер (по виду похож на ACR128) еще и платку контроллера с SD картой (дешево и просто).
Развод наивных покупателей такого устройства, неспособных для Android телефона (c NFC) за пару часов простейшую программку написать.
EMV спецификации не секретны. Программка считывания статических данных в рамках EMV транзакции проста.
Если уж хочется данные карт собирать — поставь радом с терминалом (несколько метров) SDR приемник, да и слушай себе 13.56 МГц. T=CL не шифрован. SDR приемник копейки стоит. Только смысл?
А продажа этой железки — это для "коооол хакеров"… Заработают на этом только продавцы этих железок.
Работы по схемотехнике (3-й курс кажется..), где параметры R и С были указаны точнее 0.1% получали 2 бала автоматом.
Так что, с точностью «до карандаша» вполне инженерный подход.
Так и тянет привести цитату из "Похождения бравого солдата Швейка во время мировой войны"
"На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер....."
Когда мне предлагают подобные алгоритмы, то сразу это и вспоминается.
Увы. После 2..3-х недельного отпуска где ни будь в Азии, лично я, даже не могу вспомнить какую из фраз использовал для пароля. Редки удается в отведенное количество попыток уложиться.
Я экспериментировал с таким термометром (лежит разобранный с тех пор без дела) года 3 назад.
Точнее не точно с таким, но в таком же ценовом диапазоне.
Но…
1:12 (~5градусов) в характеристиках — это обман. По моим тестам, не менее 15 градусов.
Проверить легко. Стакан воды с кипятком + мерная дистанция и линейка на заднем плане.
Что не удивляет. В качестве фокусирующей системы — пластмассовая линза(?) или скорее просто IR фильтр + трубка с ребристыми стенками.
Датчик аналоговый. Нужно оцифровывать выход или искать где на схеме взять цифровой сигнал (я с ходу не нашел и не стал искать, разочаровавшись в характеристиках).
Уж лучше сразу модуль как в статье купить. Цена то того же порядка и размер поменьше и выход сразу цифровой.
При цене OTP брелка в 250 рублей (экран + кнопка генерации) для мелкой партии, делать свой вариант… ну только из любви к процессу. Не думаю, что TOTP дороже стоит (не запрашивали цену).
Сразу скажу, где в розницу купить — не знаю. Не интересовался. Но и мелким оптом продадут (юр.лицу точно) кому угодно.
Спасибо за статью. Для сисадминов с большим количеством паролей наверное это будет весьма интересно.
Хотя, если бы мне такое понадобилось (c большим количеством паролей), то сделал бы bluetooth, а пароли бы хранил в приложение на телефоне. Все же на "брелке" сложно управлять большим количеством паролей и с аутентификацией не слишком развернешься.
Сразу скажу, что не пробовал. Ибо, на мой взгляд, без механизма аутентификации владельца, это как на стикере записывать пароль (по уровню безопасности).
развел все в Sprint Layout. Сохранил, отдал китайцам на изготовление. Уже потом понял, что накосячил, забыл резисторы на usb, хорошо, что это оказалось легко исправимо. Но на будущее понял, что лучше день потерять, потом за пять минут долететь, чем разводить в Sprint Layout и делать глупые ошибки.
Платы приехали очень быстро, порядка 15 дней.
А можете чуть по подробнее рассказать? Сколько обошлось, в каком формате принимают, ссылки на…
Заранее спасибо.
Иногда так и хочется разово заказать плату в единичных экземплярах, но лень и неопределенность в сроках останавливает.
Да… действительно отстал… Похоже зря давно не интересовался.
Понятно, что в принципе ничего сложного сделать платку (сформировать 13Мгц сигнал и/или записать его на современном проце). Хотя казалось, что это все же уровень не школьника и не всякого студента (судя по публикациями на хабре).
Но не думал, что этим уже штатно торгуют!
