Nálunk, az ANY Biztonsági Nyomdában, Kollégáink nagyon is értenek ahhoz, amit csinálnak. Egyszerűen jók benne, a nálunk töltött hosszú évek alatt óriási tapasztalatot szereztek, nagy tudással rendelkeznek. Az egyik ilyen munkatársunk Simon Gábor projektvezető, aki mindent tud a bankkártyákról, és ennek a hatalmas tudásanyagnak egy részét közérthető, olvasmányos formában meg is osztja olvasóinkkal. Kérjük, fogadják szeretettel most induló sorozatát, és ha tetszik, osszák meg, hadd olvassa más is.
… a munkámról
Engem is meglepett mikor utánaszámoltam, hogy több mint 20 éve kártyázom. Ez még akkor is komoly függőségnek mondható, ha ezt nem szerencsejátékosként teszem valahol egy kaszinóban, egy royal flushre várva. Az én kártyáimat szabványok írják le, és ha valaki pontos megfogalmazásra vágyik velük kapcsolatban, akkor keresgéljen az ISO/IEC 7810, 7811, 7816 szabványok környékén, vagy esetleg a 14443-ban.
Már egy ideje projektvezető vagyok és kártyás témában szinte már minden voltam, még akasztott ember is majdnem, amikor csak célfotóval sikerült elindítanunk határidőre egy komolyabb projektet. A projektek irányítása mellett a munkám fontos részének tekintem azt is, hogy támogassam azokat a partnereinket, akik erre a számukra ismeretlen területre tévednek. Lássuk be, nem könnyű a plasztikjaimhoz kapcsolódó tudásra szert tenni. Találkozom is sokszor olyanokkal, akik örülnének, ha valaki egyszerűen elmagyarázná nekik, hogy mit is érdemes tudni ezekről a kártyákról és mi van egy-egy misztikus, vagy annak tűnő, netán szándékosan túlmisztifikált részlet mögött.
Mostanában támadt az az ötletem, hogy egy sorozat, az „Egyszerűen…” keretében írnék pár olyan témáról, ami érdekes lehet azok számára, akik ezzel foglalkoznak, illetve talán azok is elolvassák, akik csak úgy általában érdeklődnek a bankkártyájuk iránt. Valami azt súgja, hogy az utóbbiak többen vannak.
Magamról még annyit, hogy híve vagyok ugyan a magázódó érintkezési formáknak, mert szerintem színesebbé teszi a nyelvünket, de ezt most nem annak a fórumnak gondolom. Remélem ezt meg tudod bocsátani!
Nem ígérem, hogy óramű pontossággal fogok publikálni, mert ez egyelőre nem a legfőbb tevékenységem, de azért majd törekszem valamiféle rendszerességre. Ezen felül igyekszem végig tartani magam a címhez és egyszerűen írni néhány érdekességről a kártyákkal kapcsolatban. Ha Te is érdekesnek találod a cikkeimet, akkor egyszerűen oszd meg.
Vágjunk hát bele! Most rendhagyó módon mindjárt nem is egy, hanem két írással indítanék és következzen néhány gondolat a bankkártyákról.
… a bankkártya
Nem szeretnék tudományoskodni. A bankkártya az írásom szempontjából az a műanyaglapka, amit majd minden nap használunk fizetésre és kész. A használata nagyon egyszerű, a mögöttes technológia viszont meglehetősen bonyolult. Ettől lesz biztonságos, de ugyanakkor misztikus is, hiszen egy kicsi – kb. 8,5*5,5 centis – műanyaglapkával költhetünk el egy akár több milliós hitelkeretet is. Ez valóban félelmetes!
Szerencsére mára olyan bonyolult védelmi rendszer szolgálja a tranzakciók biztonságát, amit nagyon nehéz kijátszani. Lottó ötöst nyert szomszéd mellett lakni valószínűbb, mint olyan ember mellett, akinek „feltörték” a bankkártyáját. Kártyacsalások persze még léteznek, de ezek szinte csak az emberi tényezőn alapulnak, és nem azon, hogy kilopták a chipből az adatokat.
A gyenge láncszem ezen a téren a humán oldal mellett a mágnessáv, ami szerencsére egy kiveszőben lévő technológia. Ha analógiát kéne találni, akkor leginkább olyan az a bankkártyáknál, mint az embernél a farokcsont – evolúciós csökevény. Néhány dolgot azért nem árt a mágnessávval kapcsolatban tisztázni.
