SlideShare a Scribd company logo

La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo

CATTID "Sapienza"
CATTID "Sapienza"
Technology
1 of 23
Download to read offline
La sicurezza delle applicazioni di Mobile Payment Sviluppo di un'applet Java Card che implementa un protocollo di Mutua Autenticazione fra un cellulare con tecnologia NFC e un POS Candidato Responsabile Corresponsabile Paolo Di Rollo Prof.ssa Maria De Marsico Prof. Carlo Maria Medaglia
Lo stage è stato svolto presso il CATTID (Centro per le Applicazioni della Televisione e delle Tecniche di Istruzione a Distanza). Obiettivi • Individuare eventuali punti di debolezza nelle procedure attualmente in uso nei sistemi di Mobile Proximity Payment • Intervenire al fine di creare e implementare un protocollo di comunicazione che aumenti il livello di sicurezza. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 2 Payment
I Mobile Payment • Cosa sono? Con Mobile Payment si intende «ogni pagamento che ha inizio, viene confermato e ricevuto attraverso l’uso di dispositivi mobili». • Principali Tipologie di Pagamento  Remote - pagamenti che utilizzano tecnologie server- side, quali SMS, IVR (Interactive Voice Response), USSD (Unstructured Supplementary Service Data) etc.  Proximity - pagamenti che riguardano principalmente transazioni offline e la cui logica di funzionamento è concentrata lato terminale (client-side). Vi è la necessità di una vicinanza fisica tra acquirente e venditore. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 3 Payment
Proximity Payment con Tecnologia NFC I Mobile Proximity Payments all’interno della SEPA (Single Euro Payments Area) sono basati solo sull’uso della tecnologia Near Field Communication (NFC). NFC L’NFC è una tecnologia wireless che: • Opera su un canale RF (Radio Frequency) a 13,56 Mhz • Lavora su distanze limitate (< 10 cm) • Prevede tre modalità operative: – Card Emulation – Reader Mode – P2P Card Emulation Il cellulare, con al suo interno l’applicazione di pagamento, agisce come una carta in un sistema di pagamento contactless e può dunque sfruttare l’intera infrastruttura di pagamento esistente. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 4 Payment
Smart Card Una Smart Card è un particolare circuito integrato che al contrario delle tradizionali carte a banda magnetica possiede: • Maggiore capacità memoria (ROM, RAM e EEPROM) • Una CPU • Un coprocessore crittografico (opzionale) • Un sistema operativo (Java Card, Multos etc.) • Offre maggiore sicurezza La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 5 Payment
Il Secure Element (SE) Il SE è un luogo sicuro nel quale mantenere i dati sensibili relativi all’utente. Può essere allocato all'interno di uno dei seguenti dispositivi: • UICC (Universal Integrated Circuit Card) • Smart Chip integrato • Memory Card SmartMX SmartMX (Memory eXtension) è una smart card multi-applicazione ideata da Philips, integrata nel Nokia 6212 utilizzato per lo sviluppo della tesi. Lo SmartMX ha le seguenti caratteristiche: • Possiede una CPU ed un coprocessore crittografico • Supporta Java Card La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 6 Payment
Problemi di sicurezza nella comunicazione La tecnologia NFC, essendo figlia dei sistemi RFId ne eredita anche tutte le problematiche di sicurezza. Le minacce di cui bisogna tener conto sono: • Intercettazione: possibilità che un attaccante intercetti la comunicazione. • Attacco Man-In-The-Middle: possibilità che un attaccante si inserisca nella comunicazione e alteri i messaggi scambiati tra i dispositivi di ignari possessori. • Disturbo della comunicazione: possibilità che un attaccante disturbi il campo RF dei dispositivi che comunicano. • Replay Attack: possibilità che un attaccante replichi un messaggio precedentemente scambiato tra i dispositivi. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 7 Payment
Soluzioni Il migliore approccio per difendersi dalle minacce appena descritte è: • L’Autenticazione dei dispositivi che comunicano attraverso l’uso di certificati digitali • La costruzione di un canale sicuro attraverso l’uso della crittografia asimmetrica La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 8 Payment
Sistemi di pagamento Attuali 1/3 PayPass • Sviluppato da Mastercard • Non prevede l’uso di PIN • Il Centro Elaborativo provvede al controllare delle credenziali. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 9 Payment
Sistemi di pagamento Attuali 2/3 Felica Mobile • Utilizza una Smart Card Sony • Attualmente utilizzata in Giappone • Le infrastrutture per i Mobile Payment sono fornite dagli operatori telefonici • Le applicazioni sono fornite dai Service Provider La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 10 Payment
