Smart Cards & Devices Forum 2013 - Cards going mobileOKsystem
Mobile payments are evolving in three key ways: 1) the role of mobile is expanding as phones and devices replace plastic cards; 2) implementation requires educating cardholders and merchants on new contactless and digital payment options; 3) convergence is occurring as payments integrate with other services in virtual wallets across devices. MasterCard is leading this change by enabling mobile wallets and partnerships to increase adoption through convenience and choice for consumers.
Smart Cards & Devices Forum 2013 - Cards going mobileOKsystem
Mobile payments are evolving in three key ways: 1) the role of mobile is expanding as phones and devices replace plastic cards; 2) implementation requires educating cardholders and merchants on new contactless and digital payment options; 3) convergence is occurring as payments integrate with other services in virtual wallets across devices. MasterCard is leading this change by enabling mobile wallets and partnerships to increase adoption through convenience and choice for consumers.
BOLT je nový startupový akcelerátor vyvinutý naší společností, nabídne například technologické zázemí i síť koncových prodejen po celé republice. Rozhodli jsme se, že nepůjdeme standardní cestou, kde jsou největším lákadlem pro nové projekty peníze. Často se stává, že tyto projekty nakonec nefungují efektivně a nemají konkrétní výstupy. Chceme partnerům nabídnout zcela jiný princip fungování a dlouhodobou spolupráci. Vybírat budeme především projekty, jejichž propojení s O2 dává byznysový smysl. Více na http://bebolt.cz
This document provides an overview of smart cards, including:
- Their architecture which includes a CPU, memory (RAM, ROM, EEPROM), security logic, and interface.
- How they work by communicating with card readers using standardized commands and responses.
- Security mechanisms like passwords, cryptographic challenges, and biometric storage to authenticate users and the card/terminal.
- How data is stored in their EEPROM memory organized in a file structure.
Smart cards can hold up to 32KB of data and have encryption capabilities. They provide security for banking, mobile payments, and ID verification. Smart cards use microprocessors and memory to store and process encrypted data for transactions and access control through card readers. They provide flexibility, security, portability and increasing storage capacity compared to magnetic stripe cards.
Smart cards are plastic cards with embedded integrated circuits that can be used for secure identification and financial transactions. They store data in their microchips and communicate with card readers using established protocols. The main types are contact cards that must be inserted directly into readers, contactless cards that communicate via radio frequency, and dual-interface cards that support both contact and contactless. Smart cards rely on operating systems and encryption to securely store and manage access to user data for applications such as ID cards, payments, and access control.
Smart cards are plastic cards with embedded computer chips that store and transact data. They were first used in France in the 1980s for payment in pay phones. Contact smart cards have electrical contacts that connect to readers and transmit data via signals like power, reset, clock, and input/output. They are now used widely for banking, transportation, healthcare and more. Smart cards improve security over other machine-readable cards by providing secure authentication, encryption, passwords, biometrics and more. Standards like ISO 7816 and 14443 govern smart card interfaces and communication.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
BOLT je nový startupový akcelerátor vyvinutý naší společností, nabídne například technologické zázemí i síť koncových prodejen po celé republice. Rozhodli jsme se, že nepůjdeme standardní cestou, kde jsou největším lákadlem pro nové projekty peníze. Často se stává, že tyto projekty nakonec nefungují efektivně a nemají konkrétní výstupy. Chceme partnerům nabídnout zcela jiný princip fungování a dlouhodobou spolupráci. Vybírat budeme především projekty, jejichž propojení s O2 dává byznysový smysl. Více na http://bebolt.cz
This document provides an overview of smart cards, including:
- Their architecture which includes a CPU, memory (RAM, ROM, EEPROM), security logic, and interface.
- How they work by communicating with card readers using standardized commands and responses.
- Security mechanisms like passwords, cryptographic challenges, and biometric storage to authenticate users and the card/terminal.
- How data is stored in their EEPROM memory organized in a file structure.
Smart cards can hold up to 32KB of data and have encryption capabilities. They provide security for banking, mobile payments, and ID verification. Smart cards use microprocessors and memory to store and process encrypted data for transactions and access control through card readers. They provide flexibility, security, portability and increasing storage capacity compared to magnetic stripe cards.
Smart cards are plastic cards with embedded integrated circuits that can be used for secure identification and financial transactions. They store data in their microchips and communicate with card readers using established protocols. The main types are contact cards that must be inserted directly into readers, contactless cards that communicate via radio frequency, and dual-interface cards that support both contact and contactless. Smart cards rely on operating systems and encryption to securely store and manage access to user data for applications such as ID cards, payments, and access control.