А еще выкладывают в на github описание Cripto1, которое раньше даже под NDA из NXP вытащить было невозможно.
NXP давно в курсе. Вообще, специалистам, энтузиастам, давно это все известно. Недавно новая уязвимость была обнаружена: card-only attack на Mifare Plus (вообще снифферы больше не нужны).
Вы меня не поняли… О факте уязвимости известно. Ну и что?
Как раз все это в открытом доступе и доступно каждому школьнику (схемы, утилиты — думать вообще не надо), Вы отстали от жизни. Плюс можно купить готовую аппаратную часть за ~100 долларов.
Ссылку pls, где можно купить и где лежат утилиты доступные каждому школьнику.
Ладно, черт с ним с утилитами и железом, где подробности Mifare Cripto1 в свободном доступе?
Не документация полученная по NDA, а именно в свободном доступе, доступная «каждому школьнику».
Да даже при наличии документации, уверяю, каждому школьнику это не сделать.
«Что нам стоит дом построить… нарисуем — будем жить».
К вопросу «отстали от жизни». Такие слова то подтверждать нужно…
Вы совершенно правы.
Меня то же «несколько» удивило, что используя Mifare Plus даже в режиме SL1, они не стали пользоваться предоставленной опциональной возможностью AES аутентификации (которая есть и в SL1). Но акцентировать на этом не стал (ну все же информация по Mifare PLUS конфиденциальна).
Но раз вы публично пальцем ткнули…
Не буду больше защищать несколько корявые решения «Тройки». Тем более что они мне не партнеры, а даже наоборот.
Как раз все это в открытом доступе и доступно каждому школьнику (схемы, утилиты — думать вообще не надо), Вы отстали от жизни. Плюс можно купить готовую аппаратную часть за ~100 долларов.
Ссылку pls. С удовольствие покажу при встрече инженерам подразделения Mifare из NXP.
Когда не хватает аргументов, переходят на личности — это известный факт. По существу парировать было нечего, обозвав это разговорами за жизнь. Забавны отсылки к моему опыту.
Причем здесь личности.Вы действительно работали в проектах по транспортным картам?
Где вы увидели переход на личности? Так работали или нет?
Я теоретически должен быть рад проблемам Тройки. Но вот особо осуждать их не могу.
Потому что представляю как им (разработке) выкручивали руки требуя приложение в смартфоне.
И это суровая правда жизни. Не всегда можно выбрать идеальное с точки зрения архитектуры и «красивости» решение в рамках поставленных ограничений.
Именно про это сомнительное решение я и говорю. Вы сами не слышите, что говорите: предлагает использовать более дорогой носитель но все с тем де Mifare Classic, чтобы безопасно загрузить ключи Mifare, которые легко вскрываются и так (я бы даже не назвал это брутфорсом — на вскрытие уходит 5 мин.)
Это требование от бизнеса. Использовать Mifare Classic.
Насчет «легко вскрываются». Нужно иметь перехватчик протокола в канале карта ридер. нужно обладать специальными знаниями. Я например, знаю как это делается в подробностях.
В общем, далеко не каждый школьник/студент сможет собрать аппаратную часть, даже если он знает что и как (а в открытом доступе этой информации нет и надеюсь не будет). Не тривиально это.
Есть множество способов, как защитить обмен данными между сервером и приложением.
Принципиально не возможно защитится от компроментации данных, если клиентское приложение фактически «на руках у пользователя» и выполняется в незащищенной среде. При использовании прокси апплета, криптосессия устанавливается между апплетом и сервером и уже в этом канале (3des GP secure channel) передаются критичные данные которые в принципе не появляются в отрытом виде снаружи.
Все ваши остальные рассуждения говорят о том, что в области «транспортные карты и платежи» Вы никогда не работали и конкретных подводных камней не знаете. Как и откуда появляется новый функционал (особенно ужасные льготные карты и их алгоритмы) на практике не видели. С заказчиками на эти конкретные темы не общались.