Sistemi di pagamento Attuali 3/3 Google Wallet • Annunciato a giugno 2011 • Per pagare attraverso la comunicazione con un POS, l’utente deve associare i dati della carta di credito all’applicazione presente sul dispositivo mobile La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 11 Payment
Standard EMV Lo standard EMV è stato definito dalle maggiori organizzazioni mondiali di carte di pagamento: Europay, Mastercard e Visa. Definisce regole comuni per le applicazioni di pagamento basate su Smart Card e prevede: • L’autenticazione offline della carta • L’utilizzo di una infrastruttura PKI (Public Key Infrastructure) • L’esistenza di una Autorità di Certificazione (CA) Esistono due meccanismi che rispettano le regole definite dallo standard EMV: • SDA (Static Authentication Data) • DDA (Dynamic Authentication Data) La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 12 Payment
SDA • SDA è uno schema che utilizza le firme digitali e lavora attraverso la crittografia asimmetrica. • Il fornitore della smart card firma tutti i dati sensibili presenti sulla carta attraverso la propria chiave privata. • Tutti i terminali (POS) che possiedono la chiave pubblica del fornitore possono verificare l’integrità e l’autenticità dei dati. • Un attaccante può tuttavia intercettare i dati firmati e quindi clonare la carta. Issuer CA Acquirente Dati Firmati dall’Issuer Certificato dell’Issuer La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 13 Payment
DDA • DDA, come SDA, è uno schema che utilizza le firme digitali e lavora attraverso la crittografia asimmetrica. • In questo schema ogni carta possiede una coppia di chiavi (pubblica e privata) che utilizza, in fase di autenticazione, per firmare dati random inviati da un terminale (POS). • Ogni terminale che possiede il certificato digitale della Smart Card può verificare la firma apposta e quindi verificare che non sia stata contraffatta. Issuer CA Acquirente Certificato digitale Issuer Certificato digitale Smart Card La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 14 Payment
L’idea Lo standard EMV non prevede l’autenticazione del POS nei confronti della carta. Un attaccante potrebbe contraffare il software del POS per commettere frode nei confronti dell’acquirente ignaro. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 15 Payment
SecureWallet • Borsellino elettronico per transazioni offline. Gli APDU (Application Protocol Data Unit) • Autenticazione nei confronti del POS. una rappresentano il mezzo attraverso il quale Smart Card comunica con il mondo esterno e • Autenticazione del standard ISO 7816. sono definiti nello POS. • Creazione di un canale di comunicazione fra CLA INS P1 P2 Lc Data Le telefono e POS, protetto attraverso l’uso della crittografia. • Transazioni di pagamento attraverso lo scambio di APDU cifrati. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 16 Payment
Strumenti a disposizione Nokia 6212 Classic POS Ingenico La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 17 Payment
Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 1. Mutuo Scambio dei certificati digitali • Il POS invia il proprio certificato digitale X.509 • L’Applet invia il proprio certificato X.509 La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 18 Payment
Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 2. Scambio della Chiave di Sessione • Il POS invia la prima metà della chiave di sessione DES, cifrata attraverso la chiave pubblica dell’Applet con l’RSA • L’Applet invia la seconda metà della chiave di sessione DES, cifrata attraverso la chiave pubblica del POS con l’RSA La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 19 Payment
Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 3. Invio dell’APDU di pagamento cifrato • Il POS invia il comando di pagamento cifrato con la chiave di sessione DES • L’Applet decifra il comando e, se il credito è sufficiente, completa la transazione di pagamento La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 20 Payment
Test Il test del sistema di pagamento è stato effettuato su diversi input ed i risultati proposti sono il frutto di una media effettuata sulla valutazione complessiva dei risultati. Complessivamente una transazione ha impiegato 6,04 secondi e i risultati sono mostrati nel dettaglio nel grafico che segue. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 21 Payment
Conclusioni e Sviluppi futuri I Mobile Payment sono ormai una realtà e uno dei fattori che a mio avviso permetterebbe la diffusione su larga scala di questa tecnologia, è lo sviluppo di standard di sicurezza comuni. Il sistema progettato ha un notevole potenziale ma necessita di modifiche e ulteriori sviluppi al fine di migliorarne le prestazioni. • Utilizzo delle Curve Ellittiche • Verifica della firma digitale • Sviluppo di un nuovo tipo di certificato digitale La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 22 Payment
Grazie per l’attenzione La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 23 Payment

