Diplomaterv
Elektronikus pénztárca alkalmazás tervezése és fejlesztése chipkártyás környezetben Kapócs Tamás
Konzulens: Dr. Buttyán Levente Híradástechnikai Tanszék
Budapesti Műszaki és Gazdaságtudományi Egyetem 2006
Tartalomjegyzék 1.
Bevezetés............................................................................................................................4
2.
Alapfogalmak áttekintése ................................................................................................6 2.1.
Elektronikus fizetés ....................................................................................................6
2.2.
Elektronikus pénz, elektronikus pénztárca .................................................................7
2.2.1. Az elektronikus pénz története ................................................................................7
3.
2.3.
Elektronikus pénztárca típusok.................................................................................10
2.4.
Az elektronikus fizetési rendszer működése ............................................................12
2.5.
Interoperábilitás ........................................................................................................13
Alkalmazási területek, lehetőségek ...............................................................................16 3.1.
Hagyományos kisösszegű vásárlás...........................................................................16
3.2.
Felsőoktatás ..............................................................................................................17
3.3.
Internetes vásárlás.....................................................................................................19
3.3.1. Előnyök .................................................................................................................20 3.3.2. Hátrányok .............................................................................................................22 3.4. 4.
Felhasználási területek szerinti csoportosítás ...........................................................23
Európai kezdeményezések .............................................................................................26 4.1.
Jelentősebb elektronikus pénztárca kísérletek Európában .......................................28
4.1.1. Dánia ....................................................................................................................28 4.1.2. Hollandia ..............................................................................................................28 4.1.3. Belgium.................................................................................................................29 4.1.4. Németország .........................................................................................................30 4.1.5. Franciaország.......................................................................................................32 4.1.6. Spanyolország.......................................................................................................33 4.1.7. Portugália.............................................................................................................34
5.
4.2.
Egyéb európai kezdeményezések .............................................................................35
4.3.
Következtetések........................................................................................................36
Technológiai háttér és biztonság ...................................................................................38 5.1.
Chipkártyák ..............................................................................................................38
5.1.1. A chipkártyák belső felépítése ..............................................................................39
2
5.1.2. A chipkártyák életciklusa......................................................................................40 5.2.
Támadási lehetőségek chipkártyák ellen ..................................................................42
5.2.1. Fizikai támadások.................................................................................................42 5.2.2. Logikai támadások................................................................................................43 5.2.3. Side-channel támadások .......................................................................................44 6.
Chipkártya specifikációk ...............................................................................................45 6.1.
EMV .........................................................................................................................45
6.2.
GlobalPlatform .........................................................................................................45
6.3.
ITSO .........................................................................................................................46
6.4.
CEPS - közös elektronikus pénztárca specifikációk.................................................46
6.4.1. A közös specifikáció előnyei .................................................................................47 6.4.2. A CEPS felépítése .................................................................................................49 6.4.3. Biztonsági követelmények .....................................................................................50 7.
Elektronikus pénztárca alkalmazás Java Card alapon ..............................................56 7.1.
Miért pont Java Card? ..............................................................................................56
7.2.
Rendszerterv .............................................................................................................57
7.3.
Implementáció ..........................................................................................................59
7.3.1. Tanúsítvány hierarchia.........................................................................................59 7.3.2. A fizetési tranzakció..............................................................................................62 7.3.3. A POS kliens .........................................................................................................67 8.
Összefoglalás ...................................................................................................................70
9.
Hivatkozások, ábrák.......................................................................................................71 9.1.
Hivatkozások jegyzéke .............................................................................................71
9.2.
Ábrák jegyzéke .........................................................................................................73
3
1. Bevezetés Az elektronikus pénztárca fogalom hallatán először szinten mindenki valami teljesen újszerű dologra gondol, pedig korántsem számít ennyire új keletűnek ez a kifejezés, hiszen már több mint tíz év telt el az első európai kezdeményezés megjelenése óta. Ez idő alatt számos ország pénzpiaci szereplői próbálkoztak meg a saját elképzelésük szerint különböző e-pénztárca sémákat bevezetni. A kísérletek hátterében szinte minden esetben az a fő cél állt, hogy egyszerűbbé, gyorsabbá, és biztonságosabbá tegyék a kisösszegű fizetést, azaz a készpénz helyettesítése érdekében indították útjukra az elektronikus pénztárca programokat. Ezek a korai kezdeményezések kellő bevezetési tapasztalat hiányában szép számmal kudarcba fulladtak, és nem terjedtek el széles körben. Ma már azonban egészen másképp fest az epénztárcák helyzete, hiszen több fejlettebb európai országban is viszonylag látványos népszerűségre tettek szert. Diplomatervem keretében ezzel az újszerű, de valójában mégsem teljesen új területtel foglalkoztam, és a következő fejezetekben összefoglalom az e téren szerzett ismereteimet, eredményeimet. A téma tárgyalásának kezdeteként a második fejezetben áttekintem az elektronikus pénztárcákkal kapcsolatos alapvető definíciókat, amelynek kapcsán sor kerül az elektronikus fizetés, pénz és pénztárca fogalmak tisztázására, az elektronikus pénztárca típusok, valamint egy általános elektronikus fizetési rendszer ismertetésére, és végül kitérek az interoperábilitás kérdéskörére is, mivel ez utóbbi fogalom szinte mindig terítékre kerül, ha e-pénztárcákról esik szó. A harmadik fejezetben kategorizálom a jelenlegi és a várható jövőbeni felhasználási lehetőségeket, majd a fejezet végén egy táblázat segítségével összefoglalom, hogy az egyes alkalmazási területeken milyen létjogosultsága van az elektronikus pénztárcáknak. Itt mind a hagyományos, mind az interneten keresztül történő vásárlás témaköre tárgyalásra kerül, valamint egyéb potenciális felhasználási módokra is kitérek. A negyedik fejezetben esettanulmány jelleggel megvizsgálok néhány jelentősebb európai kezdeményezést. Ezzel megpróbálom azonosítani azokat a fontosabb tényezőket, melyek vélhetően a leginkább befolyásolják az elektronikus pénztárcák bevezetésének sikerét. A diplomaterv második logikai egységében az ötödik fejezettel kezdődően áttérek a technológiai, műszaki, biztonsági vonatkozások ismertetésére, melynek során először az elektronikus pénztárcák alapját képező chipkártya technológia főbb elemeit tekintem át, majd megvizsgálom az intelligens kártyák ellen irányuló lehetséges támadási módszereket. A hatodik
fejezetben
a
jelentősebb,
fizetésre
4
is
alkalmas
chipkártyákra
vonatkozó
specifikációkat veszem górcső alá, ezek közül is kiemelve a CEPS közös elektronikus pénztárca specifikációt, mivel a későbbiekben ez szolgál alapul az általam implementált elektronikus pénztárca alkalmazásnak. Végül az utolsó tartalmi fejezetben részletesen ismertetem a megvalósított Java Card alapú és CEPS kompatibilis elektronikus pénztárca alkalmazás felépítését, rendszertervét, működését, és biztonsági megoldásait.
5
2. Alapfogalmak áttekintése 2.1.
Elektronikus fizetés
Az elektronikus fizetési rendszerek kialakulása több évvel ezelőtt kezdődött, és azóta a világ több országában magas fejlettségi szintet értek el. Az innováció első fokozata megváltoztatta a bankközi fizetések módját, de ez csaknem észrevétlen maradt a tömegek számára. A fejlődés további lépcsőfokai már sokkal szembetűnőbbek voltak a fizetési eszközt használok számára is, mert ezek érdemben befolyásolták az ügyfelek és a bankok közötti kapcsolatot. A legjelentősebb változások az elektronikus banki szolgáltatások megjelenésével láttak napvilágot: ilyenek például az ATM-ek, a kártyás fizetési lehetőségek és a távbanki szolgáltatások. A hajtóerő mindezen fejlesztések mögött a bankszektor volt, amely a költségek csökkentését és hatékonyság növelését célozta meg az innovációkkal. Napjainkban az elektronikus fizetési rendszerek egy újabb fejlődési lépcsőfokhoz közelednek, ami nagyban köszönhető az elektronikus kereskedelemben rejlő új üzleti lehetőségeknek, amelyek az internet széleskörű elterjedésével és használatával jelentek meg. A nagy sávszélességű
vezetékes
és
vezeték
nélküli
adatátvitel
és
kommunikáció
újfajta
kapcsolattartásra ad lehetőséget a fogyasztók és kereskedők között. A tradicionális kereskedelemhez képest több szempontból is eltéréseket tapasztalhatunk: egyrészt különbözik a termékek és szolgáltatások rendelkezésre állása, másrészt új lehetőségek nyílnak mindezek keresésére, megrendelésére, és kifizetésére. Ez a fejlődés nagyobb hatékonyságot és kényelmet jelenthet, különösen, ha biztosított a vásárlási, számlázási és fizetési megoldások közötti átjárhatóság. Mielőtt tovább mennénk, célszerű pontosan definiálni, hogy mit is értünk elektronikus fizetés alatt. Az elektronikus fizetés olyan fizetés, amelynek kezdeményezése, feldolgozása, és fogadása elektronikus úton történik, ahol fizetés alatt a fizető fél pénzügyi követelésének átadását értjük a kedvezményezett félnek.[1] Az elektronikus fizetés esetében a pénzügyi követelés digitális információ formájában kerül tárolásra, feldolgozásra és fogadásra, az átadás kezdeményezése pedig elektronikus fizetéshez használható eszköz révén történik. A következő alfejezetben az elektronikus pénz és az elektronikus pénztárca fogalmának meghatározására és fejlődésének bemutatására kerül sor.
6
2.2.