Smart cards are plastic cards with embedded computer chips that store and transact data. They were first used in France in the 1980s for payment in pay phones. Contact smart cards have electrical contacts that connect to readers and transmit data via signals like power, reset, clock, and input/output. They are now used widely for banking, transportation, healthcare and more. Smart cards improve security over other machine-readable cards by providing secure authentication, encryption, passwords, biometrics and more. Standards like ISO 7816 and 14443 govern smart card interfaces and communication.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Smart Cards & Devices Forum 2013 - Mobile financial servicesOKsystem
This document discusses mobile financial services and payments. It begins by outlining different types of mobile payments like in-shop, online, P2P, loyalty programs, and ticketing. It then discusses three emerging models for point of sale mobile payments: in the device, in the cloud, and hybrid approaches. Several companies adopting each model are described like PayPal, Google Wallet, and Square. The document also discusses new related services like offers, discounts, and social aspects. Finally, it provides an overview of Bitcoin, how the blockchain works, mining incentives, and challenges.
This document introduces Gemalto and their solution called Armored Office. It discusses how static passwords are no longer enough for security and compliance with regulations. Armored Office provides a solution for strong authentication and encryption to securely access networks and data from any device. It offers a single credential to log in to endpoints, access networks remotely, and encrypt files/emails. The target market is security-sensitive organizations for executives and users with access to sensitive information. It aims to protect data and enable secure access from any device while meeting compliance requirements.
Smart Cards & Devices Forum 2013 - Security on mobileOKsystem
The document discusses how mobile devices can be leveraged for strong identity authentication in a more convenient, secure, and cost-effective way than traditional authentication methods. It analyzes traditional authenticators like passwords, hardware and paper tokens, biometrics, smart cards, and PKI certificates. It then outlines how mobile devices, which are always with users and connected, can be provisioned with additional authenticators and used for multi-factor authentication for a variety of identity use cases including physical and logical access, VPN access, and cloud applications. The conclusion is that mobile represents the next generation of identity and authentication should leverage its capabilities.
Smart Cards & Devices Forum 2013 - Wi-fi protected setupOKsystem
The document summarizes Wi-Fi Protected Setup (WPS) and discusses vulnerabilities in its use of a static PIN for device authentication. It describes how WPS and similar Bluetooth protocols use bit commitment and splitting the PIN to enable mutual authentication, but how this opens them to online and offline brute force attacks. It then proposes a "Swamp Walk" approach for the access point to transition to after initial connection attempts to restore security by reintroducing exponential complexity to the PIN cracking problem.
Smart Cards & Devices Forum 2013 - [NFC@Telefonica CZ] Near Future CasesOKsystem
Telefónica Czech Republic has been a leader in NFC adoption, being the first to launch NFC-enabled transport payments in 2009 and merchant payments in 2013. They see the NFC SIM card as uniquely positioned to serve as a "one card to rule them all" for various use cases like payments, transportation, loyalty programs, IDs and access control due to its online and multi-application capabilities. Telefónica is developing a "SIM.me" identity service that stores personal information and credentials on the SIM, enabling it to securely authenticate users for remote services and authorize transactions like document signing through a mobile device.
Smart Card and Strong Cryptography for instant securityOKsystem
- OKsystem is a Prague-based software company with over 200 employees that provides cryptography and smart card solutions.
- They offer products like BABEL for encrypted messaging, OKsmart for smart card usage, and OKbase for key management, certificate management, and card management.
- Their solutions provide strong encryption using proven algorithms like AES and Diffie-Hellman to securely transmit and store encrypted messages and keys.
BI Forum 2012 - Analýza nestrukturovaných dat pomocí Oracle Endeca Informatio...
SmartCard Forum 2010 - Autentizace platební kartou
1. Autentizace platební kartou
- zkušenosti z penetračních testů
Tomáš Rosa
crypto.hyperlink.cz
Praha, 20.5.2010 SmartCard Fórum 2010
2. Osnova
Základy technologie CAP/DPA
Trojští koně vs. nepřipojené terminály
(čtečky)
Trojští koně vs. připojitelné terminály
(čtečky)
Home-skimming
DoS
Sociální inženýrství
Firmware pod lupou
4. Technologie CAP/DPA
Cílem je umožnit autentizaci identity klientů a
původu bankovních příkazů pomocí existující
infrastruktury čipových platebních karet.