- Először is a mágnessáv nem tartalmazza sem a PIN-t, sem a kártyához tartozó számla bármilyen adatát. Vannak (lehetnek) viszont rajta olyan értékek, amik segítenek a PIN helyességét ellenőrizni, vagy megmutatják, hogy aki mágnessávon szereplő adatokat előállította, az valóban az, akinek erre jogosultsága volt. Az utóbbira vonatkozó ellenőrzés sajnos azt nem tudja garantálni, hogy a kártyát nem másolták-e le, hiszen ha az adat helyes, attól még valaki illetéktelenül felírhatta azt egy másik kártya mágnessávjára.
- Másodszor a mágnessáv egy konstans értékeket tartalmazó adattároló, amire a kártya elkészítésekor felírják az adatokat és azokban legális körülmények között nem történik változtatás. Bár a működési elv nagyon hasonló, ez nem egy VHS kazetta, ahol az egyik filmet letörölve rögzíthetjük is a következőt. Az elfogadó terminálok (ilyenek a POS – Point of Sale, vagy az ATM – Automated Teller Machine) is csak olvassák az adatokat, de nem írják, így azok a kártya életciklusa során változatlanok a „bankkártya gyárban” történő felírás után.
- A mágnessávon van egy érték, a szerviz kód, ami az elfogadó eszköznek azt javasolja chippel ellátott kártyák esetén, hogy kényszerítse ki a chip használatát. Szerencsére egyre kevesebb olyan terminál van a világon, ami ezt a kényszert figyelmen kívül hagyja és ezzel a kártyák használóját igyekeznek egy sokkal kontrollálhatóbb irányba, a chip felé terelni.
Ha aktív védelemről szeretnénk gondoskodni az ellen, hogy a kártyánkat lemásolják, akkor ott sokkal okosabb eszközre van szükségünk, mint mágnessáv, ami alig biztonságosabb, mint egy ceruzával papírra írt jegyzet. Szerencsére a technológiai fejlődés lehetővé tette az elmozdulást biztonságosabb irányba azáltal, hogy megjelentek a piacon olyan parányi chipek, méghozzá megfizethető áron, amelyek integrálhatók voltak plasztikkártyákba is. Az első generációs chipek még mindig nem voltak tökéletesek, mert azokat is lehetett másolni, igaz, sokkal bonyolultabb módszerekkel, mint a mágnessávot. A félvezetők fejlődése azonban hamar magával hozta azokat az eszközöket, amelyek valóban másolhatatlanokká váltak. Itt kell mindenkit megnyugtatnom, Magyarországon már sok éve csak ilyen, másolhatatlan chipekkel készülnek bankkártyák.
Ez a fejezet inkább volt történelem, ahogy maga a mágnessáv is inkább csak történelem és előbb-utóbb teljesen el fog tűnni. Több szót rá már nem is vesztegetnék, mert ennél csak újszerűbb és szerintem érdekesebb témák fognak következni. A folytatásban jöjjenek kicsit részletesebben bankkártyák chipjei.
… bankkártya chipekről
Mára szinte mindenben van chip, még talán a csattogó szárnyú falepkében is, ha Kínából rendeljük. Miért pont a bankkártyában ne lenne, és mitől olyan nagy dolog ez? Ráadásul, ha jól megszemléljük a chip kontaktusait, akkor az is feltűnhet, hogy ezeknek a chipeknek általában 8, ritkábban esetben 6 érintkezőjük van. Elárulom, hogy még a nyolcból is kettő csak dísz (szép, „informatikus” kifejezéssel RFU, vagyis későbbi felhasználásra fenntartott). Ehhez képest például egy rendes Core i7-es processzornak több mint ezer kivezetése van.
Azt gondolhatnánk ezek után, hogy ez a chip elég buta. Szerencsére ez nem így van és a bankkártyák chipjeire nem is úgy kell gondolni, mint egy egyszerű félvezetőkből felépített alkatrészre, hanem ő maga egy komplett miniszámítógép. Ennyi láb pont elég neki, hogy kapcsolatot tartson a külvilággal, sőt! Amikor érintős üzemmódban használjuk a kártyát, akkor csak az elfogadó eszköz antennáján keresztül beszélget a terminállal és még a tápellátást is abból nyeri. Ezért van az, hogy a bankkártyánkat éjszaka nem kell árammal feltölteni, mint a telefonunkat és elemet sem kell benne cserélni.