Recommended

La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloCATTID "Sapienza"
 
Next Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaNext Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment_Antonella MarinoCATTID "Sapienza"
 
SIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaSIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaCATTID "Sapienza"
 
SIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaSIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoCATTID "Sapienza"
 
Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012CATTID "Sapienza"
 
040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfid040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfidVincenzo Romeo
 

Recommended

La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloCATTID "Sapienza"
 
Next Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaNext Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment_Antonella MarinoCATTID "Sapienza"
 
SIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaSIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaCATTID "Sapienza"
 
SIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaSIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoCATTID "Sapienza"
 
Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012CATTID "Sapienza"
 
040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfid040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfidVincenzo Romeo
 
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoCATTID "Sapienza"
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010CATTID "Sapienza"
 
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersIl nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersValue Partners
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
CIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleCIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleAlessandro Alessandroni
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzioneLisaGiansante1
 
L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoCATTID "Sapienza"
 
Smau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSmau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSMAU
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
QR Code Security
QR Code SecurityQR Code Security
QR Code SecurityAntonio Tandoi
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...CATTID "Sapienza"
 
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...Flavio Bontà
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...Boymix81
 
(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di Laurea(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di LaureaDaniele Di Mitri
 
Presentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea MagistralePresentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea MagistraleMatteo Vacca
 
Power Point - Tesi Triennale
Power Point - Tesi TriennalePower Point - Tesi Triennale
Power Point - Tesi TriennaleSaverio Menin
 
Presentazione tesi di laurea
Presentazione tesi di laureaPresentazione tesi di laurea
Presentazione tesi di laureaErika Montoli
 
Università Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano CostaUniversità Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano Costaguest777bcf
 
Presentazione tesi laurea magistrale
Presentazione tesi laurea magistralePresentazione tesi laurea magistrale
Presentazione tesi laurea magistraleLuigi De Russis
 

More Related Content

What's hot

Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoCATTID "Sapienza"
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010CATTID "Sapienza"
 
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersIl nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersValue Partners
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzioneLisaGiansante1
 
L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoCATTID "Sapienza"
 
Smau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSmau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSMAU
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 

What's hot (11)

Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010
 
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersIl nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazione
 
CIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleCIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finale
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzione
 
L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era internt
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
 
Smau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgIDSmau Bologna 2015 - Francesco Tortorelli, AgID
Smau Bologna 2015 - Francesco Tortorelli, AgID
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era internt
 
QR Code Security
QR Code SecurityQR Code Security
QR Code Security
 

Viewers also liked

Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...CATTID "Sapienza"
 
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...Flavio Bontà
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...daniel_zotti
 
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...Boymix81
 
(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di Laurea(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di LaureaDaniele Di Mitri
 
Presentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea MagistralePresentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea MagistraleMatteo Vacca
 
Power Point - Tesi Triennale
Power Point - Tesi TriennalePower Point - Tesi Triennale
Power Point - Tesi TriennaleSaverio Menin
 
Presentazione tesi di laurea
Presentazione tesi di laureaPresentazione tesi di laurea
Presentazione tesi di laureaErika Montoli
 
Università Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano CostaUniversità Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano Costaguest777bcf
 
Presentazione tesi laurea magistrale
Presentazione tesi laurea magistralePresentazione tesi laurea magistrale
Presentazione tesi laurea magistraleLuigi De Russis
 
Slides tesi di laurea Fabiano Dalla Piazza
Slides tesi di laurea Fabiano Dalla PiazzaSlides tesi di laurea Fabiano Dalla Piazza
Slides tesi di laurea Fabiano Dalla PiazzaFabiano Dalla Piazza
 
Presentazione Tesi Laurea Triennale
Presentazione Tesi Laurea TriennalePresentazione Tesi Laurea Triennale
Presentazione Tesi Laurea Triennalelzenki
 

Viewers also liked (13)

Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
 
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
 
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
Una webapp per il servizio di e-receuitment: progettazione e sviluppo con dat...
 