Elektronikus pénz, elektronikus pénztárca
Az elektronikus pénz fogalmát a következő módon definiálja az Európai Központi Bank: technikai eszközön elektronikusan tárolt pénzügyi érték, amely széleskörűen használható fizetésekre anélkül, hogy szükségképpen igénybe kellene venni a bankszámlákat és a kibocsátót a tranzakcióhoz, és az elektronikus pénz alapvetően előre fizetett eszközként működik.[2] A magyar törvényalkotás is ismeri ezt a fogalmat, ha nem is konkrétan mint „elektronikus pénz” hanem mint készpénz-helyettesítő fizetési eszköz, ami bővebb fogalom az elektronikus pénzhez képest: „a hitelintézet által kibocsátott fizetési eszköz (kártya, csekk vagy egyéb dolog), amely birtokosa számára lehetővé teszi, hogy a kibocsátó hitelintézettel szemben fennálló valamely pénzkövetelésével rendelkezzék, annak terhére készpénzt vegyen fel vagy áruk, illetőleg szolgáltatások ellenértékét kiegyenlítse”.[3] Erre a fogalomra hivatkozik a jogalkotó az elektronikus pénzt kibocsátó szakosított hitelintézetről szóló 2004. évi XXXV. törvényben, és használja mint elektronikus pénz definíciót. Ez a törvény az Európai Unióhoz történő csatlakozásról szóló nemzetközi szerződést kihirdető törvény érvénybelépésének napján lépett hatályba. Többek között rögzíti, hogy az elektronikus pénzt kibocsátó szakosított hitelintézet legalább 300 millió forint jegyzett tőkével alapítható, és a kinnlevő elektronikus pénz által megtestesített pénzügyi kötelezettségek összegével megegyező összegben kell rendelkeznie likvid eszközökkel.[4] Az előbbiek fényében megállapíthatjuk, hogy a magyar jogalkotás is felkészült az elektronikus pénz, és az azt kibocsátó szakosított hitelintézetek szabályozására. Mindezek alapján az elektronikus pénztárca fogalmát a következő módon definiálhatjuk: az elektronikus pénztárca elektronikus pénz biztonságos tárolására és az ezzel kapcsolatos tranzakciókban való részvételre alkalmas elektronikus eszköz.
2.2.1. Az elektronikus pénz története Az elektronikus pénz mibenlétének pontosabb megértése érdekében célszerű áttekinteni az elektronikus pénz múltját, és annak fejlődését a kezdetektől fogva. Az elektronikus pénz a 80as évek második felében, Japánban látott napvilágot, mint chipkártya alapú, előre kifizetett (prepaid) jellegű termék. A nem banki szolgáltatásokat nyújtó vállalatok, mint például a
7
telefontársaságok, a vasúti társaságok vagy a kereskedők elkezdték bővíteni előre kifizetett kártyáik elfogadottságát más vállalatok irányába. 1987. óta több együttműködési kezdeményezés jött létre az ipari és kereskedelmi szektorban működő vállalatok között, amelyek egy többcélú alkalmazhatósággal rendelkező előre kifizetett kártya kibocsátását tűzték ki célul. Később néhány bank is csatlakozott a kezdeményezéshez, de az általuk betöltött szerep nem nevezhető kezdeményezőnek vagy vezetőnek. Az ipari és kereskedelmi szektorban működő vállalatok legfőbb célja az ilyen kártyák kibocsátásával a készpénz helyettesítés, a törzsvásárlói- és árengedmény programok voltak. A Japán Gazdasági Minisztérium és a Japán Nemzeti Bank által létrehozott bizottság megalakulása után az első szabályozások 1990-ben születtek meg. Az új előre kifizetett kártyákra vonatkozó törvény előírta az elektronikus pénztárcák kibocsátóinak felügyeletét, ami magában foglalta a kibocsátók regisztrációját, rendszeres beszámoltatását és a tartalékolást, illetve fedezet képzését. Az elektronikus pénz kibocsátáshoz banki jogosítványra nem volt szükség.[5] A 90-es évek elején az előbbihez hasonló fejlődés figyelhető meg Európában is. Itt is a nem bankszektorban működő vállalatok kezdték az elektronikus pénzt használni – az új chipkártya technológia megjelenésével az előre kifizetett kártyáik elfogadottságának bővítésére. Az ipari és kereskedelmi vállalatok voltak a chipkártya alkalmazások megjelenésének úttörői, és még most is fontos szerepet töltenek be e téren. Az azóta eltelt idő alatt két további innováció látott napvilágot az elektronikus pénzhez kapcsolódóan. David Chaum kifejlesztette az elektronikus pénz szoftver alapú fajtáját, amit ecash-nek nevezett el, és vállalata világszerte kísérleti programot hajtott végre Digicash néven 10.000 internet felhasználó részvételével.[6] A névtelen elektronikus pénz létrehozását és kibocsátását szintén nem a bankok végezték, és a hagyományos bankókkal ellentétben ezt nem lehetett visszaváltani. A másik úttörő szerepet betöltő vállalat a Mondex volt, hozzá fűződik az első igazi elektronikus pénztárca megalkotása 1991-ben, amely már chipkártyán tárolta az elektronikus pénzt, és lehetővé tette a fizetést a kártyatulajdonosok között központi klíring rendszer használata nélkül. Ekkorra tehető az igazi elektronikus pénz megszületése. Az elektronikus pénzt mint digitális fizetési egységet alapvető pénzügyi innovációnak is tekinthetjük, és ha visszatekintünk a történelemre, akkor láthatjuk, hogy az alapvető pénzügyi innovációk általában jelentős befolyást gyakoroltak a fennálló pénzügyi rendszerre. Például a londoni aranyművesek által feltalált bankjegyek, amelyek aranytárolás ellenében kiadott elismervények voltak, jelentették a papírpénz használatának kezdetét, és a központi bankok
8
pénzkibocsátási monopóliumának kiindulópontját.[7] Sokan gondolják úgy, hogy az elektronikus pénz megjelenése is hasonlóan messzemenő következményekkel fog járni. Kezdetben úgy vélték, ha az elektronikus pénzt nem banki, hanem kevéssé szabályozott szervezetek bocsátják ki, akkor ez veszélyt jelenthet a központi bank pénzkibocsátási monopóliumára nézve. Összességében tehát megállapíthatjuk, hogy az elektronikus pénz bevezetésére vonatkozó korai kezdeményezések egyaránt váltottak ki várakozásokat és félelmeket. Mindezek alapján nem nehéz elképzelni mi zajlott le a központi bankok tanácstermeiben, különösen Európában, az elektronikus pénz felbukkanásával. A monopóliumi helyzetüket fenyegető veszély és a pénzkínálat irányítása feletti hatalom elvesztésének lehetősége nem meglepő módon szabályozások kidolgozására ösztönözte őket. Az 1994-es EMI (European Monetary Institute) jelentés az előre kifizetett kártyákkal kapcsolatban kiemelte, hogy csak pénzintézeteknek lenne szabad elektronikus pénzt és pénztárcát kibocsátani.[8] A központi bankok egyetértettek azzal, hogy ezt a regulációt minden európai országban érvényre kell juttatni. Néhány központi bank és pénzügyi felügyeleti szerv szabályozni kezdte a chipkártya alapú elektronikus pénz kibocsátását. Véleményük szerint a nyílt, három résztvevős elektronikus pénz kibocsátás kiváltságát fenn kell tartani a tradicionális bankoknak. A nem banki szereplőknek pedig, akik az elektronikus pénz előfutárai, és implementációjának, adaptációjának úttörői voltak, csak a zárt, két résztvevős rendszerű előre kifizetett kártyák kibocsátását engedélyeznék, ahol a kibocsátó személye azonos a szolgáltatás nyújtó és elfogadó félével (ilyen például a hagyományos telefonkártya rendszer). Németországban, 1998-ban a német banktörvény 6. számú módosításával a szigorítás kibővült a szoftver alapú elektronikus pénzre is az interneten folytatott elektronikus kereskedelemben.[9] Azonban az európai központi bankok között is voltak olyanok – például az Egyesült Királyság és Skandinávia szabályzói –, melyek a „várjunk, aztán majd meglátjuk mi lesz” álláspontra helyezkedtek a Bundesbank félelmeivel ellentétben. Ezzel tulajdonképpen csatlakoztak amerikai és kanadai kollégáik laissez-faire álláspontjához, akik szerint az elhamarkodott szabályozás korlátozhatja a versenyt, és elfojthatja az innovációt. A kereskedelmi bankok kétféleképpen reagáltak az elektronikus pénzzel kapcsolatos korai kezdeményezésekre. Néhány bank vagy banki tulajdonban lévő kártyakibocsátó a várakozást választotta, és visszafogottságuk igazolásra került a kiábrándító piaci tesztek eredményei által. Más bankok például Németországban, Ausztriában, Hollandiában és Belgiumban éppen ellenkezőleg, nagy várakozásokkal tekintettek az elektronikus pénzre. A nem banki szereplők 9
által támasztott verseny fenyegetése, és az új csúcstechnológia iránti lelkesedés oda vezetett, hogy félredobták az óvatosságot, ami pedig javasolt lett volna a számos kísérleti projekt eredményének ismeretében. Stratégiájuk a következő módon jellemezhető:[5] ¾ az elektronikus pénztárcák széleskörű implementációja; ¾ egységes alkalmazás a bank által kibocsátott hitelkártyákon; ¾ elfogadási helyek megszerzése; ¾ országos kibocsátás; ¾ az elektronikus pénztárca, mint az összes bank (illetve a résztvevő bankok) közös terméke, egyedi márkával és funkcionalitással; ¾ nincs árverseny a kibocsátók között a kártyatulajdonosi és a kereskedői díjakat illetően; ¾ az elektronikus pénzegység a nemzeti valután alapszik; ¾ az elektronikus pénz áramlása központilag nyomon követhető, és nincsenek peer-topeer tranzakciók a pénztárcák között (kivéve a Mondex-et). Ez a megközelítés tömegpiaci, nem versenyorientált stratégiaként jellemezhető, valamint alig vagy egyáltalán nem jár szegmentációval a régióra, kártyatulajdonosra, kereskedőre és termékre nézve. A bankok elektronikus pénzzel kapcsolatos stratégiája szemmel láthatóan teljes mértékben eltér a nem banki szereplők azon stratégiájától, amit a szabályozással történő kizárásuk előtt folytattak. Az ipari és kereskedelmi vállalatok felosztották a piacot kibocsátási és elfogadási oldalra, olyan vásárlóknak adtak el előre kifizetett kártyákat, akiknek szükségük volt ilyen termékre. Elektronikus pénz elfogadására való hajlandóságot ott észleltek, ahol a készpénzkezelés igazi probléma, vagy kényelmetlen a vásárlók számára.