Честно говоря… я все сказал по своему практическому опыту.
Рассуждать про облака… бизнес цели… неуважение к пользователям… тупиковые ветви развития… это не ко мне.
Не люблю пустой треп «за жизнь».
Вы писали " Или Java карту с прокси апплетом и поддержкой Mifare Classic…"
Если в качестве бесконтактного криптопротокола обмена данными между картой и ридером будет crypto-1 от Mifare Classic — то это ничего не меняет, считай, защиты никакой нет.
Это не придуманный фентезийный вариант.
Когда задача поставлена сохранить инфраструктуру приема Mifare Classic (ну только с этой картой большинство уже установленных железок на транспорте работают) и есть необходимость в незащищеных устройствах менять A|B ключи (время жизни) и модифицировать данные, то это один из вариантов — прокси апплет карты поддерживает криптосессию с сервером и меняет данные в Mifare области.
Не от хорошей жизни конечно.
считай, защиты никакой нет
Между «защиты нет никакой» можно перехватив радиотрафик и брутфорсить 6 байтовый ключ конкретной карты и
«защиты нет никакой» можно вытащить этот ключ из android приложения
лежит большая технологическая пропасть.
Более того, сейчас есть чипы, которые не только от Nxp и это не Mifare
Дуальные java карты например.
Все остальное (попытки Sagem-Orga), производители Calipso, локальные пропориетарные проекты… мелочь на фоне дуальных Java карт и NXP.
Мало того что мелочь, так еще и с неопределенным будущем.
(да, и Вы, вероятно, оговорились — NXP карты не делает, а производит чипы).
Мы же говорим не о том, кто пластик собирает. Под производителем карт, лично я понимаю скорее создателя маски кристалла(ПО и технологии). Gemalto и Oberthur вот, как правило, свои wafer не делает (да и сборку карт не всегда). Но все же их называют производителем карт, когда они СВОИ карты выпускают на чипе Infenion.
А Mifare PLUS — это только NXP.
Да и вообще в NXP просто жутко раздражаются когда при них упоминаешь китайских «независимых» производителей. Увы… уплыла технология на сторону.
Далее: при чем здесь ISO14443 B? Он такой же открытый, как и тип А, зачем переходить на другой тип? смысла никакого абсолютно. Собственно, обозначение ISO это подразумевает (международный стандарт).
«A» это фактически зафиксированный NXP протокол (тогда еще Philips). То, что он фиксирован в стандарте не отменяет некоторых юр. обязательств на тех, кто его захочет использовать. «B» таких проблем не имеет.
То что, например Gemplus (ой… GemAlto) выпускает свои Mifare карты и даже выходила на рынок со своими MifareClassic ридером и любит дуальные Java карты с «A» — это не означает, что они это делает потому что стандарт открытый…
Calypso, кстати, это T=CL. Но тоже проприетарная вещь, так что хрень редьки не слаще.
Калипсо в общем то открытый стандарт (был по крайней мере 4 года назад, когда мне нужно было по нему оценку сделать).
В смысле: доступный для ознакомления. Но вот «внести» в него изменения со стороны не возможно. И вообще это скорее стандарт не на карту (не столько на карту), а на платежную систему в целом. Плохо ложится на требования Российских заказчиков… Впрочем это отдельная длинная тема.
Вообще, значение T=CL переоценено. Какую такую логику нельзя сделать? В Mifare Classic — это посекторное хранение данных, а в T=CL файловая структура. Принципиально — одно и то же. Да, с файлами, возможно, работать чуть проще. НО итам шлейф тянуть дополнительных команд надо.
T=CL — это транспорт. Не более. Никакого отношения к файловой системе не имеющий.
Лично моем мнение, что вся логика принятия решения должна быть в приложении карты (как в EMV).