MasterCard – CAP (Chip Authentication Program)
VISA – DPA (Dynamic Passcode Authentication)
Dále se soustředíme zejména na internetové
bankovnictví.
Poněkud stranou necháme problematiku 3-D
Secure.
5. Myšlenka využití EMV ICC
Standard EMV pro čipové karty definuje
jistou aplikaci s řadou služeb pro platební
styk.
Jde o aplikaci ve smyslu ISO 7816-4.
Pro účely CAP/DPA je využito zejména:
služby ověření off-line PIN (příkazy VERIFY),
služby online autentizace čipu karty (příkaz
GENERATE AC).
Ostatní služby hrají roli víceméně
podružnou.
Jde například o metody SDA/DDA/CDA.
6. Uspořádání aplikací na čipu
Koncept CAP/DPA dovoluje
buď sdílet tu samou aplikaci pro platební styk a
pro elektronické bankovnictví,
anebo použít dvě do jisté míry nezávislé
aplikace.
Obvykle je prosazován koncept dvou
aplikací s jistým datovým přesahem.
Sdílí se: off-line PIN, PAN, atp.
Nezávislé jsou: ATC, klíče pro autentizaci čipu,
datové lokátory, atp.
7. Slabiny základního konceptu
Ačkoliv je bezpečnost CAP/DPA často
kritizována [1], dosud nebyl publikován
žádný útok, kterému by se dobře navržený
systém nedokázal vyhnout.
Spíše než o útocích bychom zrovna v případě
[1] mohli mluvit o implementačních
doporučeních.
I přes těsnou vazbu na EMV se řada útoků
na platební systémy netýká CAP/DPA.
8. CAP/DPA se netýká zejména
Klasický skimming magnetického
proužku.
Útok na off-line PIN z Cambridge [7].
CAP/DPA totiž implicitně aplikuje účinné
protiopatření, kterým je křížová kontrola
kryptograficky chráněného vektoru CVR.
10. Koncept MITM a MITB
Základní hledisko hodnocení jakékoliv bezpečnosti je
dáno modelem hrozeb.
Významnou hrozbou elektronického bankovnictví je
aktivita škodlivého kódu.
Trojští koně, červi, viry, atp.
Cílem je ovlivnit chování „důvěryhodné“ výpočetní
platformy.
MITM – Man In The Middle
MITB – Man In The Browser (zvláštní případ MITM)
11. Nepřipojená čtečka CAP/DPA
Základní pravidla:
Náhodná výzva banky při přihlašování klienta
Ochrana sémantických kolizí
Kód CAP/DPA je použit k jiné operaci, než si klient
myslí.
U platebního příkazu musí klient jasně vidět jeho
data na displeji čtečky.
Časté prohřešky:
Přihlašovací kód nezávisí na výzvě banky.
Autentizace identity a původu příkazů koliduje.
Uživatel vidí jen otisk platebního příkazu.
12. Evoluce
Bezpečné použití nepřipojené čtečky může
někomu připadat příliš komplikované.
Spásou se zdá být připojitelná čtečka.
Klient opisuje co nejméně údajů.
Místo opisování se klient soustředí na
potvrzování.
Nic však není samospasitelné.
Nová technologie obvykle eliminuje stará, avšak
zároveň zavádí některá nová rizika…
14. Aplikační firewall
Čtečka CAP/DPA je svého druhu most mezi
počítačem klienta a jeho platební kartou.
Počítač však může být ovládán škodlivým
kódem.
Nějaký mechanizmus – aplikační firewall –
musí zabránit škodlivému kódu v přímé
komunikaci s platební kartou.
Jinak hrozí obdoba skimmingových útoků,
říkejme jim home-skimming.
15. Realizace aplikačního firewallu
Totální ochrana
Za žádných okolností nelze „skrz čtečku“ poslat APDU na
vloženou kartu.
Čtečku nelze využít například pro elektronický podpis.
Selektivní ochrana karty
Totální ochrana aktivována jen v případě pozitivní detekce
platební aplikace na vložené kartě.
Rozumný kompromis.
Filtrování jednotlivých příkazů APDU
Sází na rozpoznání, který příkaz lze bezpečně předat.
Úspěšně prolomeno na několika čtečkách.
18. Útoky DoS
Hrozí zejména vůči položce ATC (tag 9F36).
Jakmile čtečka zahájí (kvazi)platební operaci s kartou, je
ATC nevratně a nevyhnutelně inkrementován.
Při dosažení hodnoty 65535 je daná aplikace CAP/DPA
nevratně zablokována.