2.3.
Elektronikus pénztárca típusok
Alapvetően két csoportba oszthatjuk az elektronikus pénztárca sémákat. Az egyik esetben a tranzakció egy központi rendszer igénybevételével és közreműködésével történik meg, a másik esetben azonban lehetőség van a két e-pénztárca közötti közvetlen tranzakcióra. Az első típushoz tartozik az összes CEPS1 kompatibilis elektronikus pénztárca séma, míg a 1 Common Electronic Purse Specifications, közös elektronikus pénztárca specifikációk, részletesebben lásd. a későbbi fejezetekben
10
második csoportot a Mondex alkotja önmagában. Az első csoportba tartozó rendszerek esetén minden egyes tranzakció valamilyen központi rendszerben kerül feldolgozásra. Ez bizonyos költségekkel jár, amelyek a tranzakciós adatok begyűjtéséből és feldolgozásából adódnak. A bankok szemszögéből nézve ez előnyös is lehet, hiszen lehetőségük van tranzakciós díjak felszámítására, még akkor is, ha ezek a díjak nem jelentősek. Ezen kívül a központi rendszer révén nagyobb biztonság érhető el, mert lehetőség van arra, hogy meghatározott esetekben az elektronikus pénztárca kibocsátója letiltsa annak használatát. A második típus legfőbb előnye, hogy nincsenek tranzakciós költségek, mivel a bank ebben az esetben nem tudja megállapítani, hogy történt-e fizetés vagy nem, így nyilván tranzakciós költséget sem tud felszámítani. Az ilyen központi ellenőrzést nélkülöző rendszernek hátránya azonban, hogy ha mégis sikerül azt valamilyen módon kompromittálni, akkor ez csak hosszú idő múlva derül ki, és így nagy kárt okozhat. Ezen kívül, mivel nagyon magas fokú biztonságra és titkosításra van szükség, a fizetési tranzakciók hosszabb időt vehetnek igénybe, mint az online sémák esetében. A biztonságmenedzsment sokba kerül, és különösen magas a fix költség. A gyakorlatban nincsen technikai akadálya annak, hogy a két típus egyszerre működjön, hiszen lehetőség van olyan POS terminálok kialakítására, amelyek mindkét elektronikus pénztárcával elboldogulnak. Más irányból közelítve az elektronikus pénztárcához megkülönböztethetünk zárt és nyílt ebukszákat. A zárt típus azt jelenti, hogy ez csak igen korlátozott felhasználási lehetőséggel rendelkezik, azaz nem használható olyan széles körűen, mint a pénz. Viszonylag kevés az olyan szolgáltató, illetve kereskedő, aki elfogadja az ilyen e-pénztárcát. A zárt típusú pénztárcának általában csak egyetlen kibocsátója van. Ezzel szemben a nyílt típusú elektronikus pénztárcák esetében a rajtuk tárolt érték a pénzzel egyenértékűen kezelhető, tehát sokkal szélesebb körben lehet velük vásárolni. Az ilyen pénztárcákon tárolt érték több kibocsátótól is származhat, és sok kereskedő és szolgáltató csatlakozhat a sémához. Végül csoportosíthatjuk az elektronikus pénztárcákat aszerint, hogy pusztán szoftver vagy pedig chipkártya alapúak-e. A továbbiakban az utóbbi típusról lesz szó részletesebben, mivel véleményem szerint csak ezek képesek elfogadható szintű biztonságot nyújtani az általuk tárolt adatok számára.
11
2.4.
Az elektronikus fizetési rendszer működése
Az eddigiek során áttekintettük az elektronikus pénz múltját, valamint fejlődését, most pedig bemutatásra kerül egy általános modell [1], ami együttesen ábrázolja az elektronikus fizetési rendszer funkcionális elemeit. A modell három önálló alegységet különböztet meg: 1. klíring és elszámolási alegység; 2. kibocsátási, elfogadási és működési alegység; 3. kiskereskedelmi alegység. A klíring és elszámolási alegységben a pénzügyi intézetek, az elszámolóházak és a központi bank eleget tesznek az elektronikus pénzhez kapcsolódó tranzakciókból származó bankközi pénzügyi kötelezettségeiknek. A kibocsátási, elfogadási és működési alegységben az elektronikus pénz kibocsátása és elfogadása, csakúgy, mint a klíring és elszámolási alegységgel folytatott interakció, jól meghatározott szerkezet szerint történik. A kiskereskedelmi alegységben a felhasználók közötti aktuális tranzakciók mennek végbe, amelyek a következők lehetnek: ¾ feltöltés: átutalás a kibocsátótól a felhasználónak; ¾ fizetés: felhasználók közötti átutalás; ¾ betét elhelyezés: átutalás a felhasználóktól a kibocsátó vagy elfogadó bank felé. A modell funkcionális megközelítésben ábrázolja a folyamatokat, mivel bemutatja, hogy melyek azok a fő tevékenységek, amelyeket mindenképp meg kell valósítani egy elektronikus fizetési rendszer működéséhez. A modell minden alegységében a szervezet felépítésének és az elektronikus fizetési rendszer működésének leginkább megfelelő döntéseket kell meghozni. A legfontosabb kérdések a klíring és elszámolási alegységben a következőképp fogalmazhatók meg: az elektronikus pénzt kibocsátó intézménynek elkülönült fizetési intézményként, vagy a létező bankok felhasználásával célszerűbb-e a bankközi tranzakciók biztosítását megoldani a klíring és elszámolási alegységben. A másik kérdéses dolog pedig az, hogy a centralizált kibocsátási és elfogadási funkció, vagy pedig a delegált, decentralizált megoldás a megfelelőbb a rendszer hatékony működése érdekében. A következő ábra annak a feltételezésnek a szellemében készült, hogy az elektronikus pénz kibocsátója közvetlenül a fogyasztóknak adja ki az elektronikus pénzt, de az elfogadás már rugalmasabb szerkezetben történik.
12
A modell bemutatja, hogy a kibocsátási, elfogadási és működési alegységben az elektronikus pénzt kibocsátó intézményeknek mely funkciókat kell megvalósítaniuk: I. Fogyasztóktól érkező befizetések fogadása; II. Kibocsátás, menedzselés és adminisztrálás; III. Elektronikus fizetési rendszer üzemeltetése; IV. Kereskedők, fogyasztók követeléseinek teljesítése; V. Kereskedők, fogyasztók kifizetése;
Klíring és elszámolási alegység
I. Befizetések fogadása
V. Kereskedő kifizetése
Elfogadó bank II. Kibocsátás menedzselés, adminisztrálás
Kibocsátó / rendszerüzemeltető
IV. Igények fogadása
Elfogadó bank III. E-pénz rendszer üzemeltetése
Kibocsátási, elfogadási és működési alegység
2. Elektronikus pénz fizetés/fogadás 1. EP feltöltése
Elektronikus pénztárca alkalmazások
3. E-pénz beváltás
Elektronikus pénz
Fogyasztó
Kereskedő Fogyasztó
Kiskereskedelmi alegység
1. ábra: Az elektronikus fizetési rendszer funkcionális modellje [1]
2.5.
Interoperábilitás
Az interoperábilitás definícióját keresgélve sok leírást találhatunk, de igazi, pontos definícióra sajnos nem nagyon bukkanunk. A tudományos életben interoperábilitás alatt általában együttműködési képességet értenek, de az értelmezési nehézségek jelentős része a részletekből származik. Az Európai Közösségnek az interoperábilitás fontosságával foglalkozó dokumentuma [10] sem definiálja magát a fogalmat, azonban hasznos értelmezési kerettel szolgál. A
13
dokumentum szerint az interoperábilitás a rendszerek, információk, működési módok összekapcsolásának funkciója, amely szervezetekben, kormányzatokban és mindezek között valósul meg mind nemzeti, mind pedig nemzetközi szinten. A közös elektronikus pénztárca specifikációk – CEPS – ezzel szemben a következő kulcselemeket tartalmazzák: ¾ Elektronikus pénztárca alkalmazások, amelyek hasznosítják a technológiafüggetlen vég-vég tranzakció feldolgozást. ¾ Eszközök, amelyek lehetővé teszik a kártyatulajdonosok, kereskedők és pénzügyi szervezetek számára elektronikus pénztárca tranzakciók végrehajtását függetlenül a mögöttes technológiától. ¾ Rendszerek, amelyek végrehajtják a vásárlók, kereskedők által kezdeményezett fizetési tranzakciókat függetlenül a kártya kibocsátójától, vagy a séma üzemeltetőjétől. ¾ Alkalmazások, eszközök és rendszerek, amelyek megfelelnek az elektronikus pénztárca kibocsátók által nyújtott szolgáltatásokkal szemben támasztott minőségi és kényelmi elvárásoknak.[11] A fentiek alapján mindenesetre jól látható, hogy a közös szabványok és specifikációk elengedhetetlenek az interoperábilitáshoz, de a közös technikai feltételekben való megállapodás nem lehet öncélú, ha a cél az, hogy az „interoperábilitás” bármi jelentéssel is bírjon a fogyasztók számára. Az adminisztrációs folyamatok összekapcsolása szintén nélkülözhetetlen a zökkenőmentes, integrált szolgáltatások kialakításához. A valós interoperábilitás igazi alapját csakis a kölcsönösen elfogadott előírások és a szerepeket, kötelezettségeket és üzleti kapcsolatokat definiáló megállapodások együttesen, egymással párosulva jelenthetik. Az EU beszámoló [10] még tovább megy, és a következő hasznos meghatározást adja az interoperábilitás fogalmának jobb megértése érdekében: „Az interoperábilitás olyan, mint egy lánc, ami lehetővé teszi az információ és számítógépek összekapcsolását mind a szervezeteken belül, mind pedig a szervezeti határok átlépése által más szervezetekkel, közigazgatási egységekkel, vállalatokkal vagy az állampolgárokkal.”2
2
„Interoperability is like a chain that allows information and computer systems to be joined-up both within organisations and then across organisational boundaries with other organisations, administrations, enterprises or citizens.”, The European Commission: Linking up Europe: the importance of interoperability for egovernment services, 2003. 9. oldal, http://europa.eu.int/idabc/en/document/3571/377
14
A beszámoló szerint az interoperábilitás három aspektusa az alábbi: 1. Technikai (technical) interoperábilitás: ami a számítógépek összekapcsolásával összefüggő technikai jellegű kérdésekkel kapcsolatos, mint például nyílt interfészek, adatformátumok, protokollok definiálása, beleértve a telekommunikációt is. 2. Szemantikai (semantic) interoperábilitás: ami azt biztosítja, hogy a kicserélt információ pontos jelentését bármely másik alkalmazás értelmezni tudja, függetlenül attól, hogy az kifejezetten erre a célra lett-e kifejlesztve, vagy sem. 3. Szervezeti (organizational) interoperábilitás: ami az üzleti folyamatok modellezésével, valamint az információrendszerek és szervezeti célok összhangba hozásával kapcsolatos. Bár az interoperábilitás igénye oly logikusnak és evidensnek tűnik, mégis a szükségesnél jóval kevesebb példát lehet rá találni az információrendszerekben, ami sokszor szándékos, és az esetek többségében üzleti érdek áll mögötte.