Hasonlítsuk össze a bankkártya chipjét egy igazi számítógéppel és meglepő dolgokat fogunk vele kapcsolatban tapasztalni:
- A bankkártyánk chipje ugyanúgy programokat tud futtatni, mint a laptopunk. Természetesen nem annyit és nem olyanokat, mint egy PC, de az elv nagyon hasonló. Azt a programot, amit egy vásárlásnál, vagy pénzfelvételnél használunk, úgy hívják, hogy fizető alkalmazás. Kártyatársaságonként persze van más neve, de az eredmény szempontjából ez mindegy. Ettől függetlenül sokan használják, amikor olyasmit mondanak a pénztárnál, hogy „PAYvalamivel-vel szeretnék fizetni”.
- A bankkártya chipek a fizető alkalmazás mellett más programokat is tudnának futtatni, például használhatók lennének a banki ügyintézésnél biztonságos azonosításra, vagy pontgyűjtésre, de ezt a lehetőséget csak kevés bank használja ki. Ennek oka egyszerűen az, hogy ezekre más technológiák és más eszközök terjedtek el.
- A programok futtatásához operációs rendszerre van szükség, mint például amilyen a Windows. Hát igen, a bankkártya chipeknek is van saját operációs rendszerük, amit még a chip gyártása során „feltesznek rá”.
- Az operációs rendszerek saját biztonsági rendszerrel védik magukat, a programokat és a felhasználókat. A mi chipjeink ezt szintén tudják és éberen ellenállnak minden illetéktelen beavatkozásnak. Soha nem fogják hagyni például, hogy valaki csak úgy átírjon olyan fontos értékeket, amelyekkel nem kívánt módon befolyásolja a tranzakciók lefutását. Ha a bankkártya chipek észreveszik, hogy valaki szórakozik velük, akkor egyszerűen megszakítják a kapcsolatot, vagy bizonyos esetekben akár végérvényesen le is blokkolják magukat.
- A chipeken belül vannak tárolók, amelyek a tranzakció során ideiglenes keletkező adatokat tárolják, mint egy PC RAM memóriája és olyanok is, amelyek a merevlemezhez hasonlóan állandó adattárolást végeznek. A mágnessávval ellentétben itt már nem csak konstans adatokat használunk, és ez lehetővé teszi a biztonság növelését.
- A mi chipjeinknek nincsenek olyan perifériái, mint pl. a monitor, az egér, vagy a billentyűzet, de minek is lennének! Ezekre a kis miniszámítógépekre tekintsünk úgy, mint például egy távoli Web szerverre. Az ilyen szerverek esetén is a mi PC-nk végzi a megjelenítést és az adatbevitelt, a szerver csak elvégzi az általunk kezdeményezett műveleteket és összeállítja, majd átadja a megtekinteni kívánt weboldalt. Ebben az esetben a terminálra van bízva a felhasználóval való interakció.
- A bankkártya chipek ezen felül egy területen meg is előzik a legtöbb PC-t. Vannak olyan biztonságos tároló rekeszeik, ahol kriptográfiai kulcsokat képesek tárolni úgy, hogy azokat soha, senki nem tudja belőlük kinyerni. Olyan chipet, ami erre nem képes, a kártyatársaságok nem is engednek használni, mert minden chiptípusnak saját, egyedi engedélye van a kártyatársaságoktól. Ezekkel a biztonságosan tárolt kulcsokkal aztán a chipek képesek magukat megfelelően azonosítani, adatokat titkosítani és védeni a tranzakciókat. Hasonló technológiát a telefonjaink is bevetnek, de minő meglepetés, ott is egy spéci kártya chipje, a SIM látja el a legtöbb ilyen funkciót.
Ebből a rövid áttekintésből látható, hogy ezek a chipek igenis okos kis jószágok, csak a működésük egy nagyon speciális feladatra, a bankkártyás tranzakciók felügyeletére irányul. Annak érdekében, hogy a világ összes bankkártyája és terminálja ugyanúgy működjön együtt, ezen a téren is szükség volt szabványosításra. Az alapvető szabályokat EMV néven kell keresni, ami azoknak az akkori nagy kártyatársaságok nevéből kialakított mozaikszó, akik belátták, hogy a chipesítés érdekében illenék valamilyen közös megoldást kitalálni és alapítottak is erre egy szervezetet. A Magyarországon manapság leginkább ismert két nagy kártyatársaság aztán az EMVCo által kiadott specifikációkra alapozva készítette el a fizető alkalmazásait, amelyek közül egy a mi bankkártyánk chipjében is működik.
Most elsőre ennyit a chipekről, legközelebb pedig bemutatnám, hogy milyenek is azok a chipes tranzakciók.