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
Progettazione e sviluppo di un'applicazione web per la gestione di dati di at...
 
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
Presentazione della Tesi di Laurea Specialistica : STRUMENTI PER LA GENERAZIO...
 
(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di Laurea(IT) Slides della presentazione della tesi di Laurea
(IT) Slides della presentazione della tesi di Laurea
 
Presentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea MagistralePresentazione Tesi Laurea Magistrale
Presentazione Tesi Laurea Magistrale
 
Power Point - Tesi Triennale
Power Point - Tesi TriennalePower Point - Tesi Triennale
Power Point - Tesi Triennale
 
Presentazione tesi di laurea
Presentazione tesi di laureaPresentazione tesi di laurea
Presentazione tesi di laurea
 
Università Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano CostaUniversità Di Salerno Presentazione Tesi Gaetano Costa
Università Di Salerno Presentazione Tesi Gaetano Costa
 
Presentazione tesi laurea magistrale
Presentazione tesi laurea magistralePresentazione tesi laurea magistrale
Presentazione tesi laurea magistrale
 
Slides tesi di laurea Fabiano Dalla Piazza
Slides tesi di laurea Fabiano Dalla PiazzaSlides tesi di laurea Fabiano Dalla Piazza
Slides tesi di laurea Fabiano Dalla Piazza
 
Presentazione Tesi Laurea Triennale
Presentazione Tesi Laurea TriennalePresentazione Tesi Laurea Triennale
Presentazione Tesi Laurea Triennale
 

Similar to La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo

La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...Team per la Trasformazione Digitale
 
Smau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSmau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSMAU
 
Le soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceLe soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceCompass For You
 
Qrcode PAY -Web System
Qrcode PAY -Web SystemQrcode PAY -Web System
Qrcode PAY -Web Systemwebsystem_sas
 
Ingenico Intel Internet of things
Ingenico Intel Internet of thingsIngenico Intel Internet of things
Ingenico Intel Internet of thingsABIEventi
 
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoPresentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoSergio Primo Del Bello
 
Come la Blockchain rivoluzionerà il turismo
Come la Blockchain rivoluzionerà il turismoCome la Blockchain rivoluzionerà il turismo
Come la Blockchain rivoluzionerà il turismoDomenico Palladino
 
Special report digital identity security
Special report digital identity securitySpecial report digital identity security
Special report digital identity securityLuigi Dessi
 
Domec for GDO & Retail
Domec for GDO & RetailDomec for GDO & Retail
Domec for GDO & RetailDomec S.p.A.
 
TrustMe - Concorso Telecom-Sinfonia
TrustMe - Concorso Telecom-SinfoniaTrustMe - Concorso Telecom-Sinfonia
TrustMe - Concorso Telecom-Sinfoniagiuseppe_ravida
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
 
Sistema Trasmissione Assegni Digitali
Sistema Trasmissione Assegni DigitaliSistema Trasmissione Assegni Digitali
Sistema Trasmissione Assegni DigitaliEnrico Mozzati
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Stefano Sanna
 

Similar to La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo (20)

La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
 
Gestione eventi
Gestione eventi Gestione eventi
Gestione eventi
 
Smau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSmau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria Medaglia
 
Le soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceLe soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerce
 
Qrcode PAY -Web System
Qrcode PAY -Web SystemQrcode PAY -Web System
Qrcode PAY -Web System
 
iStrumentum premioforumpa2017_1
iStrumentum premioforumpa2017_1iStrumentum premioforumpa2017_1
iStrumentum premioforumpa2017_1
 
Ingenico Intel Internet of things
Ingenico Intel Internet of thingsIngenico Intel Internet of things
Ingenico Intel Internet of things
 
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-BergamoPresentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
Presentazione del sistema di conservazione elettronica scelto dal CST-Bergamo
 
Payments Evolution
Payments EvolutionPayments Evolution
Payments Evolution
 
Progetto CASCO.pdf
Progetto CASCO.pdfProgetto CASCO.pdf
Progetto CASCO.pdf
 
Come la Blockchain rivoluzionerà il turismo
Come la Blockchain rivoluzionerà il turismoCome la Blockchain rivoluzionerà il turismo
Come la Blockchain rivoluzionerà il turismo
 