15
3. Alkalmazási területek, lehetőségek 3.1.
Hagyományos kisösszegű vásárlás
Több nyugat-európai országban, például Franciaországban, Belgiumban vagy NagyBritanniában, a terheléses bankkártyák és a hitelkártyák mellett a vásárlók ma már elektronikus pénztárcával is fizetnek – ez a meghatározott összeggel feltölthető chipkártya elsősorban akkor helyettesíti a készpénzt, amikor a kártyatulajdonos kis összegben, legfeljebb néhány eurónak megfelelő értékben vásárol. Az elektronikus pénztárca a tranzakció mindhárom résztvevőjének – a banknak, a vásárlónak és a kereskedőnek egyaránt – kézzel fogható előnyöket kínál. A hagyományos terheléses bankkártyával történő fizetés esetén ugyanis bonyolult és hosszú ideig tartó személyazonosító eljárásra, hitelesítésre, valamint a PIN kódok megadására van szükség, ami az esetek túlnyomó többségében csak úgy történhet, hogy az elfogadóhely minden egyes kártyaművelet során felveszi a kapcsolatot a kibocsátó pénzintézettel. Ez a kommunikáció pedig meglehetősen drága, költségei kis összegű kifizetések alkalmával – amikor például egy doboz cigarettáért, vagy napilapért fizet a kártyatulajdonos – meg is haladhatják az adásvétel összegét.
Franciaországban
például,
ahol
felbukkanásuk
kezdetétől
fogva
nagy
népszerűségnek örvendenek a készpénzmentes fizetési módok, a kiskereskedők panaszai szerint teljes árbevételük egyötödét kell a kártyás kifizetésekhez kötődő tranzakciós költségekre fordítaniuk.[12] Az elektronikus pénztárcák alkalmazása esetén a felhasználóknak nem kell tartaniuk a magas tranzakciós költségektől, mert a kereskedőknek lehetőségük van arra, hogy a vásárlókkal lebonyolított tranzakciókkal csak bizonyos időközönként, alkalmasint havonta számoljanak el a bank felé. Az elektronikus pénztárcát nem csak a bankszámla tulajdonosa használhatja, hanem bárki, akinek odaadja, így akár a tulajdonos családtagjai is könnyedén használhatják az új kártyás fizetési eszközt. Azonban a kártya feltöltésére egyedül a tulajdonosnak van lehetősége, amihez már szüksége van a személyi azonosító kódra (PIN).
16
3.2.
Felsőoktatás
Európa több országában és hazánkban is az elektronikus pénztárca első alkalmazási lehetőségei között szerepelt, és szerepel ma is, a felsőoktatási intézmények hallgatóinak diákigazolványában történő felhasználás, itt ugyanis nagyon jól ki lehet használni a mikroprocesszoros
kártyában
rejlő
lehetőségeket.
Magyarországon
a
felsőoktatási
diákigazolvány kialakításakor 5-6 évvel előre gondolkodtak a tervezők, mert a mikroprocesszoros kártyák hosszú élettartamúak és sokoldalú felhasználási lehetőséggel bírnak – ezzel kiküszöbölték azt a kellemetlenséget, hogy a tervezéskori hiányosságok később éveken át problémát okozzanak az alkalmazás során. A kártyát úgy alakították ki, hogy több univerzális, standardizált alkalmazást is tartalmazzon: a diákigazolványon elhelyezett mikroprocesszoros chipnek köszönhetően több „intelligens” funkció is megvalósítható, például azonosítás a fizikai és logikai beléptető-rendszerekben, valamint az ezekben való jogosultság igazolása. Mindezek mellett az igazolványon három elektronikus pénztárcát alakítottak ki, amelyek alkalmasak a lokális és országos készpénz-helyettesítők kezelésére, törzsvásárlói pontok gyűjtésére. Összefoglalva, a mikroprocesszoros diákigazolványok a következő alkalmazási lehetőségekkel rendelkeznek:[13] ¾ biztonságos azonosítás mind elektronikusan, mind vizuálisan; ¾ biztonságos beléptetés az intézmények egységeibe (pl.: kollégium, laborok, könyvtárak); ¾ védett adatbázisokhoz, információkhoz való hozzáférés jogosultság ellenőrzés alapján; ¾ tanulmányi adminisztráció segítése, hallgatói azonosítás; ¾ bővített egyetemi alkalmazások: szavazás, választás; ¾ különböző elektronikus pénztárca alkalmazások: állami támogatás igénybevétele (jegyzettámogatás); ¾ fizetés: fénymásolóknál, étel és ital automatáknál, étteremben, büfében; ¾ hallgatói törzsvásárlói rendszerhez kapcsolódás; ¾ több kártya egyben, más kártyák kiváltása (jegyzettámogatás kártya, kollégiumi belépőkártya, könyvtárkártya stb.); ¾ a kártya elfogadása más, kompatibilis kártyarendszerekben.
17
Mindezek mellett feltehetően a hallgatók nagy érdeklődéssel fogadnának egy olyan lehetőséget, amelynek segítségével a megfelelő diákigazolvány-kompatibilis rendszerek kiépítése esetén lehetővé válna például a vonatra, autóbuszra történő menetjegyvásárlás is, ami különösen a vidéki hallgatók helyzetét könnyítené meg. A diákigazolványon kialakított három, egymástól elszigetelt elektronikus pénztárca megteremti a lehetőséget a célirányos felhasználásra, így mód nyílik arra, hogy a jegyzettámogatásra egy dedikált pénztárca legyen használatos, amire a jegyzetekre fordítható összeg kerül fel. Így megoldható, hogy a jegyzetvásárlásra kapott összeget ne tudja a diák másra elkölteni. Ez csak akkor valósítható meg, ha a jegyzetboltokban lévő olvasó kizárólag a jegyzetvásárlásra szánt pénztárcát tudja használni. A diákigazolvány alapú készpénz-helyettesítő megoldások az alábbiak szerint működnek:[13] ¾ a felsőoktatási intézménnyel jogviszonyba lévő hallgatók elektronikus vásárlási utalványt tölthetnek fel a diákigazolványukra; ¾ a vásárlási utalvány feltöltése készpénz ellenében, 1 forint 1 pont alapon történik az erre kijelölt irodában; ¾ a vásárlási utalvány készpénzre vissza nem váltható; ¾ a hallgatók a pontfelíró termináloknál ingyenesen lekérdezhetik az aktuális egyenlegüket; ¾ az elektronikus vásárlási utalványok forgalmáról, a felírt és az elszámolt pontok nyilvántartásáról a diákigazolvány technológiai szállítója gondoskodik egy clearing szolgáltatáson keresztül. A Szegedi Tudományegyetem magyar viszonylatban élen jár a diákigazolvány alkalmazások terén, itt nagyszabású tesztprogramot indítottak, amelynek végső célja az összes korábban említett funkció kipróbálása. A program keretében már lehetőség van a diákigazolványon lévő elektronikus pénztárcák használatára fénymásoló gépeknél, üdítő- és kávéautomatáknál, valamint kereskedelmi szolgáltató egységeknél (büfé, könyvesbolt, étterem).[13]
18
3.3.