То, что Вы предлагает — вообще не разумно и я с этим не согласен — хранить логику на карте — тогда себестоимость карты возрастает в разы, поменялась логика, а у людей миллионы карт на руках — и что тогда? Как раз все, что возможно, надо переносить на бэк-энд, а на карте хранить только самое основное, не загружать ее лишним.
Боюсь создатели EMV и банковских карт с Вами не согласятся (я то же). Вот как раз проще иметь единое платежное приложение в устройстве. Если бы Вы только знали… какой геморой обновить инфраструктуру устройств. А всего то в городе N у администрации возник новый тип льготников, которым всего то нужно выдать 500 карт чуть с другой логикой…
Java карты дороже, чем Mifare PLUS, например, но не принципиально дороже.
А в принципе, все делается на одном потоке… разные маски и одинаковое количество чипов на одном вафере. Так что разница в цене всех карт — чистый маркетинг производителя.
Вообще, это вопрос правильного проектирования — систему надо разрабатывать таким образом, чтобы не зависеть от конкретного вендора. И это возможно. Например, я разрабатывал систему, которая не зависит от производителя. Да, приходится учитывать функциональность конкретного типа чипа, но задача как раз и в том, чтобы это предусмотреть при разработке. Создать некий уровень абстракции, который потом уже проецируется на конкретные носители.
По факту, в мире смарт карт, «проецируется на конкретные носители» — это только Java карты. Других альтернатив нет (Maltos скорее мертв чем жив)
Не совсем понял вопроса (по приведенному мной диалогу).
Как раз базовые уязвимости Mifare Classic все известны.
И из соображений безопасности и перспективы «Mifare Classic» не выбор.
Но вложения в уже существующую инфраструктуру уж больно велики. Ни кто не хочет разово менять инфраструктуру.
Да и модули ридеров Mifare Classic стоят сущие копейки.
И еще одна причина… Было бы из чего выбирать то.
И уж простят меня представители NXP, но лично я не считаю что у NXP новых карт есть будущее.
Рискну предположить, что переход будет выполнятся на открытый «ISO14443 B» с T=CL (карту которую могут делать не только NXP).
Я бы предположил что это будет Java карта.
Calipso, Mifare (PLUS то же) и прочие… да на них просто не сделать ту логику, которую зачастую хочет заказчик! С разницы не будет. Карта памяти и все. Все логика во внешнем приложении… Что не очень безопасно.
И хоть NXP, как мне кажется, сильно демпенгует с чипсетами и модулями ридеров (под свои карты), но как то страшновато попадать в кабалу к одному производителю.
Все это мои личные предположения и домыслы, хоть и основанные на… (в общем есть основания)
Увы. Старые дешевые Mifare Classic ридеры просто не предусматривают деривацию ключей.
Только мастер ключи и на ограниченное количество «слотов».
А совместимость с инфраструктурой гораздо дороже чем мелкие потери от хакеров.
С учетом того, что и еще есть «черный список» карт, загружаемый в устройства.
Потенциальные потери от мошенничества — ни о чем.
Но в принципе, сам факт работы с простой Mifare Classic напрямую чрез A/B ключи в Android приложении через NFC говорит о том, что эти ключи легко можно вытащить. Просто никому особо не надо было это.
А NXP зря притянули. Их представители всегда на встречах активно не рекомендуют использовать режим Mifare Classic. Он конечно есть в целях совместимости на новых картах NXP, но…
Догадываюсь, какой был диалог «бизнес» — «IT» (разработка+сопровождение):
Бизнес: Нам нужно что бы с бесконтактной картой можно было работать в
IT: Ну давайте DES Fire использовать… но тогда инфраструктуру менять придется… Или Java карту с прокси апплетом и поддержкой Mifare Classic… Но дорогая она нынче.
Бизнес: Мы тут посчитали… дороговато. Даешь работу в телефоне с обычной дешевой Mifare Classic
IT: Так сломают же..
Бизнес: А не волнует. Зато дешевле. И авось не сломают. Да и пусть ломают. потери не большие. Делайте!
