Transakcje a NFC

Near Field Communication to właściwie kontynuacja RFID. Jeśli masz kartę bankomatową to najprawdopodobniej już używasz NFC. Taką granatową od PKO BP z graficznym znakiem fal, wyprodukowaną przez Gemalto. Zmienne pole magnetyczne czytnika wywołuje zmienne pole elektryczne, dzięki któremu pojawia się napięcie zasilające mikroprocesor karty. Zasięg działania do 20 cm. W Japonii (karty Mifare) ze względów bezpieczeństwa zasięg jest mniejszy: do 4cm. Wyobraź sobie piękną, ponętną, mającą czym oddychać, bezpruderyjną blondynkę, rozdającą w BlueCity promocyjne prezerwatywy Durex. Zbliżasz się do niej niebezpiecznie blisko i dochodzi do... transakcji. Założenie jest takie, że NFC ma umożliwiać łatwe i wygodne zakupy. Nie podajesz PIN-u. W PKO BP maksymalna kwota transakcji to 50 zł. Wyobraź sobie kogoś, kto niby przypadkiem wpada na Ciebie w centrum handlowym, tłum w metrze, ścisk w tramwaju, autobusie - idealne okoliczności do kradzieży Twoich elektronicznych pieniędzy. Technologia nie jest ściśle ustandaryzowana, ze względu na wsteczną kompatybilność i ogólnie -kompatybilność różnych urządzeń - jest sporo nieuregulowanych kwestii i procedur fallback. Rodzi to pole do wykorzystania NFC przez osoby niepowołane. Europay, Mastercard i Visa opracowały jeszcze w latach 90 ubiegłego wieku standard EMV, który miał na celu zabezpieczenie zbliżeniowych transakcji (czyste NFC nie jest bezpieczne). Ale nawet EMV po wynegocjowaniu aplikacji obsługującej transakcję przez kartę i terminal może mieć tryb uproszczony offline - sprawdzany jest numer seryjny i data ważności karty albo inne pola karty. Terminal może n-tą (lub losowo wybraną) transakcję karty przeprowadzać w trybie online - z weryfikacją transakcji po stronie providera inftrastruktury do płatności (a być może także po stronie podmiotu wydającego kartę). Karta też może weryfikować odpowiedź providera. Karta i provider przy potwierdzaniu/weryfikacji transakcji mogą posługiwać się kryptogramami. Niektóre karty Mifare szyfrują komunikację symetrycznym kluczem 3DES lub AES. Co jeśli stojący za Tobą w kolejce facet ze sprytnym urządzeniem "nagra" całą komunikację? Zobaczy kryptogramy wymieniane między kartą i providerem, będzie musiał zgadnąć ich strukturę i złamać 2/4/8KB klucz symetryczny przydzielany per karta. W maksymalnym uzbrojeniu technologia wygląda dobrze, gorzej że standard dopuszcza niebezpieczne sposoby przeprowadzania transakcji.

Gemalto dostarcza karty SIM z procesorem obsługującym standard EMV i jest providerem infrastruktury do płatności takim jak Visa. W czym komórka ma być lepsza od zwykłej karty płatnicznej z PKO BP? W niczym, ale operatorzy komórkowi szukają nowych źródeł przychodu, a pośrednictwo w płatnościach byłoby stałym strumieniem pieniędzy.

Kto jest cetyfikowanym dostawcą EMV Level 2 (Level 1 = hardware + Level 2 = software)? M.in. Atos (Windows CE), Motorola (Java), NEC, OKI, Toshiba, sporo producentów rozwiazań osadzonych (embedded OS, JamVM), wyspecjalizowane firmy obsługujące płatności np. dla stacji benzynowych (Java), producenci rozwiązań Point Of Sale (embedded, RT, Linux, Java), kontynentalne Chiny, Shenzhen (Linux), producenci bankomatów (Windows). Gemalto na strategicznego partnera wybrał VeriFone z cetyfikatem EMV Level 2 na ARM i Linuksa.

Czy jeśli chcesz płacić komórką z Androidem, to czy nie będziesz czuł się bezpieczniej z Google-em niż z operatorem sieci? Czy business case dla polskiego MNO się domyka? Pionierem mobilnego NFC w Polsce było w 2010 roku Inteligo (Samsung Avila w Erze), ale nie odniosło zamierzanego spektakularnego sukcesu. Visa nie śpi i wytacza serię nowych mobilnych produktów (patrz developer.visa.com). Visą PayWave PKO BP można płacić zbliżeniowo m.in. w McDonald's, Empiku, Cofee Heaven.