Internetes vásárlás
Sokak szerint az elektronikus pénztárcákat jól lehetne alkalmazni a kisebb összegű internetes vásárlásokhoz is, ezért ez a terület is hozzájárulhat az e-bukszák elterjedéséhez. Az elektronikus pénztárcával történő internetes fizetések működésének és mikéntjének bemutatásához a Proton elnevezésű elektronikus pénztárcarendszer architektúra [14] szolgál például. Az alábbiakban bemutatásra kerülő ábrán jól megfigyelhető az elektronikus pénztárcával történő internetes fizetés menete. Ahhoz, hogy egy kereskedő tudjon fogadni egy Proton által kibocsátott pénztárcáról érkező fizetést, először alá kell írnia egy szerződést a Protonnal, és fel kell állítania egy fizetési szervert, ami az adott kereskedőhöz tartozó PSAM biztonsági modult tartalmazza. A PSAM (Purchase Secure Application Module) modul egy apró intelligens kártya (chipkártya), ami a kereskedő termináljában vagy a fizetési szerverben helyezkedik el, és feladata a vásárlók elektronikus pénztárcájából érkező virtuális pénzérmék fogadása. A Proton rendszer infrastruktúrája a következő ábrán látható:
Proton fizetési infrastruktúra
Fizetést kezelő szerver
Kereskedő boltja SAM-ek
fizetés a kereskedő proxy-ján keresztül vásárlás off-line begyűjtés
Internet Proton kártyatulajdonos
nincs kérés egyeztető protokoll távoli e-pénztárcás fizetés SAM jóváírás előtt e-pénztárca terhelés
Banksys
2. ábra: Proton fizetési infrastruktúra [14] A fizetési tranzakció a következő lépésekből áll: 1. Amikor egy felhasználó az interneten böngészve elektronikus pénztárcájával szeretne fizetni, akkor kiválasztja a kereskedő honlapján ezt a fizetési módot. Ekkor a
19
kereskedő webes rendszere megkéri a vásárlót, hogy helyezze be elektronikus pénztárcáját a kártyaolvasóba. 2. A kereskedő szervere elküldi a vásárló számítógépétől kapott tranzakciós adatokat, valamint az elektronikus pénztárca típusára vonatkozó információkat a fizetési szervernek. 3. A fizetési szerver ellenőrzi a kapott adatokat, és hitelesíti a vásárló pénztárcáját, ezután kiszámítja a vevő kártyájának megterheléséhez szükséges adatokat. 4. Ezután a fizetési szerver visszaküldi az adatokat az elektronikus pénztárcának, ekkor a vásárló
a
kártyaolvasón
található
jóváhagyás
(OK)
gombot
megnyomva
engedélyezheti a tranzakciót. Ezt követően az elektronikus pénztárcáról levonásra kerül a megfelelő összeg, és a kártya egy terhelési igazolást és egy tanúsítványt állít ki, amit elküld a kereskedő PSAM moduljának. 5. Amikor ezek az adatok megérkeznek, a fizetési szerver jóváírja az adott elektronikus pénzösszeget a kereskedő PSAM modulján. Ezután a kereskedő kezdeményezheti a banknál a megfelelő pénzösszeg jóváírását a számláján a PSAM-ban tárolt elektronikus pénz terhére. A tranzakció során előbb a vásárló e-pénztárcáját terhelték meg, és ezután került jóváírásra az összeg a kereskedő PSAM moduljában. A pénztárca hitelesítette a PSAM modult, és a PSAM modul is hitelesítette a pénztárcát. Ez a kölcsönös authentikáció garantálja az elektronikus pénztárcás tranzakciók kiemelkedő biztonságát. Az elektronikus pénztárca feltöltési folyamata sokban hasonlít a fizetéshez. Az e-buksza tulajdonosa számítógépén keresztül kapcsolatba lép a feltöltési átjáróval egy a számítógépen futó banki alkalmazás segítségével. A feltöltési átjáró össze van kapcsolva a bank központi szerverével (Banksys), ami leemeli a vásárló számlájáról az ellenértéket. A pénztárca és az átjáró kölcsönösen hitelesítik egymást, és ezután az átjáró feltölti elektronikus pénzzel a pénztárcát.
3.3.1. Előnyök
A fentebb bemutatott internetes fizetési infrastruktúra után érdemes áttekinteni, hogy milyen előnyökkel és hátrányokkal jár a világhálón keresztül történő elektronikus pénztárcás fizetés. A vizsgálódást kezdjük az előnyök feltárásával.
20
Az első leginkább szembetűnő haszna az elektronikus pénztárcás fizetésnek, hogy lehetővé teszi a kis összegű fizetéseket. Ez azért fontos, mert egyre több olyan vállalat van, amelyeknek üzleti tevékenysége szorosan kapcsolódik az internethez, és az általuk szolgáltatott tartalomért – legyen az információ, játék vagy zene – bizonyos összegű díjat számítanak fel. A kis összegű fizetések lebonyolításához pedig a bankkártyás megoldások nem a legmegfelelőbbek, mivel a tranzakciós költségek túl magasak, sőt kis összegű fizetések esetén még meg is haladhatják a tényleges szolgáltatás vagy termék értékét. Ilyenkor tehát jól látszik az e-bukszák előnye a hagyományos bankkártyás megoldásokhoz képest, és széles körű elterjedésük esetén az online fizetések nagy részét meg lehetne oldani segítségükkel. A második lényeges érv az elektronikus pénztárcák mellett az általuk nyújtott magas szintű biztonság. Ez egyrészt a chipkártyás technológiának, másrészt a kölcsönös authentikációnak köszönhető, aminek során a kereskedő fizetési terminál berendezése hitelesíti az e-bukszát, és emellett az elektronikus pénztárca is hitelesíti a terminált. Ez a fizetési tranzakció az epénztárcát képező mikrochip és a kereskedő PSAM moduljában található mikrochip között zajlik le. A folyamat közben alkalmazott kriptográfia garantálja a kiemelkedő biztonságot. Valójában tehát nem a kereskedő kerül hitelesítésre, hanem a terminálja, még pontosabban fogalmazva a terminálban elhelyezett PSAM modul, amit az elfogadó bank bocsát rendelkezésére az elektronikus pénztárca elfogadását dokumentáló szerződés aláírását követően. Mindezek révén egy elektronikus pénztárca nagy érdeklődésre tarthat számot olyan emberek esetében is, akik eddig jogosan nem bíztak meg teljesen az interneten keresztül történő
fizetések
biztonságában,
és
ebből
kifolyólag
nem
szívesen
adták
meg
bankkártyaszámukat az egyes honlapokon. Az előnyök közé sorolható még az anonim vásárlás lehetősége is. Mivel az elektronikus pénztárca egy előre feltöltött eszköz, ezért a fizetési tranzakciót nem lehet nyomon követni. Miután az e-bukszát megterhelték, és a kereskedő PSAM moduljában jóváírták a megfelelő összeget a tranzakció az elektronikus pénz kibocsátója és kereskedő bankja között történik meg. Ebben a folyamatban az egyetlen azonosításra alkalmas dolog a kártyaszám. Kizárólag az elektronikus pénztárca kibocsátója, és az is csak előre meghatározott nagyon kivételes esetekben állapíthatja meg, hogy kihez tartozik az adott e-buksza. Erre akkor lehet szükség, ha például fennáll annak a gyanúja, hogy érvénytelen elektronikus pénzt tartalmaz az adott pénztárca, vagy ha a hatóság ki szeretné nyomozni az elektronikus pénztárca tulajdonosának személyét. Vitatható, hogy ez teljes anonimitást jelent-e vagy sem, mivel a készpénzzel ellentétben, ha nehezen is, de meg lehet állapítani, hogy ki a tulajdonosa a kártyának, azonban
21
azt már nem lehet meghatározni, hogy ténylegesen ki fizetett a kártyával, mivel a fizetéskor semmilyen azonosítót, PIN kódot nem kell megadni. Az eddig felsorolt előnyök mellett az sem hagyható figyelmen kívül, hogy az e-bukszát igen egyszerűen és gyorsan lehet használni, mert mint az már korábban említésre került, ennél csak a feltöltéshez kell a PIN kódot megadni, fizetéshez azonban semmi mást nem kell tenni, mint behelyezni a kártyaolvasóba, és megnyomni a jóváhagyás gombot. Ezen kívül az elektronikus pénztárca olyanoknak is lehetőséget biztosít az internetes vásárlásra, akik nem rendelkeznek egyéb elektronikus fizetési eszközzel. Ráadásul a korlátozott feltölthetőség következtében jól be lehet határolni a kiadásokat, így kiskorúak is könnyen használhatják különböző fizetésekhez. Végül meg kell még említeni az egyik pénztárcából a másikba az interneten keresztül történő fizetés lehetőségét. A gyakorlati életben néhány hatóság ellenzi a két pénztárca közötti elektronikus pénz tranzakciókat, mivel az ilyen tranzakciókat nem lehet nyomon követni, és így lehetőséget biztosíthatnak a pénzmosásra és hamis elektronikus pénz használatára. Néhány központi bank azonban jóváhagyta az ilyen közvetlen tranzakciókat, például a Mondex elektronikus pénztárcák esetében lehetőség van a két e-buksza közötti tranzakcióra. A virtuális világban ezzel szemben más a helyzet, ugyanis itt a tranzakció az elektronikus pénztárca kibocsátóján keresztül történik meg. A meglévő feltöltési eljárásokat így fel lehet használni a két fél közötti fizetés lebonyolítására, és így ez a megoldás egy gyors, olcsó és megbízható alternatíva lehet a kis összegű tranzakciók lebonyolítására.
3.3.2. Hátrányok Az előnyök áttekintése után térjünk most át a hátrányok bemutatására. Az elektronikus pénztárcák első szembetűnő hiányossága az, hogy mivel vásárláskor a fizető személye nem kerül azonosításra, a pénztárca elvesztése, vagy ellopása esetén bárki jogosulatlanul elköltheti a rajta tárolt összeget. Az illetéktelen felhasználó azonban ezután már semmire sem tudja használni a kártyát, mert nem ismeri a PIN kódot, és ezért nem tudja újra feltölteni. További hátrányként könyvelhető el, hogy az elektronikus pénztárcás fizetés manapság még gyerekcipőben jár, nem terjedt el széles körben, és mindemellett az interoperábilitás sem érte el a kívánatos szintet. Mindezek ellenére már történt előrelépés az országközi és elektronikus pénztárca sémák közötti átjárhatóság előmozdítására, ezt bizonyítja a CEPS specifikációk megszületése, amelyeknek ma már egyre több séma felel meg.
22
3.4.