Special report digital identity security
Special report digital identity securitySpecial report digital identity security
Special report digital identity security
 
Symantec Code Signing (IT)
Symantec Code Signing (IT)Symantec Code Signing (IT)
Symantec Code Signing (IT)
 
Domec for GDO & Retail
Domec for GDO & RetailDomec for GDO & Retail
Domec for GDO & Retail
 
Workshop 20092019 Angiolini
Workshop 20092019 AngioliniWorkshop 20092019 Angiolini
Workshop 20092019 Angiolini
 
TrustMe - Concorso Telecom-Sinfonia
TrustMe - Concorso Telecom-SinfoniaTrustMe - Concorso Telecom-Sinfonia
TrustMe - Concorso Telecom-Sinfonia
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
 
Sistema Trasmissione Assegni Digitali
Sistema Trasmissione Assegni DigitaliSistema Trasmissione Assegni Digitali
Sistema Trasmissione Assegni Digitali
 
Soluzioni nfc pe la gdo
Soluzioni nfc pe la gdoSoluzioni nfc pe la gdo
Soluzioni nfc pe la gdo
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018
 

More from CATTID "Sapienza"

Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...CATTID "Sapienza"
 
Taptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiTaptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiCATTID "Sapienza"
 
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaNext stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaCATTID "Sapienza"
 
Atac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiAtac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiCATTID "Sapienza"
 
Have a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloHave a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloCATTID "Sapienza"
 
Have a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloHave a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloCATTID "Sapienza"
 
Soccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiSoccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiCATTID "Sapienza"
 
Share your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaShare your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaCATTID "Sapienza"
 
Share your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaShare your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaCATTID "Sapienza"
 
P -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniP -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniCATTID "Sapienza"
 
La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere CATTID "Sapienza"
 
CinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCATTID "Sapienza"
 
Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale CATTID "Sapienza"
 
The italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioThe italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioCATTID "Sapienza"
 
Allergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiAllergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiCATTID "Sapienza"
 
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...CATTID "Sapienza"
 
User centered bank design_Roberta Fanciulli
User centered bank design_Roberta FanciulliUser centered bank design_Roberta Fanciulli
User centered bank design_Roberta FanciulliCATTID "Sapienza"
 

More from CATTID "Sapienza" (20)

Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
 
Taptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiTaptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpi
 
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaNext stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
 
Atac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiAtac Attack_Simona Potremolesi
Atac Attack_Simona Potremolesi
 
Have a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloHave a good brain!_Elisa Bottallo
Have a good brain!_Elisa Bottallo
 
Have a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloHave a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa Bottallo
 
Soccer mad_Chiara Conti
Soccer mad_Chiara ContiSoccer mad_Chiara Conti
Soccer mad_Chiara Conti
 
Soccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiSoccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara Conti
 
Share your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaShare your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna Leszczynska
 
Share your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaShare your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-Leszczynska
 
Artsonomy
ArtsonomyArtsonomy
Artsonomy
 
P Lamp
P LampP Lamp
P Lamp
 
P -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniP -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto Grixoni
 
La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere
 
CinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca Marra
 
Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale
 
The italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioThe italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De Cecio
 
Allergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiAllergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia Rosi
 
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
 
User centered bank design_Roberta Fanciulli
User centered bank design_Roberta FanciulliUser centered bank design_Roberta Fanciulli
User centered bank design_Roberta Fanciulli
 