IT: Есть!
возможно резон есть. Ну сколько этих гиков и хакеров… Украдут копейки.
Технический аудит по PCI-DSS выглядит похоже. Разве что не студенты, а грамотный специалист.
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
Ностальгия…
Как то подобное и на рассыпухе (обычная K155 серии «логика» + ПЗУ) один мой знакомый делал. Вот это был мазохизм.
Еще один кусочек который можно добавить — это передатчик. Хоть на одном транзисторе (на метровый диапазон).
Тогда даже кабеля к телевизору не надо. В радиусе 10-20 метров нормально сигнал ловится.
Тут вопрос в постановке задачи, а чего же надо достичь.
Вообще то я понял автора так (цитата из его предыдущей статьи):
я хочу написать написать управление для сервомотора: у меня есть текущее положение оси привода и текущая скорость её вращения, я хочу её остановить в заданном положении.
Т.е. максимально лучший практический результат.
И исходя из этого пытался сказать что выбранная структура (статическая) для этого не самая лучшая.
Если бы я увидел именно такую формулировку:
На сколько я помню, он тогда пояснил, что его цель — разобраться с построением классического, то есть статического, без собственной динамики, LQR, а не выжать максимум из имеющегося оборудования.
то слова бы не сказал против! Вполне нормальная исследовательская цель.
Но вот сейчас, пробежавшись по тексту статей, я такого пояснения не вижу.
Возможно пропустил…
Ну если уж начал писать статью, то будь добр хоть немного в теме разбирайся (EMV платежи. В том числе и бесконтактные). Ну и вообще стиль автора статьи просто желтый желтый… и как раз характеризует уровень его технической грамотности.
Ага… "по этим изоляторам потечет ток в родной город" (подпись под снимком опоры электропередач)
Ну все же он правильно и грамотно рассказал! Детали заключаются в том, что ничего особо с этой информацией и не сделаешь.
Разве что продать наивным кардерам, покупающим "номера кредитных карт".
Запихнули в ридер (по виду похож на ACR128) еще и платку контроллера с SD картой (дешево и просто).
Развод наивных покупателей такого устройства, неспособных для Android телефона (c NFC) за пару часов простейшую программку написать.
EMV спецификации не секретны. Программка считывания статических данных в рамках EMV транзакции проста.
Если уж хочется данные карт собирать — поставь радом с терминалом (несколько метров) SDR приемник, да и слушай себе 13.56 МГц. T=CL не шифрован. SDR приемник копейки стоит. Только смысл?
А продажа этой железки — это для "коооол хакеров"… Заработают на этом только продавцы этих железок.
Так что, с точностью «до карандаша» вполне инженерный подход.
Так и тянет привести цитату из "Похождения бравого солдата Швейка во время мировой войны"
"На шестнадцатом пути стоит паровоз номер четыре тысячи двести шестьдесят восемь. Я знаю, у вас плохая память на цифры, а если вам записать номер на бумаге, то вы бумагу эту также потеряете. Если у вас такая плохая память на цифры, послушайте меня повнимательней. Я вам докажу, что очень легко запомнить какой угодно номер....."
Когда мне предлагают подобные алгоритмы, то сразу это и вспоминается.
Увы. После 2..3-х недельного отпуска где ни будь в Азии, лично я, даже не могу вспомнить какую из фраз использовал для пароля. Редки удается в отведенное количество попыток уложиться.
Ну если в DIY и "под себя" (10 паролей), то да.
В принципе, ничего сложного то нет. Ни в конструкции, ни в ПО.
Есть и на таком проекты. И выложены видео ролики.
Я экспериментировал с таким термометром (лежит разобранный с тех пор без дела) года 3 назад.
Точнее не точно с таким, но в таком же ценовом диапазоне.
Но…
1:12 (~5градусов) в характеристиках — это обман. По моим тестам, не менее 15 градусов.