Felhasználási területek szerinti csoportosítás
A korábbiakban áttekintettük a vélhetően legnépszerűbb alkalmazási területeket, azonban nem célszerű a vizsgálódást itt megszakítani – a tisztánlátás elősegítése érdekében szükség van az alkalmazási terület részletesebb térképére. Az elektronikus pénztárcák alapjául szolgáló chipkártya technológia rengeteg felhasználási lehetőséggel bír, ezért nem meglepő, hogy több alkalmazási terület képviselőinek is felkelti az érdeklődését akár a köz-, akár a magánszektorból. Az egyik ilyen alkalmazási terület az államigazgatás, ami nagy szükségletet támaszthat a chipkártyák iránt. Itt potenciális igény merülhet fel például intelligens kártya alapú útlevelek, vezetői engedélyek, jogosítványok használatára. Az ezek kialakítására irányuló fejlesztések folyamatban vannak, részben már most rendelkezésre állnak, s az elkövetkező pár évben széles körű elterjedésük is várható. Ez azért lényeges, mert ezek közül néhány igényelheti az elektronikus pénztárca használatát. A másik fő alkalmazási szektor az önkormányzati terület, ahol leginkább könyvtári, és egyéb szabadidőhöz kapcsolódó szolgáltatások kontextusában merül fel a chipkártyák és elektronikus pénztárcák alkalmazhatóságának lehetősége. A harmadik és talán legjelentősebb a kereskedelmi szektor, ahol a felhasználás alapvetően három csoportba sorolható: fizetés, törzsvásárlói programok, és kártyatulajdonos azonosítás. Már jelenleg is viszonylag széles körben használnak intelligens kártyákat a banki és kereskedelmi szektorban, de ez a szám még jelentősen növelhető. Jó példa erre az a bankszektorban megfigyelhető tendencia, amelynek során egyre több mikrochippel ellátott kártyát bocsátanak ki a régi, elavult, és nem biztonságos mágnescsíkos bank- és hitelkártyák leváltására. A korábbiakban részletesebben ismertetett területeken kívül a tömegközlekedés, parkolójegy értékesítés, iskolai étkezés frontján mutatkozott a legnagyobb érdeklődés az e-bukszák iránt. A magánszektor erre irányuló igényeit nehéz előre jelezni, bár a lehetőség már adott arra, hogy egy nyílt elektronikus pénztárca rendszer széles körben elterjedhessen, és így a pénzhez hasonló könnyedséggel lehessen azt használni. A következő táblázat megpróbálja összefoglalni ennek az alfejezetnek lényegét, azaz bemutatja, hogy melyek az elektronikus pénztárcák potenciális alkalmazási lehetőségei, hogy az egyes alkalmazások számára mennyire megfelelő ez a fizetési forma, és mindemellett
23
megjeleníti azt is, hogy az adott alkalmazásra milyen típusú e-buksza lehet a leginkább
Önkormányzat Könyvtárak: Fizikai/logikai hozzáférés Tagság igazolása Könyv kikölcsönzés Könyv előjegyzés Díjak/szolgáltatások fizetése Lakásügyek: Személyazonosság igazolása Bérleti díj fizetése Online önkormányzat: Személyazonosság igazolása Fizetés szolgáltatásokért Központi kormányzat Egészségügy: Kórtörténet tárolása Receptek Szolgáltatások pácienseknek Segélyek: Személyazonosság igazolása Segélyek felvétele Nyilvános/magán felhasználás Közlekedés: Parkolási engedély Fizetés parkolásért Kedvezményes közlekedés Utazási bérlet Utazási jegy vásárlás Útdíj Alkalmazotti kártya: Fizikai/logikai hozzáférés Munkahelyi parkolás Étel/ital automaták Kiskereskedelem: Személyes vásárlás Online vásárlás Szerencsejáték: Fizetés
Oktatási intézmények: Fizikai/logikai hozzáférés Jelenlét figyelés Iskolai étkezés fizetése Étel/ital automaták Életkor igazolása Oktatási központok: Fizikai/logikai hozzáférés Tagság igazolása Fizetés PC használatért Fizetés kurzusokért
Járművezetés: Jogosítvány Üzemanyag vásárlás Útdíj fizetés Szavazás: Személyazonosság igazolása
Szabadidős elfoglaltság: Tagság igazolása Fizikai hozzáférés Felszerelés kölcsönzés Tanfolyam fizetés Étel/ital automaták Diákigazolvány: Fizikai/logikai hozzáférés Szavazás Étel/ital automaták Telefon kártyák: Nyilvános telefon Idegenforgalmi felhasználás: Múzeumi belépő Közlekedés Vásárlás
1. táblázat: Elektronikus pénztárca alkalmazások [15] A táblázatban megjelenő színes cellák azt ábrázolják, hogy az egyes alkalmazási lehetőségek számára mennyire lehet megfelelő az elektronikus pénztárca. Zöld színűek azok a mezők, ahol leginkább van perspektíva az e-bukszák felhasználására. Sárga színnel vannak jelölve azok az alternatívák, ahol csak kis mértékben van értelme intelligens kártya alapú pénztárcákat alkalmazni. Megfigyelhető továbbá az is, hogy ezekben az esetekben egyik
24
nyílt EP
zárt EP
nincs
közepes
ALKALMAZÁSI TERÜLET
magas
nyílt EP
zárt EP
nincs
közepes
ALKALMAZÁSI TERÜLET
magas
megfelelő.
elektronikus pénztárca típus sincs megjelölve, mint célszerű megoldás. Ez azért van, mert egyik típus tulajdonságai sem férnek össze teljes mértékben az adott alkalmazási terület követelményeivel. Piros színnel azok a felhasználási lehetőségek vannak jelölve, amelyekre feltehetően egyik e-pénztárca típus sem megfelelő. Több helyen látható olyan bejegyzés a táblázatban, ahol mind a nyílt, mind pedig a zárt elektronikus pénztárca meg van jelölve, mint alkalmas alternatíva. Ennek magyarázatára tekintsük például a könyvtárak esetét. Ekkor a kölcsönzési, előjegyzési és egyéb szolgáltatási díjak fizetésére alkalmas lehet egy olyan elektronikus pénztárca, amit kifejezetten könyvtári szolgáltatásokhoz kapcsolódó díjak fizetésére alakítottak ki (azaz egy zárt típusú elektronikus pénztárca). Mindemellett egy nyílt típusú e-buksza is ki tudja elégíteni a felmerülő igényeket, sőt összességében még jobb is, mint a zárt, mert szélesebb körben ki lehet használni a benne rejlő funkciókat – például egyéb helyeken történő vásárlásra is alkalmas lehet. Ezek fényében megállapíthatjuk, hogy azokban az esetekben, ahol mindkét típus meg van jelölve a lehetséges megoldások között, szinte mindig a nyílt típusú elektronikus pénztárca tekinthető a jobb alternatívának. Mindez maga után vonja azt, hogy nem lehet a táblázatban olyan sort találni, ahol kizárólag a zárt típus lenne megjelölve ideális választásnak, ezzel szemben több helyen is lehet találni olyan bejegyzést, ahol egyedül a nyílt típusú e-buksza a kedvező megoldás. Jó példa erre a kiskereskedelem esetében a személyes és online vásárlás, mert ilyenkor kétség sem fér ahhoz, hogy csak olyan e-pénztárcának van létjogosultsága, amely széles körben felhasználható. A táblázat egészét tekintve megállapíthatjuk, hogy a piros és a zöld színű cellák közül az utóbbiak vannak túlsúlyban, ami mindenesetre bíztató az e-bukszák jövőbeli elterjedését illetően. A bizonytalan esetekben, azaz a sárga bejegyzéseknél pedig leginkább az a megállapítás fogadható el helytállónak, hogy azok inkább a piros szín felé húznak, azaz nem nagy az esély arra, hogy életképesek lehetnek egy esetleges bevezetés során. Ez könnyen magyarázható azzal az általános tapasztalattal, hogy az állampolgárok szeretnek inkább a már jól bevált fizetési módok mellett maradni, és nehezen fogadnak el, és használnak egy új technológiát. Ha emellé még azt is hozzávesszük, hogy az e-bukszák alkalmassága ezeken a „sárga” területeken egyáltalán nem tekinthető minden kétséget kizárónak, akkor összességében tényleg jobb megoldásnak tűnik, ha ezeket is inkább a piros, azaz a nem alkalmas kategóriába soroljuk. Szerencsére az ilyen kétes esetekből viszonylag kevés van, és így ha pirosnak tekintjük is őket, még összességében mindig a zöld lesz túlsúlyban.