La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo

  • 1. La sicurezza delle applicazioni di Mobile Payment Sviluppo di un'applet Java Card che implementa un protocollo di Mutua Autenticazione fra un cellulare con tecnologia NFC e un POS Candidato Responsabile Corresponsabile Paolo Di Rollo Prof.ssa Maria De Marsico Prof. Carlo Maria Medaglia
  • 2. Lo stage è stato svolto presso il CATTID (Centro per le Applicazioni della Televisione e delle Tecniche di Istruzione a Distanza). Obiettivi • Individuare eventuali punti di debolezza nelle procedure attualmente in uso nei sistemi di Mobile Proximity Payment • Intervenire al fine di creare e implementare un protocollo di comunicazione che aumenti il livello di sicurezza. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 2 Payment
  • 3. I Mobile Payment • Cosa sono? Con Mobile Payment si intende «ogni pagamento che ha inizio, viene confermato e ricevuto attraverso l’uso di dispositivi mobili». • Principali Tipologie di Pagamento  Remote - pagamenti che utilizzano tecnologie server- side, quali SMS, IVR (Interactive Voice Response), USSD (Unstructured Supplementary Service Data) etc.  Proximity - pagamenti che riguardano principalmente transazioni offline e la cui logica di funzionamento è concentrata lato terminale (client-side). Vi è la necessità di una vicinanza fisica tra acquirente e venditore. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 3 Payment
  • 4. Proximity Payment con Tecnologia NFC I Mobile Proximity Payments all’interno della SEPA (Single Euro Payments Area) sono basati solo sull’uso della tecnologia Near Field Communication (NFC). NFC L’NFC è una tecnologia wireless che: • Opera su un canale RF (Radio Frequency) a 13,56 Mhz • Lavora su distanze limitate (< 10 cm) • Prevede tre modalità operative: – Card Emulation – Reader Mode – P2P Card Emulation Il cellulare, con al suo interno l’applicazione di pagamento, agisce come una carta in un sistema di pagamento contactless e può dunque sfruttare l’intera infrastruttura di pagamento esistente. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 4 Payment
  • 5. Smart Card Una Smart Card è un particolare circuito integrato che al contrario delle tradizionali carte a banda magnetica possiede: • Maggiore capacità memoria (ROM, RAM e EEPROM) • Una CPU • Un coprocessore crittografico (opzionale) • Un sistema operativo (Java Card, Multos etc.) • Offre maggiore sicurezza La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 5 Payment
  • 6. Il Secure Element (SE) Il SE è un luogo sicuro nel quale mantenere i dati sensibili relativi all’utente. Può essere allocato all'interno di uno dei seguenti dispositivi: • UICC (Universal Integrated Circuit Card) • Smart Chip integrato • Memory Card SmartMX SmartMX (Memory eXtension) è una smart card multi-applicazione ideata da Philips, integrata nel Nokia 6212 utilizzato per lo sviluppo della tesi. Lo SmartMX ha le seguenti caratteristiche: • Possiede una CPU ed un coprocessore crittografico • Supporta Java Card La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 6 Payment
  • 7. Problemi di sicurezza nella comunicazione La tecnologia NFC, essendo figlia dei sistemi RFId ne eredita anche tutte le problematiche di sicurezza. Le minacce di cui bisogna tener conto sono: • Intercettazione: possibilità che un attaccante intercetti la comunicazione. • Attacco Man-In-The-Middle: possibilità che un attaccante si inserisca nella comunicazione e alteri i messaggi scambiati tra i dispositivi di ignari possessori. • Disturbo della comunicazione: possibilità che un attaccante disturbi il campo RF dei dispositivi che comunicano. • Replay Attack: possibilità che un attaccante replichi un messaggio precedentemente scambiato tra i dispositivi. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 7 Payment
  • 8. Soluzioni Il migliore approccio per difendersi dalle minacce appena descritte è: • L’Autenticazione dei dispositivi che comunicano attraverso l’uso di certificati digitali • La costruzione di un canale sicuro attraverso l’uso della crittografia asimmetrica La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 8 Payment
  • 9. Sistemi di pagamento Attuali 1/3 PayPass • Sviluppato da Mastercard • Non prevede l’uso di PIN • Il Centro Elaborativo provvede al controllare delle credenziali. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 9 Payment
  • 10. Sistemi di pagamento Attuali 2/3 Felica Mobile • Utilizza una Smart Card Sony • Attualmente utilizzata in Giappone • Le infrastrutture per i Mobile Payment sono fornite dagli operatori telefonici • Le applicazioni sono fornite dai Service Provider La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 10 Payment
  • 11. Sistemi di pagamento Attuali 3/3 Google Wallet • Annunciato a giugno 2011 • Per pagare attraverso la comunicazione con un POS, l’utente deve associare i dati della carta di credito all’applicazione presente sul dispositivo mobile La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 11 Payment
