NFC karty nejsou nijak zabezpečené

No, zabezpeceni je uplne stejne jako u kontaktnich EMV - cryptogram z castky a dalsich udaju z transakce pro issuera :-)

Jinak nic nebrani nikomu si precist vsechny data na karte, tj. PAN, expirace, .... Z EMVco se daji zdarma stahnout EMV booky a implementace pouze EMV selekce a vycteni udaju z karty pres PCSC ctecku je prace asi tak na 30 min.

Transakcni log je u EMV karet standardni feature, prave kvuli reklamacim a offline transakcim a podobne. Z karty staci vycist

• tag 9F4D (Log Entry) = SFI + pocet rekordu
• tag 9F4F (Log Format) = tagy + delky v recordech

no a pak uz jenom pouzit command SELECT a v cyklu READ RECORD. Vsechno zase pekne popsano a dostupne v EMV Book 3.

A zabezpeceni u biometrickych pasu je zalozeno na tom, ze do cteciho zarizeni nejdrive zadam (at uz pres OCR nebo rucne) udaje vytistene uvnitr pasu (cislo pasu, expiraci, ...). A zarizeni si potom na zaklade techto udaju vyderivuje klic pro komunikaci s pasem, tj. k bezpecne komunikaci je treba mit nejake informace apriori. Tezko ale budete do pokladniho systemu/terminalu prepisovat nejake udaje z karty pro bezpecnou autentizaci :-(

Skoro mne to pripada, ze nekdo zase znovu objevujil Ameriku .....

Ono je celkem logické, že pokud ty datá má moci přečíst každý terminál, tak je může přečíst každý terminál. Banky ani žádná jiná firma okolo karet nikdy neavízovaly, že by existoval nějaký registr terminálnů, kterým by byl vydáván nějaký klíč, který by pak byl nutný pro čtení údajů. Nulové zabezpečení tedy není chybou produktu, ale je přímo jeho požadavkem.

Co je chybou, je komunikace bank a "kartových společností", které mlží a lžou o tom, že to nějak zabezpečené je.

Osobně bych si jakékoliv NFC věci pořídil jen pokud by to bylo obousměrné - terminál pošle do mého NFC zařízení požadavek včetně svého veřejného klíče, já na zařízení zadám PIN a to teprve pak odešle data zpět do terminálu, již šifrovaně. Odposlech nezafunguje díky šifrování a neutorizované čtení neprojde, protože já nezadám PIN. Jenže tohle lidé nechtějí, chtějí jen kartu nebo mobil někam přiložit a jít. A pak se diví, že jim to někdo v davu dokáže přečíst přes kabelku.

Úplně by stačilo kartou se _dotknout_ terminálu (výměna nějakého klíče) a pak stisknout tlačítko (kapacitní senzor) na kartě. Jednoduché, rychlé, a bez šíření dat všude kolem. Na kartě by mohl být displej zobrazující aktuálně placenou částku, takže bych při potvrzovaní i pěkně viděl, kolik doopravdy platím (a ne kolik svítí na kase).

Tak si poridte VISA applet pro NFC telefon :-)

Ten funguje uplne stejne: terminal pri platbe do karty/elefonu posila castku + informaci, jestli je pod/nad floor a CVM (Cardholder verification method) limit + muze i dalsi informace o obchodnikovi. Takze mobil muze zaroven slouzit i jako archiv transakci

Aplikaci muzete odemykat/zamyka a cislo karty je uplne virtualni. Dnes uz se to bez problemu da pouzit na mobilech s androidem a dobijet/platit treba pres PayPal.

Ten bych moc chtěl, bohužel HTC není mezi certifikovanými telefony ☹

Co se týče kabelky, tak tam je to jednoduché. Vyřeší to obyčejná čokoláda, respektive alobal z ní :-). Vložíte mezi obal karty a kartu. Bezpečně izoluje OpenCard i INkartu. Problém nastává, jakmile kartu vyjmete z AlObalu a začnete ji používat... :-P

Lepší řešení: vložte alobal do nejvíce vnější (jak se vůbec vnější stupňuje?) vrstvy peněženky a ochráníte všechno uvnitř. Při použití pak stačí peněženku rozevřít a nemusíte karty hledat.