Проверить легко. Стакан воды с кипятком + мерная дистанция и линейка на заднем плане.
Что не удивляет. В качестве фокусирующей системы — пластмассовая линза(?) или скорее просто IR фильтр + трубка с ребристыми стенками.
Датчик аналоговый. Нужно оцифровывать выход или искать где на схеме взять цифровой сигнал (я с ходу не нашел и не стал искать, разочаровавшись в характеристиках).
Уж лучше сразу модуль как в статье купить. Цена то того же порядка и размер поменьше и выход сразу цифровой.
При цене OTP брелка в 250 рублей (экран + кнопка генерации) для мелкой партии, делать свой вариант… ну только из любви к процессу. Не думаю, что TOTP дороже стоит (не запрашивали цену).
Сразу скажу, где в розницу купить — не знаю. Не интересовался. Но и мелким оптом продадут (юр.лицу точно) кому угодно.
Спасибо за статью. Для сисадминов с большим количеством паролей наверное это будет весьма интересно.
Хотя, если бы мне такое понадобилось (c большим количеством паролей), то сделал бы bluetooth, а пароли бы хранил в приложение на телефоне. Все же на "брелке" сложно управлять большим количеством паролей и с аутентификацией не слишком развернешься.
А для обычного пользователя с < 10 паролями, можно попробовать что ни будь типа этого (один из многих проектов):
http://codeandlife.com/2012/03/03/diy-usb-password-generator/#more-305
http://www.ebay.com/itm/for-attiny85-m-development-board-digispark-kickstarter-micro-general-usb-diy-s0-/111972965329?hash=item1a121bdbd1:g:KYsAAOSwubRXFOpu
По цене меньше обеда в столовой.
Сразу скажу, что не пробовал. Ибо, на мой взгляд, без механизма аутентификации владельца, это как на стикере записывать пароль (по уровню безопасности).
А можете чуть по подробнее рассказать? Сколько обошлось, в каком формате принимают, ссылки на…
Заранее спасибо.
Иногда так и хочется разово заказать плату в единичных экземплярах, но лень и неопределенность в сроках останавливает.
Извиняюсь.
К слову, то что classic не уязвима — я как и не писал…
Давно не искал и не смотрел такие вещи как инструментарий для анализа в продаже.
А то, что есть объективные условия почему ее до сих пор используют, наверное Вы и сами понимаете.
for bromium
Да… действительно отстал… Похоже зря давно не интересовался.
Понятно, что в принципе ничего сложного сделать платку (сформировать 13Мгц сигнал и/или записать его на современном проце). Хотя казалось, что это все же уровень не школьника и не всякого студента (судя по публикациями на хабре).
Но не думал, что этим уже штатно торгуют!
А еще выкладывают в на github описание Cripto1, которое раньше даже под NDA из NXP вытащить было невозможно.
Действительно. Уровень входа минимальнейший.
Вы меня не поняли… О факте уязвимости известно. Ну и что?
Ссылку pls, где можно купить и где лежат утилиты доступные каждому школьнику.
Ладно, черт с ним с утилитами и железом, где подробности Mifare Cripto1 в свободном доступе?
Не документация полученная по NDA, а именно в свободном доступе, доступная «каждому школьнику».
Да даже при наличии документации, уверяю, каждому школьнику это не сделать.
«Что нам стоит дом построить… нарисуем — будем жить».
К вопросу «отстали от жизни». Такие слова то подтверждать нужно…
Меня то же «несколько» удивило, что используя Mifare Plus даже в режиме SL1, они не стали пользоваться предоставленной опциональной возможностью AES аутентификации (которая есть и в SL1). Но акцентировать на этом не стал (ну все же информация по Mifare PLUS конфиденциальна).
Но раз вы публично пальцем ткнули…
Не буду больше защищать несколько корявые решения «Тройки». Тем более что они мне не партнеры, а даже наоборот.