25
4. Európai kezdeményezések Egy elektronikus pénztárca alkalmazás tervezését és fejlesztését megelőzően célszerű megismerkedni az e-bukszák előéletével, illetve a gyakorlatban is működő konkrét példákkal, ezért ebben a fejezetben áttekintem a jelentősebb európai kezdeményezéseket, mivel az ezek során felhalmozódott tapasztalat halmaz vélhetően hozzájárul majd az általam készített alkalmazás használhatóságához. Az Európai Unió négy tagállamában már több mint kilenc éve használnak különböző típusú elektronikus pénztárcákat országos szintű elterjedtséggel. Ez az eset áll fenn Finnország, Belgium, Dánia és Portugália esetében. Hollandia és Németország – a GeldKarte elnevezésű elektronikus pénztárcájával – egy évvel később csatlakoztak az úttörőkhöz. Összességében körülbelül 25 különböző elektronikus pénztárca próbálkozás látott napvilágot Európában az utóbbi kilenc-tíz évben.[16] Bár a technikai lehetőségek országról országra változnak, mégis levonhatunk néhány általános következtetést a kísérletek tapasztalatai alapján. A legelőrehaladottabb próbálkozások olyan kis- és közepes méretű országokban zajlottak, ahol a fizetési rendszerek menedzsmentje centralizált, és ahol a bankközi együttműködésnek hagyománya van. Ezek a szükséges alapfeltételek, amelyek révén elérhető az a kritikus tömeg, ami egy jövedelmező elektronikus pénztárca rendszerhez szükséges. Ebben a négy országban a bankkártyás fizetés szinte hagyományosnak tekinthető, ahol a jogosultság ellenőrzése online módon a PIN kód megadásával zajlik. Ez lényegében azt jelenti, hogy a bankszektor ösztönözve volt az elektronikus pénztárcák, illetve chipkártyák bevezetésére, mivel ezek nem feltétlenül igényelik a PIN kód megadását a kis összegű fizetésekhez. Az epénztárca bevezetése így lényegében magával hozta a chipkártyák bevezetését mindazokkal az extra biztonsági szolgáltatásokkal, melyek ennek a technológiának a hasznos velejárói. Az elektronikus pénztárca programjaikat legkorábban kezdő országoknál a legfőbb célok közé tartozott az egyszerűség és a könnyű használat. Dániában például kezdetben a kártyát nem lehetett újrafelhasználni, míg a másik három országban az ATM hálózatot ellátták olyan berendezésekkel, amelyek lehetővé tették az e-bukszák adott pénzösszeggel történő feltöltését. A pénztárcában tárolható összegnek minden esetben szabtak felső korlátot. Az elektronikus pénztárcák ezekben az országokban egyetlen pénznemmel működtek, és nem volt lehetőség a lopás vagy a kártya elvesztése esetén kártalanítási igényt érvényesíteni. Ennek ellenére a bankok igyekeztek egy elfogadható szintű biztonságot garantálni. Finnország kivételével mindenhol megteremtették annak a lehetőségét, hogy a kártyákkal lebonyolított
26
tranzakciókat részben vagy teljes mértékben nyomon lehessen követni. Ez a leghatékonyabb módja annak, hogy felbecsülni, illetve detektálni lehessen a chipkártyákkal történő visszaélési kísérleteket. Szinte minden Európai Uniós tagállam rendelkezik már valamilyen tapasztalattal az elektronikus pénztárcákkal kapcsolatban, legyen az akár helyi szintű, akár az egész országra kiterjedő próbálkozás. Minden uniós állam érdekelt abban, hogy lecseréljék a pénzérméket és bankjegyeket, amelyek a mindennapi élet részei, s különösen aktuális ez az egységes európai fizetőeszköz, az euró bevezetése után. Természetesen a továbbiakban tárgyalásra kerülő elektronikus pénztárcák közül egyelőre nem mindegyik ért el magas felhasználási szintet, profitról még nem nagyon lehet beszélni, és a fogyasztók, valamint a kereskedelmi szektor is panaszkodik a hiányos informáltság, valamint az országról országra változó technikai feltételek miatt. Mindezek alapján egy felületes szemlélő számára az a kép alakulhat ki, hogy az elektronikus pénztárcáknak nincs jövője, és gazdaságilag nem ésszerű lecserélni a hagyományos pénzt elektronikus pénzre. Azonban a helyzet a kezdetektől fogva folyamatosan változik. Az euró és a Monetáris Unió létrejötte, a multiaplikációs kártyák3 kialakításának technikai lehetősége, valamint a nemzetközi szintű szabványosítás a CEPS-en keresztül együttesen egy sokkal támogatóbb környezetet alakított ki az elektronikus pénztárcák számára. Így ma már széles körben elismerik, hogy valamikor a XXI. század első évtizedének végén az e-pénztárcák el fogják foglalni az őket megillető helyet a többi napi rendszerességgel használt fizetőeszköz mellett. A következő részben bemutatásra kerülő uniós országok tapasztalatai jól mutatják, hogy határozott érdeklődés figyelhető meg az e-pénztárcák iránt. A Dániában, Belgiumban, Portugáliában és Finnországban lezajló első próbálkozásokat követően a nagyobb uniós tagállamok már megteremtették a technikai – ha nem is mindig gazdasági – feltételeit az ilyen típusú fizetés széleskörű elterjedésének. Az országok közötti sorrend kialakítása földrajzi elhelyezkedés alapján történik, mégpedig északról dél felé haladva, de az alábbiakban nem kerül tárgyalásra minden olyan európai ország, ahol volt elektronikus pénztárca kezdeményezés, hanem csak az e-buksza vonatkozásában általam fontosabbnak ítélt államok kerülnek bele a listába. Az elterjedtségi és tranzakciós adatok megadása során pedig elsősorban a kezdeti időszakra vonatkozó értékek
3
Olyan chipkártya, amely alkalmas arra, hogy több egymástól független alkalmazást is tartalmazzon.
27
szerepelnek, mivel az esetek többségben csak ezek álltak rendelkezésre, azonban ahol friss adatokhoz is hozzájutottam, ott természetesen azokat is megemlítem.
4.1.
Jelentősebb elektronikus pénztárca kísérletek Európában
4.1.1. Dánia Dánia volt az első európai ország, amely elektronikus pénztárca programba fogott. A Danmont elnevezésű kártyát a dán fizetési rendszer csoport, a PBS (Payment Business Services) vezette be 1993-ban. Ezt az e-bukszát nem lehetett újratölteni, és technikai jellegét tekintve nagyon hasonlított a telefonkártyákra. Később a PBS bevezetett egy fejlettebb verziót is, amit már fel lehetett tölteni az ATM automatáknál. A dán próbálkozás sikeresnek mondható, mert 1999-re már minden tizedik dán lakos rendelkezett ilyen e-pénztárcával, és az éves tranzakciószám elérte a 7.9 milliót. A siker azzal a ténnyel magyarázható, hogy a marketing kampány azokat a szolgáltatási szektorokat célozta meg, ahol a hagyományos fizetésre alkalmas kártyákat csak ritkán fogadták el, például parkolóóráknál,
vasúti
jegyek
vásárlásánál,
nyilvános
telefonoknál
és
étel-ital
automatáknál.[17]
4.1.2. Hollandia Hollandiában egyszerre két elektronikus pénztárca projekt is működött: a Chipknip és a Chipper. A Chipknip az Interpay fejlesztése, amely többek között menedzseli a holland bankok körülbelül felét, a holland kártya alapú fizetési rendszereket, csakúgy mint a nemzeti fizetési rendszer és az európai Europay hálózat közötti kapcsolatokat. A Chipknip, ami a belga Proton technológián alapul, országszerte 1996-ban indult útjára. Annak érdekében, hogy minél előbb elérje a kritikus tömeget, a Chipknip elektronikus pénztárcát beágyazták a nagyobb holland bankok hitelkártyáiba. Az ezredfordulóra a Chipknip lett az országban a legelterjedtebb kártya, az összes e-pénztárca tranzakciók kétharmadával és 13.4 millió forgalomban lévő kártyával. A Chipknip kártyákat az ország mind a 145 ezer POS termináljánál elfogadják, és a legtöbb ATM-et is felkészítették az e-bukszák feltöltésére. Minden egyes elektronikus
28
pénztárcás fizetés esetén a boltosoknak a tranzakció összegének 0.8%-át kell tranzakciós díjként befizetniük.[18] A kereskedelmi bankok által igen erősen támogatott Chipknip versenytársaként jelent meg a Chipper, ami a Postbank és a nemzeti távközlési vállalat, a KPN fejlesztése volt. A Chipper program 1997 elején indult el, és ezt az elektronikus pénztárca technológiát is integrálták, mégpedig a Postbank bankkártyáira, ami a legfontosabb fizetési szolgáltató volt a holland piacon. A Chipper-t 22 ezer nyilvános telefonnál lehetett használni a KPN hálózatán. Ezek a telefonok képesek voltak kártyafeltöltési tranzakciókat is lebonyolítani. A kereskedelmi szektornak 0.7%-os díjat kellett fizetnie minden egyes Chipper tranzakció után. Az ezredfordulóra a Chipper műveletek száma elérte a havi egymilliós értéket.[18] A holland pénzügyminisztérium és a központi bank együttesen fejezték ki nemtetszésüket arra vonatkozóan, hogy két különböző elektronikus pénztárca rendszer van jelen a piacon versenytársként, ezért a két rivális csoportot arra késztették, hogy közös országos kompatibilitást biztosítsanak. Ennek eredményeként mind a kereskedelmi bankok, mind pedig a Postbank/KPN szövetség ígéretet tettek arra, hogy dolgozni fognak a Chipknip és a Chipper közti technikai konvergencia előmozdításán az egységes elektronikus pénztárca specifikáció (CEPS) alapján.
4.1.3. Belgium A belga elektronikus pénztárca kezdeményezés, a Proton, 1996 májusában indult az egész országra kiterjedően, és ezt tekinthetjük üzleti szempontból a legsikeresebb európai elektronikus pénztárca alkalmazásnak. A Proton rendszert a Banksys, a belga kártyás fizetési rendszer üzemeltetője fejlesztette ki és népszerűsítette. A Banksys valójában az országban működő bankok egy részének technikai csoportosulása. Az első fázisban a Banksys mint különleges kártyát népszerűsítette a Protont. Ma már azonban a Proton alkalmazás egy speciális chip révén integrálva van csaknem minden fizetési célt szolgáló kártyában, amit a belga bankok bocsátanak ki. Ennek a kombinációnak köszönhetően az elektronikus pénztárca általános elfogadottsága és disztribúciója felgyorsult, aminek révén 2000-ben már 8 millió Proton kártya volt forgalomban. A tranzakciók volumenének változása követte a kártya elterjedésének ütemét: 10 millió elektronikus pénztárca tranzakció 1997-ben, 28 millió 1998-ban, és 45.5 millió 1999-ben. Az ezredfordulón az e-buksza műveletek száma elérte a havi 5 milliót, míg a tranzakciók átlagos
29
összege 4 euró körül alakult. A Proton rendszer által lebonyolított fizetések száma az összes fizetés 13%-át tette ki. A kereskedelmi szektorban az elfogadóhelyek száma (több mint 89 ezer POS terminál) is igen magas szintet ért el.[19] A terminálok nagy száma részben annak köszönhető, hogy lehetővé vált a Proton kártyák használata a nyilvános telefonoknál is, hasonlóan, mint a később tárgyalandó német esetben. Mindemellett az otthonokba is „beköltözött” a kártya annak köszönhetően, hogy a telefonkészülékeket is ellátták kártyaolvasó berendezéssel, ami lehetővé tette a home banking szolgáltatások használatát is. A Proton kártyákat teljesen „üresen” bocsátották ki, de feltöltési és újratöltési műveletek elvégzéséhez több mint 18 ezer terminál állt rendelkezésre. Ez négyszer annyi, mint a Belgium területén található összes ATM automata száma. A boltosnak vagy a szolgáltatást nyújtó félnek az ügylet összegének 0.7%-át kellett befizetnie a Proton rendszer működtetőjének minden egyes tranzakciónál. A kártyatulajdonosnak évi 5 eurójába került a kártya használata, de ezt az összeget csak akkor kellett befizetnie, ha ténylegesen vásárolt is az elektronikus pénztárcájával. A legtöbb belga bank integrálta a Proton elektronikus pénztárca szolgáltatást egy általánosabb banki szolgáltatás csomagba, ami illeszkedett az egyes ügyfélkörök igényeihez.[19] Bár a Proton rendszer nem érte még el teljes mértékben a belga bankok ambiciózus céljait, mégis Belgium rendelkezik a legmagasabb egy lakosra jutó elektronikus pénztárca tranzakció számmal az egész Európai Unióban. Ez a siker nagyrészt annak köszönhető, hogy a Banksys el tudta végezni a szükséges beruházásokat és reklámozási feladatokat. Az erre irányuló erőfeszítés pedig jórészt azzal magyarázható, hogy a Banksys-nak szándékában állt a Proton technológiát exportálni, és egyfajta európai szabványt kialakítani, amely saját technológiájára épül. Ennek a törekvésnek a támogatására létrehozták a ProtonWorld-öt, és sor került a Proton technológia exportjára például Hollandiába, Svédországba és Svájcba.