Tady je to jednoduché. Vnější je prostě vnější, asi jako optimální je optimální (a neexistuje "optimálnější", "nejoptimálnější").

OK, a když mám osu

A B C D E F G H

jak porovnám polohu G a F?

Není. Vnitřní se stupňuje (vnitřnější, nejvnitřnější) a vnější je opak pozitivu, tak by se mělo taky dát stupňovat.

Ono by to samozrejmne slo vymyslet nyni lepe, alegantneji a bezpecneji (data na appletu k tomu jsou), ale:

a) Kdyz byla EMV poprve vyvijena, dominantnimi procesory v terminalech byly 8-bity (nejvice 8051) a v cipovych kartach klony 6502 (programovane v assembleru). Takze o nejake public-kryptografii se nejak nemluvilo :-) I proto puvodne jenom SDA - kdy operace s privatnim klice 'predpocital' ten, kdo tu kartu personalizoval. DDA a offline sifrovany PIN prisly az pozdeji

b) Stejne je ale zamerem, aby ta karta byla akceptovatelna na co nejvice zarizenich. Proto s sebou tahne jako balvan i ted mag-stripe a tudiz, i pokud by byla nejake lepsi, novejsi, krupavejsi EMV, je v zajmu (asi vsech :-) aby existoval nejaky rozumny 'fallback' na nizsi verzi (jako ted na mag-stripe)

c) EMV specifikuje i takzvany 'liability shift', ktery zjednodusene rika: pokud se nekde provede cipovou kartou necipova transakci (tj. magnet nebo manual), a dojde k fraudu, tak je VZDY odpovedny acquirer (tedy ten, kdo tuto transakci na svem zarizeni udelal :-)

<cite>Stejne tak je mozne z informaci nakodovat magneticky prouzek klonu karty a pouzit jej v castech sveta, kam jeste bezkontaktni technologie nedosla.</cite>

To bohuzel/bohudik prave nejde :-) Informace na karte:

• Potisk - ma na sobe CVV2/CVC2.
• Magnet - ma na sobe CVV1/CVC1.
• Cip - ma na sobe CVV3/CVC3.
• Cless - ma na sobe bud CVV3/CVC3, a nebo virtualni iCVV/CVC spocitane podle dat transakce, zalezi na tom, je-li to stripe nebo chip ekvivalent

Takze jedine, co muzete udelat je podle dat z cipu/kontaktlesu zjistit cislo karty (PAN) a expiraci a jedine, o co se muzete pokusit je pouze transakce 'card not present' a to navic bez CVV2/CVC2. Takze snad nejaky internetovy obchod, ktery nejede pres 3D Secure ci podobnou branu ....

A co zkopírovat čip a použít jej při NFC transakci, pokud nevyžaduje iCVV?

NFC vzdy pouziva kryptogram, pouze ho jinak 'koduje' podle stripe nebo chip ekvivalentu:

• stripe - koduje se jako iCVV/iCVC do virtualni druhe stopy karty
• chip - vytvori se normalni EMV kryptogram

Ony ty dva mozne pristupy vznikly pro to, aby se (v pripade mag-stripe ekvivalentu) nemusel menit protokol, nebot po cele ceste se transakce tvari jako 'magneticka' a az issuer vi, ze je to contactless. Proto se i kryptogram = iCVV/iCVC koduje jakoby do 'virtualni' magneticke stopy. Kdezto pri chip ekvivalentu jde v transakci normalni EMV kryptogram.

Jediny hlavni rozdil je az v odpovedi, kdy contactless je one-shot, takze se neprovadi druhy krok, kdy terminal pres kartu overuje kryptogram od serveru, ale terminal proste 'veri' odpovedi serveru.