Ссылку pls. С удовольствие покажу при встрече инженерам подразделения Mifare из NXP.
Причем здесь личности.Вы действительно работали в проектах по транспортным картам?
Где вы увидели переход на личности? Так работали или нет?
Я теоретически должен быть рад проблемам Тройки. Но вот особо осуждать их не могу.
Потому что представляю как им (разработке) выкручивали руки требуя приложение в смартфоне.
И это суровая правда жизни. Не всегда можно выбрать идеальное с точки зрения архитектуры и «красивости» решение в рамках поставленных ограничений.
Это требование от бизнеса. Использовать Mifare Classic.
Насчет «легко вскрываются». Нужно иметь перехватчик протокола в канале карта ридер. нужно обладать специальными знаниями. Я например, знаю как это делается в подробностях.
В общем, далеко не каждый школьник/студент сможет собрать аппаратную часть, даже если он знает что и как (а в открытом доступе этой информации нет и надеюсь не будет). Не тривиально это.
Принципиально не возможно защитится от компроментации данных, если клиентское приложение фактически «на руках у пользователя» и выполняется в незащищенной среде. При использовании прокси апплета, криптосессия устанавливается между апплетом и сервером и уже в этом канале (3des GP secure channel) передаются критичные данные которые в принципе не появляются в отрытом виде снаружи.
Все ваши остальные рассуждения говорят о том, что в области «транспортные карты и платежи» Вы никогда не работали и конкретных подводных камней не знаете. Как и откуда появляется новый функционал (особенно ужасные льготные карты и их алгоритмы) на практике не видели. С заказчиками на эти конкретные темы не общались.
Честно говоря… я все сказал по своему практическому опыту.
Рассуждать про облака… бизнес цели… неуважение к пользователям… тупиковые ветви развития… это не ко мне.
Не люблю пустой треп «за жизнь».
Это не придуманный фентезийный вариант.
Когда задача поставлена сохранить инфраструктуру приема Mifare Classic (ну только с этой картой большинство уже установленных железок на транспорте работают) и есть необходимость в незащищеных устройствах менять A|B ключи (время жизни) и модифицировать данные, то это один из вариантов — прокси апплет карты поддерживает криптосессию с сервером и меняет данные в Mifare области.
Не от хорошей жизни конечно.
Между «защиты нет никакой» можно перехватив радиотрафик и брутфорсить 6 байтовый ключ конкретной карты и
«защиты нет никакой» можно вытащить этот ключ из android приложения
лежит большая технологическая пропасть.
Дуальные java карты например.
Все остальное (попытки Sagem-Orga), производители Calipso, локальные пропориетарные проекты… мелочь на фоне дуальных Java карт и NXP.
Мало того что мелочь, так еще и с неопределенным будущем.
Мы же говорим не о том, кто пластик собирает. Под производителем карт, лично я понимаю скорее создателя маски кристалла(ПО и технологии). Gemalto и Oberthur вот, как правило, свои wafer не делает (да и сборку карт не всегда). Но все же их называют производителем карт, когда они СВОИ карты выпускают на чипе Infenion.
А Mifare PLUS — это только NXP.
Да и вообще в NXP просто жутко раздражаются когда при них упоминаешь китайских «независимых» производителей. Увы… уплыла технология на сторону.
«A» это фактически зафиксированный NXP протокол (тогда еще Philips). То, что он фиксирован в стандарте не отменяет некоторых юр. обязательств на тех, кто его захочет использовать. «B» таких проблем не имеет.
То что, например Gemplus (ой… GemAlto) выпускает свои Mifare карты и даже выходила на рынок со своими MifareClassic ридером и любит дуальные Java карты с «A» — это не означает, что они это делает потому что стандарт открытый…
Калипсо в общем то открытый стандарт (был по крайней мере 4 года назад, когда мне нужно было по нему оценку сделать).
