Мир Знаний

Рынок кредитных и платежных карточек и направления его равития (стр. 4 из 20)

- картки лічильники;

- картки з пам'яттю;

- мікропроцесорні картки.

Практично кожну з перерахованих карток можна використовувати в якості платіжної. Однак лише деякі з них будуть задовольняти усім вимогам, яким повинна задовольняти воістину масова платіжна смарт-карта: невисокою вартістю, можливістю проводити будь-які (не тільки специфічні) платежі, гарною захищеністю і необхідним рівнем «інтелекту» для забезпечення технології off-line.

Технічні кошти

Лічильник – лічильники - карти-лічильники

Даний тип карток застосовується для такого типу розрахунків, коли потрібне вирахування фіксованої суми за кожну платіжну операцію. Такі карти ще називаються картками з попередньо оплаченою сумою. Прикладом таких розрахунків може бути плата за телефонну розмову. Звичайно в телефонах-автоматах кожна одиниця часу розмови має фіксовану ціну, її абонент оплачує монетками або спеціальними жетонами, що підраховує відповідний пристрій телефону. При застосуванні карт мінімальній сумі платежу ставиться у відповідність один біт пам'яті. У процесі розмови встановлюється зв'язок між телефоном і картою, і за кожну одиницю часу «перепалюється» деяка кількість бітів. Таким чином, карта заміняє монети або жетони.

Аналогічним образом карти-лічильники застосовуються при підписці на платне телебачення, при оплаті за проїзд, автостоянку і т.п. Спочатку використовувалися карти з однократно програмувальною пам'яттю (ППЗУ).

Після повного використання карти її приходилося викидати. Сучасні карти такого типу дозволяють після повного використання «відновлювати» уміст лічильника. Відновлення вмісту може бути виконано тільки при знанні визначеного коду, що дозволяє ця дія. Крім цього, картки містять область, у яку записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом. Картки, що дозволяють перезаписувати інформацію, відносяться до типу карток з енергонезалежною перепрограмувальною пам'яттю.

Карти з пам'яттю

Назва типу досить умовно — строго говорячи, усі смарт-карти мають пам'ять. Цей тип карт виділений як проміжний при переході від карт-лічильників до мікропроцесорних карток. Звичайно картки такого проміжного типу використовуються для збереження інформації. Існують два підтипи подібних карток: з незахищеної і з захищеною пам'яттю. Картки другого підтипу відрізняються від карток першого більш високим «інтелектом», спрямованим на запобігання несанкціонованого доступу до даних на картці. Однак тієї «інтелектуальності», що характерна для карток із мікропроцесорами, картки з захищеною пам'яттю не мають.

У картках з незахищеною пам'яттю немає обмежень по читанню або записові даних. Іноді них називають картками з повнодоступною пам'яттю; робота з ними (з погляду логічної структури даних) нагадує роботу з бінарним файлом. Ми можемо довільно структурувати картку на логічному рівні, розглядаючи її пам'ять як набір байтів, якому можна скопіювати в оперативну пам'ять або обновити спеціальними командами.

Картки з незахищеною пам'яттю використовувати в якості платіжних украй небезпечно. Досить легально придбати таку картку, скопіювати її пам'ять на диск, а далі після кожної покупки відновлювати її пам'ять копіюванням початкового стану даних з диска, причому нітрохи не цікавлячи тим, яка інформація зберігається на карті (тобто шифрування даних у пам'яті картки від шахрайства подібного роду не рятує). Зрозуміло, таку операцію може проробити лише кваліфікований програміст, але практика показує, що в Україні досить багато грамотних людей, здатних на таке заняття чисто з хакерских спонукань.

У картках із захищеною пам'яттю використовується спеціальний механізм для дозволу читання/запису або стирання інформації. Щоб провести ці операції, треба пред'явити картці спеціальний секретний код (а іноді і не один). Пред'явлення коду означає встановлення з нею зв'язку і передачу коду «усередину» карти — порівняння коду з ключем захисту читання/запису (стирання) даних проведе сама картка і «повідомить» про це пристроєві читання/запису смарт-карт. Читання записаних у пам'ять картки ключів захисту або копіювання пам'яті картки неможливо. У той же час, знаючи таемний код (коди), можна прочитати або записати дані, організовані найбільш прийнятним для платіжної системи логічним образом. Таким чином, картки з захищеною пам'яттю підходять для універсальних платіжних застосувань, добре захищені і при цьому недорогі, їхня ціна складає не більш 4 доларів для тиражів вище 5 тисяч.

Як правило, картки з захищеною пам'яттю містять область, у яку записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом, що дуже важливо для забезпечення неможливості підробки карти. З цією метою ідентифікаційні дані на картці «пропалюються».

Необхідно також, щоб на платіжній картці було щонайменше дві захищені області. Зупинимося на цьому важливому моменті докладніше.