No a ted mi ty hovada poslali novou kartu bezkontaktni a jina uz pry nebude ..

Da se nejak to NFC odprasknout aniz bych znicil kontaktni cip ?!?!?!?

Protoze jak tu kartu vytahnu abych s ni platil, tak ji musim vyjmout z ochranneho obalu a terminal (a cokoli jineho) si to pouzije bez pinu i pres muj nesouhlas.

1) chtel bych NFC aplikaci do mobilu, kde muzu potvrdit .. bohuzel nemam ten spravny mainstreamovy mobil.

2) hlavne ze hovada rozjeli platbu mobilem pres QR, coz je defakto technologie minuleho veku. Mozna dobre na eshopu, ale tam se da pouzit mnoho cest vcetne PayPalu, ktere jsou jednodussi nez nejake saskovani s QR.

>>Da se nejak to NFC odprasknout aniz bych znicil kontaktni cip ?!?!?!?

Najit kde presne je v karte cip, vzit vrtacku - na zbytek urcite prijdes sam :-D

>>Protoze jak tu kartu vytahnu abych s ni platil, tak ji musim vyjmout z ochranneho obalu
>> a terminal (a cokoli jineho) si to pouzije bez pinu i pres muj nesouhlas.

Bezny platebni terminal nereaguje na kartu v okruhu pul kilometru, muzes klidne spat.

Treba u RFID se da pomoci velke anteny (napr. TESCO ji ma ve dverich, aby lidi nekradli) "precist" cip i na delsi vzdalenost. NFC je ale mnohem komplikovanejsi technologie. Tim nechci rict 100% bezpecna. Limit 500Kc je velmi rozumny.

Ten čip je ale v NFC kartě jen jeden, má jak kontaktní, tak bezkontaktní interface. Takže bych paranoikům doporučil jedině obalit celou kartu tenkou kovovou folií a jen vystřihnout dirku pro kontaktní plošku :)

Jaká je rozdíl mezi RFID a NFC? Podle mně je to totéž.

Are you sure? https://www.youtube.com/watch?v=Wf7WI_d9u20

Ale nezkoušel jsem.

Na tom videu to není moc dobře vidět, jestli ta karta náhodou není jenom bezkontaktní a jestli s ní tedy po takovéto úpravě neplatí jen pomocí magnetického proužku. Vůbec vzhledem k radě na konci videa (Je bezpečné si kartu nepodepsat, pak musíte při placení předložit ID) bych to nebral úplně vážně.

Jsem si téměř jist, že kontaktní i bezkontaktní karty sdílejí určité informace (jinak by banky například nechtěly před provedením první bezkontaktní transakce provést jako kontaktní transakci). Je ale možné, že NFC část má ještě další samostatný čip, jehož odstraněním se kontaktní část neznefunkční.

Ještě jsem k tomu našel něco jiného, co by to vysvětlovalo: https://imageshack.us/a/img89/4470/cardswb.jpg

Tzn. nezničili by čip, ale jen anténu. Ale její umístění se dost liší i v rámci stejného druhu karet (Mastercard PayPass: Bankwest vs. 28 degrees).

Jinak kontrola proti podpisu umístěnému fyzicky na kartě je kapitola sama o sobě.

Mám chuť si s sebou do peněženky brát jen Maestro (bezkontaktní platby neumí) a platby přes internet vyřešit jinou kartou, třeba i s NFC.

K té QR platbě: Možná jsem viděl něco jiného, ale to, co jsem viděl, byla (de)serializace údajů pro platby z/do QR kódu. Mobilem to jde z faktury naskenovat a zaplatit. Takže, vynecháme-li vizuální MITM (což by ale byl mnohem rozsáhlejší problém), je to jen otázka zabezpečení plateb z mobilu.

Kdo by se nechtěl vyrábět s vlastním obalem na kartu existují již na netu volně prodejné obaly např. www.kartyvbezpeci.cz – další možnosti vrátí Google např na: „ochranné obaly na bezkontaktní karty“