В смысле: доступный для ознакомления. Но вот «внести» в него изменения со стороны не возможно. И вообще это скорее стандарт не на карту (не столько на карту), а на платежную систему в целом. Плохо ложится на требования Российских заказчиков… Впрочем это отдельная длинная тема.
T=CL — это транспорт. Не более. Никакого отношения к файловой системе не имеющий.
Лично моем мнение, что вся логика принятия решения должна быть в приложении карты (как в EMV).
Боюсь создатели EMV и банковских карт с Вами не согласятся (я то же). Вот как раз проще иметь единое платежное приложение в устройстве. Если бы Вы только знали… какой геморой обновить инфраструктуру устройств. А всего то в городе N у администрации возник новый тип льготников, которым всего то нужно выдать 500 карт чуть с другой логикой…
Java карты дороже, чем Mifare PLUS, например, но не принципиально дороже.
А в принципе, все делается на одном потоке… разные маски и одинаковое количество чипов на одном вафере. Так что разница в цене всех карт — чистый маркетинг производителя.
По факту, в мире смарт карт, «проецируется на конкретные носители» — это только Java карты. Других альтернатив нет (Maltos скорее мертв чем жив)
Как раз базовые уязвимости Mifare Classic все известны.
И из соображений безопасности и перспективы «Mifare Classic» не выбор.
Но вложения в уже существующую инфраструктуру уж больно велики. Ни кто не хочет разово менять инфраструктуру.
Да и модули ридеров Mifare Classic стоят сущие копейки.
И еще одна причина… Было бы из чего выбирать то.
И уж простят меня представители NXP, но лично я не считаю что у NXP новых карт есть будущее.
Рискну предположить, что переход будет выполнятся на открытый «ISO14443 B» с T=CL (карту которую могут делать не только NXP).
Я бы предположил что это будет Java карта.
Calipso, Mifare (PLUS то же) и прочие… да на них просто не сделать ту логику, которую зачастую хочет заказчик! С разницы не будет. Карта памяти и все. Все логика во внешнем приложении… Что не очень безопасно.
И хоть NXP, как мне кажется, сильно демпенгует с чипсетами и модулями ридеров (под свои карты), но как то страшновато попадать в кабалу к одному производителю.
Все это мои личные предположения и домыслы, хоть и основанные на… (в общем есть основания)
Только мастер ключи и на ограниченное количество «слотов».
А совместимость с инфраструктурой гораздо дороже чем мелкие потери от хакеров.
С учетом того, что и еще есть «черный список» карт, загружаемый в устройства.
Потенциальные потери от мошенничества — ни о чем.
Но в принципе, сам факт работы с простой Mifare Classic напрямую чрез A/B ключи в Android приложении через NFC говорит о том, что эти ключи легко можно вытащить. Просто никому особо не надо было это.
А NXP зря притянули. Их представители всегда на встречах активно не рекомендуют использовать режим Mifare Classic. Он конечно есть в целях совместимости на новых картах NXP, но…
Догадываюсь, какой был диалог «бизнес» — «IT» (разработка+сопровождение):
возможно резон есть. Ну сколько этих гиков и хакеров… Украдут копейки.
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
Как то подобное и на рассыпухе (обычная K155 серии «логика» + ПЗУ) один мой знакомый делал. Вот это был мазохизм.
Еще один кусочек который можно добавить — это передатчик. Хоть на одном транзисторе (на метровый диапазон).
Тогда даже кабеля к телевизору не надо. В радиусе 10-20 метров нормально сигнал ловится.
Вообще то я понял автора так (цитата из его предыдущей статьи):
Т.е. максимально лучший практический результат.
И исходя из этого пытался сказать что выбранная структура (статическая) для этого не самая лучшая.
Если бы я увидел именно такую формулировку:
то слова бы не сказал против! Вполне нормальная исследовательская цель.
Но вот сейчас, пробежавшись по тексту статей, я такого пояснения не вижу.
Возможно пропустил…