Вище було сказано, що в технології безготівкових розрахунків по картках беруть участь, у загальному випадку, три юридично незалежні особи: клієнт, банк і магазин. Банк вносить гроші на картку (кредитуючи її), магазин знімає гроші з карти (дебетує її), і всі ці операції повинні робитися із санкції клієнта. Таким чином, доступ даним на картці й операції над ними треба розмежовувати. Це досягається розбивкою пам'яті карти на дві захищені різними ключами області — дебетну і кредитну. Кожен учасник операції має свій секретний ключ. У клієнта це ПІН — персональний ідентифікаційний номер; правильне його пред'явлення відкриває доступ до картки (по зчитуванню даних), однак не повинно змінювати інформацію, який розпоряджається кредитор картки (банк) або її дебітор (магазин). Ключ запису інформації в кредитну область картки мається тільки в банку; ключ запису інформації в дебетну область — у магазина. Тільки при пред'явленні відразу двох ключів (ПІНа клієнта і ключа банку при кредитуванні, ПІН-кода клієнта і ключа магазина при дебетувані) можна провести відповідну фінансову операцію — внести гроші або списати суму покупки з картки.

Якщо в якості платіжної використовуються картки з одною захищеною областю пам'яті, і банк, і магазин будуть працювати з однієї і тією же областю, застосовуючи однакові ключі захисту. Якщо банк, як емітент картки, може її дебетувати (наприклад, в банкоматах), то магазин права кредитувати картку не має. Однак така можливість йому дана — оскільки в силу необхідності дебетування картки при покупках він знає ключ захищеної зони. Та обставина, що і кредитор картки, і її дебітор (у загальному випадку — різні особи) користуються одним ключем, порушує відразу кілька основних принципів по захисту інформації (зокрема, принципи поділу повноважень і мінімальних повноважень). Це рано або пізно приведе до шахрайства. Не рятують ситуацію і криптографічні способи захисту інформації, про що вже говорилося вище.

Крім того, важливою особливістю карток із погляду їхньої захищеності є наявність спеціальних засобів, характерних для мікропроцесорних карток (див. нижче). Так, деякі картки незворотньо блокується по записі після пред'явлення невірного ПІН-коду більш трьох разів підряд, причому послідовне пред'явлення невірного ПІН-коду фіксується карткою і враховується при її блокуванні. Таким чином, навіть при відносно короткій довжині ПІН-коду (наприклад, з п'яти цифр) «зломати» карту шляхом систематичного підбора її секретного ключа практично неможливо.

Сервісні команди. Картки забезпечують різний спектр сервісних команд. Для нас найбільш цікаві з них — це засоби ведення електронних платежів. Замість двох областей у деяких картках для ведення електронних платежів створюється спеціальний файл, недоступний до читання/запису за допомогою звичайних команд керування файловою системою. З цим файлом можна робити тільки операції зарахування (кредитування) або списання (дебетування) фінансових кошт. Операція кредитування може бути проведена тільки при пред'явленні двох секретних кодів — коду клієнта і коду банку. Операція списання проводиться тільки по пред'явленню коду клієнта.

Прикладом подібної картки є картка PCOS фірми GEMPLUS Card International. Механізм захисту в карті PCOS досить витончений — так, не дозволено дебетування від’ємним числом (у деяких картах, у принципі, можна зменшити дебет, шляхом повернення платежу на картку). Крім того, карта PCOS забезпечує безпечне віддалене кредитування картки в режимі on-line, що, безумовно, дуже зручно клієнтам — можна внести кошті на картку в найближчому магазині, не заходячи в банк. Від’ємне кредитування можливе за рахунок вбудованих криптографічних засобів.

Спеціальні засоби. До спеціальних функціональних засобів відноситься можливість блокування картки. Розрізняється два види блокування: при пред'явленні неправильного транспортного коду і при несанкціонованому доступі.

Суть транспортного блокування полягає у тому, що доступ до картки неможливий без пред'явлення спеціального «транспортного» коду. Цей механізм необхідний для захисту від нелегального використання карток при розкраданні під час пересилання карти від виробника до споживача.

Суть блокування при несанкціонованому доступі полягає в тому, що якщо при доступі до інформації кілька разів неправильно був пред'явлений код доступу, то карта взагалі перестає бути працездатної. При цьому, у залежності від установленого режиму, картка може бути згодом або активізована при пред'явленні спеціального коду, або ні. В останньому випадку карта стає непридатної для подальшого використання.

Карти оптичної пам'яті. Карти оптичної пам'яті мають більшу ємність, чим карти пам'яті, але дані на них можуть бути записані тільки один раз. У таких картах використовується WORM-технологія (однократний запис — багаторазове читання). Лазер пропалює в кожній комірці пам'яті значення, рівне 0 або 1 (подібним чином записується музика на цифрових компакт-дисках). Звичайна карта може зберігати від 2 до 16 мегабайт інформації. Такі карти звичайно використовуються в додатках, де необхідно зберігати великі обсяги даних, не підлягаючих зміні, наприклад, медичні записи.