Místem uplatnění jsou příkazy, které mohou během
operace CAP/DPA selhat.
Například autentizace dat ve volném formátu, atp.
Obecně je také žádoucí, aby existoval nějaký druh příkazu
„Abort“…
19. Obrana proti DoS
Vyjděme z předpokladu užitečnosti.
Útočník musí být schopen nepozorovaně zahájit
(a nějak ukončit) řadu CAP/DPA operací.
Opatřením je potom vhodně zapojit lidskou
obsluhu (klienta).
Například po 10 automatických přerušeních je
nutno vyjmout a znovu vložit kartu do čtečky.
Málokdo má trpělivost udělat toto
několiktisíckrát…
Navíc je aktivita škodlivého kódu rozpoznána
klientem a nahlášena bance (coby reklamace).
20. Sociální inženýrství
Klient bude mít patrně velkou důvěru v data
zobrazená na displeji čtečky CAP/DPA.
Pokud útočník dokáže toto médium infiltrovat, pak může
zmást a ovládnout klienta.
21. Opatření proti SI
Důsledně používat kryptograficky chráněný
protokol mezi bankou a čtečkou.
Příkladem budiž standard bank@home od
MasterCard.
Různí výrobci mají i své proprietární metody (ze
kterých bank@home mj. čerpal inspiraci).
Vhodná je nezávislá kryptologická expertiza.
22. Firmware pod lupou
HW i SW jakéhokoliv typu může
obsahovat chyby.
Platí i pro čtečky CAP/DPA.
Konstrukce čtečky by neměla umožnit
jejich snadné hledání.
Toto samozřejmě není primární opatření,
nýbrž vhodná doplňková ochrana.
23. Příklad z praxe
Jisté čtečky měly detašovanou Flash ROM s
volně přístupnou sběrnicí.
Bylo možné snadno identifikovat načítání
jednotlivých instrukcí obslužného programu.
Pomocí FPGA přípravku šlo sledovat jeho běh.
Údajně se jednalo o marketingové vzorky.
Ostrá produkce detašovanou paměť nemá.
Jenže velká část kódu bude jistě společná a
marketingové vzorky jsou široce dostupné…
25. HW trojský kůň
Aneb home-skimming jinou cestou.
Cílem je výměna části nebo celé čtečky tak,
aby útočník získal nechráněný přístup k
čipové platební kartě.
Dnes poněkud futuristická představa, avšak pro
cílené útoky jistě lákavá alternativa.
Je vhodné zamýšlet se už nyní nad možnou
obranou.
Personalizovaný „pozdrav“ čtečky,
kryptografická autentizace čipu mikrořadiče, atp.
26. Závěr
CAP/DPA je bezesporu slibnou technologií.
Mimo jiné nabízí těsnější propojení aplikací platebních karet
a elektronického bankovnictví.
Při jejím zavádění však nelze sázet na „druhý pokus“,
systém musí fungovat napoprvé, a to bezpečně.
Výše uvedené příklady nemají za cíl CAP/DPA
deklasovat, ale upozornit na místa hodná pozornosti.
Zde jsme se soustředili téměř výhradně na koncová
zařízení.
Další aspekty se týkají personalizace karet, volby
konkrétních schémat, atp. – těm jsou zase adresovány
podrobné manuály karetních asociací [6], [8] a studie [1].
28. Zdroje
1. Drimer, S., Murdoch S.-J., and Anderson, R.: Optimised to Fail: Card Readers for
Online Banking, Financial Cryptography 2009,
http://www.cl.cam.ac.uk/~sjm217/papers/fc09optimised.pdf
2. EMV Integrated Circuit Card Specification for Payment Systems, Book 1 – Application
Independent ICC to Terminal Interface Requirements, version 4.1, May 2004
3. EMV Integrated Circuit Card Specification for Payment Systems, Book 2 – Security and
Key Management, version 4.1, May 2004
4. EMV Integrated Circuit Card Specification for Payment Systems, Book 3 – Application
Specification, version 4.1, May 2004
5. EMV Integrated Circuit Card Specification for Payment Systems, Book 4 – Cardholder,
Attendant, and Acquirer Interface Requirements, version 4.1, May 2004
6. MasterCard: Chip Authentication Program, soubor neveřejných standardů MasterCard
7. Murdoch S.-J., Drimer, S., Anderson, R., and Bond, M.: Chip and PIN is Broken, to
appear at the 2010 IEEE Symposium on Security and Privacy, draft available at
http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf
8. VISA: Dynamic Passcode Authentication, soubor neveřejných standardů VISA