  • 12. Standard EMV Lo standard EMV è stato definito dalle maggiori organizzazioni mondiali di carte di pagamento: Europay, Mastercard e Visa. Definisce regole comuni per le applicazioni di pagamento basate su Smart Card e prevede: • L’autenticazione offline della carta • L’utilizzo di una infrastruttura PKI (Public Key Infrastructure) • L’esistenza di una Autorità di Certificazione (CA) Esistono due meccanismi che rispettano le regole definite dallo standard EMV: • SDA (Static Authentication Data) • DDA (Dynamic Authentication Data) La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 12 Payment
  • 13. SDA • SDA è uno schema che utilizza le firme digitali e lavora attraverso la crittografia asimmetrica. • Il fornitore della smart card firma tutti i dati sensibili presenti sulla carta attraverso la propria chiave privata. • Tutti i terminali (POS) che possiedono la chiave pubblica del fornitore possono verificare l’integrità e l’autenticità dei dati. • Un attaccante può tuttavia intercettare i dati firmati e quindi clonare la carta. Issuer CA Acquirente Dati Firmati dall’Issuer Certificato dell’Issuer La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 13 Payment
  • 14. DDA • DDA, come SDA, è uno schema che utilizza le firme digitali e lavora attraverso la crittografia asimmetrica. • In questo schema ogni carta possiede una coppia di chiavi (pubblica e privata) che utilizza, in fase di autenticazione, per firmare dati random inviati da un terminale (POS). • Ogni terminale che possiede il certificato digitale della Smart Card può verificare la firma apposta e quindi verificare che non sia stata contraffatta. Issuer CA Acquirente Certificato digitale Issuer Certificato digitale Smart Card La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 14 Payment
  • 15. L’idea Lo standard EMV non prevede l’autenticazione del POS nei confronti della carta. Un attaccante potrebbe contraffare il software del POS per commettere frode nei confronti dell’acquirente ignaro. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 15 Payment
  • 16. SecureWallet • Borsellino elettronico per transazioni offline. Gli APDU (Application Protocol Data Unit) • Autenticazione nei confronti del POS. una rappresentano il mezzo attraverso il quale Smart Card comunica con il mondo esterno e • Autenticazione del standard ISO 7816. sono definiti nello POS. • Creazione di un canale di comunicazione fra CLA INS P1 P2 Lc Data Le telefono e POS, protetto attraverso l’uso della crittografia. • Transazioni di pagamento attraverso lo scambio di APDU cifrati. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 16 Payment
  • 17. Strumenti a disposizione Nokia 6212 Classic POS Ingenico La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 17 Payment
  • 18. Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 1. Mutuo Scambio dei certificati digitali • Il POS invia il proprio certificato digitale X.509 • L’Applet invia il proprio certificato X.509 La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 18 Payment
  • 19. Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 2. Scambio della Chiave di Sessione • Il POS invia la prima metà della chiave di sessione DES, cifrata attraverso la chiave pubblica dell’Applet con l’RSA • L’Applet invia la seconda metà della chiave di sessione DES, cifrata attraverso la chiave pubblica del POS con l’RSA La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 19 Payment
  • 20. Protocollo Progettato Il Protocollo può essere suddiviso in tre fasi principali: 3. Invio dell’APDU di pagamento cifrato • Il POS invia il comando di pagamento cifrato con la chiave di sessione DES • L’Applet decifra il comando e, se il credito è sufficiente, completa la transazione di pagamento La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 20 Payment
  • 21. Test Il test del sistema di pagamento è stato effettuato su diversi input ed i risultati proposti sono il frutto di una media effettuata sulla valutazione complessiva dei risultati. Complessivamente una transazione ha impiegato 6,04 secondi e i risultati sono mostrati nel dettaglio nel grafico che segue. La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 21 Payment
  • 22. Conclusioni e Sviluppi futuri I Mobile Payment sono ormai una realtà e uno dei fattori che a mio avviso permetterebbe la diffusione su larga scala di questa tecnologia, è lo sviluppo di standard di sicurezza comuni. Il sistema progettato ha un notevole potenziale ma necessita di modifiche e ulteriori sviluppi al fine di migliorarne le prestazioni. • Utilizzo delle Curve Ellittiche • Verifica della firma digitale • Sviluppo di un nuovo tipo di certificato digitale La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 22 Payment
  • 23. Grazie per l’attenzione La sicurezza delle applicazioni di Mobile 02/10/2012 Pagina 23 Payment