4.1.4. Németország Németország 1996 végén indította útjára a GeldKarte elnevezésű, az egész országra kiterjedő elektronikus pénztárca programját. A német kereskedelmi bankok és a fontos helyi (a magyar takarékszövetkezetekhez hasonló) pénzintézetek elhatározták, hogy beépítik az elektronikus pénztárca funkciót minden olyan hitelkártyába, amelyet 1997 elejétől kezdve bocsátanak ki ügyfeleik részére. Ez az intézkedés látványos eredményekkel járt a GeldKarte elektronikus
30
pénztárcák mennyiségét és a velük végzett műveletek számát illetően: 2005-re már több mint 60 millió e-buksza volt forgalomban Németországban, amelyekkel éves szinten 38 millió fizetési tranzakciót bonyolítottak le – ami azt jelenti, hogy 7 év alatt megtízszereződött ez az érték – és a GeldKarte elfogadóhelyek száma elérte a 142 ezret. Kezdetben a maximális összeg, amivel fel lehetett tölteni a kártyát 400 márka volt, ma már ez az összeg 200 euró.[20] Mindezek ellenére kezdetben az aktív kártyák aránya, amelyekkel havonta legalább egy tranzakciót lebonyolítottak, már sokkal alacsonyabbnak bizonyult. 1999 végén az ilyen „aktív” kártyatulajdonosok száma körülbelül egymillió volt. Ennek eredményeként az országos összkép igen alacsony egy kártyára jutó tranzakciószámot mutatott. 1999 decemberében 20 millió tranzakciót regisztráltak a GeldKarte tulajdonosok körében, ahol az egy tranzakcióra jutó összeg 7 márka volt. A kártyatulajdonosoknak nem kellett, és ma sem kell semmilyen éves megújítási díjat fizetniük e-bukszájuk után (kivéve néhány bankot). Az üzletek tulajdonosainak ellenben a tranzakció összegének 0.3%-át, de minimum 0.01 eurót be kell
fizetniük,
valamint
őket
terheli
a
kártya
online
ellenőrzéséhez
szükséges
telekommunikációs kapcsolat felépítésének költsége is.[20] Vajon mivel magyarázható a GeldKarte kezdeti viszonylagos sikertelensége? A lehetséges okok között szerepel az, hogy túl kevés volt az olyan POS terminálok száma, amelyek elfogadták a kártyákat, továbbá a bankok sem folytattak kellően intenzív reklámkampányt az e-pénztárca népszerűsítése érdekében. Ráadásul kevés volt azoknak a helyeknek a száma, ahol fel lehetett tölteni a kártyát. Ezt a három tényezőt kellett felülvizsgálni ahhoz – miként azt meg is tették –, hogy elérhessék azt a kritikus tömeget, ahol már profitábilissá válik a rendszer. Az 1999-es év nagy jelentőséggel bírt a GeldKarte történetében. Ez az az év, amikortól nyilvános telefonoknál is használni lehetett a kártyát, és a német vasút is átalakította a jegykiadó automatáit, így lehetővé vált, hogy bárki vehessen vasúti jegyet elektronikus pénztárcájának segítségével is. Egy újabb fontos mérföldkő a 2002-es év: ettől kezdve vált ugyanis lehetővé az internetes vásárlás, aminek köszönhetően ma már számos online áruházban ki lehet választani a GeldKarte-tét mint fizetési módot. Mindezek eredményként a GeldKarte hosszú távú kilátásai pozitívvá váltak.[20]
31
4.1.5. Franciaország A francia eset teljesen különleges, mivel ebben az országban a hagyományos bank- és hitelkártyákat igen nagy rendszerességgel használták, ami negatív hatással volt az elektronikus pénztárcák bevezetésére és fejlődésére. Franciaország világelső az egy lakosra jutó kártyás tranzakciók számában, és emellett az első olyan ország Európában, ahol minden egyes kártyát mikrochippel láttak el. A legszélesebb körben használt kártya nem egy hagyományos bankkártya volt, hanem egy olyan, az egész országban elfogadott, fizetésekre alkalmas kártya, amit a Groupement Cartes Bancaires (CB) működtetett. Ez a chipkártya már több 100 euró alatti, offline tranzakcióra volt képes, és a nyilvános telefonokban is széleskörűen használták.[17] Ennek eredményeként a francia bankok vonakodtak bevezetni az elektronikus pénztárcát, különösen azért, mert Franciaországban, köszönhetően a kiemelkedő kártyás kultúrának, sokkal kevesebb gazdasági haszonnal lehetett számolni, mint más országokban. Mindezek ellenére a chipkártya feltalálójaként, valamint olyan államként, amely képes volt az intelligens kártya köré egy sikeres iparágat létrehozni olyan vállalatokkal fémjelezve mint az ST Microelectronics és a Gemplus, Franciaország sem maradhatott távol az elektronikus pénz irányába tartó folyamatoktól. Három különböző programot indítottak eltérő bankcsoportok annak tesztelésére, hogy milyen nyilvános fogadtatása van az elektronikus pénztárcának. Ez a három kísérlet a Modeus, Moneo és a Mondex France. A Modeus projekt négy jelentős pénzügyi szervezet és két nagy közlekedési vállalat kezdeményezése. A program azon az eredeti ötleten alapul, hogy ugyanazt a chipkártyát használnák egyrészt elektronikus pénztárcaként fizetési célokra, másrészt egyfajta általános elektronikus közlekedési jegyként a párizsi autóbusz- és metró vonalakon. A jegykezelési funkcióhoz kapcsolódóan a Modeus-szal kipróbálták az érintésnélküli technológiát is, ami lehetővé tette a mikrochip számára, hogy 10-15 cm-es távolságból is átküldje a szükséges adatokat. A párizsi metró állomásokat már ellátták a kontaktusnélküli technológiát támogató olvasó berendezésekkel. Az első Modeus kísérletekre Párizs keleti részén került sor, más városokat csak a későbbi években terveztek bevonni.[21] A Modeus koncepció néhány technológiai és szabályozási akadályba ütközött, mivel a francia központi bank úgy vélte, hogy az olyan technológia, ami közvetlen érintkezés nélkül továbbít információt, több visszaélésre ad lehetőséget.
32
A Moneo a leginkább népszerűsített elektronikus pénztárca próbálkozás Franciaországban. Ez a kísérlet egy SEME (Société Européenne de Monnaie Electronique) nevű önálló vállalatban öltött testet, azzal a megbízással, hogy kifejlessze a szükséges technológiát. A SEME részvényesei közé hat francia bank tartozott, amelyek azt a célt tűzték ki, hogy a Moneo elektronikus pénztárca funkciót a franciák által fizetésekre széles körben használt kártyára integrálják, és olyan szolgáltatási területeken alkalmazzák, amelyek nincsenek elég jól lefedve a népszerű fizetési rendszerrel, mint például a tömegközlekedés, és a parkolóórák. Műszaki szempontból nézve a Moneo összekapcsolja a francia CB szabványt a német GeldKarte technológiával. A toursi bemutatkozást követően az ország más részeire is kiterjesztették a projektet. A Tours városában tett kísérlet egy érdekes történettel is szolgál, hiszen a bankok által kibocsátott Moneo kártyát ingyenesen a rendelkezésére bocsátották minden olyan fiatalnak, aki még nem érte el a 18 éves kort, és így nem lehetett még másfajta kártyája. Ezzel állítólag a céljuk az volt, hogy felkészítsék a fiatalságot az euróra.[22] Miután a Mondex megalapozta tevékenységeit Angliában, a Mondex France szépen prosperált Franciaországban is a Crédit Mutuel csoport támogatásával, ami egy domináns bankcsoport az ország keleti részében. A Crédit Mutuel többségi részesedést szerzett a Mondex Franceban, és emellett kizárólagos joggal rendelkezett a Mondex elektronikus pénztárca technológia terjesztését illetően. A Crédit Mutuel erős marketing kampányt folytatott a strasbourgi bevezetés elősegítése érdekében, ahol százezer kibocsátott kártyát céloztak meg. Az elektronikus pénztárca három eltérő megközelítése jól tükrözi a francia bankszektor azon vélekedését, hogy az e-bukszák piaca túl kicsi, és így nem érdemes sokat invesztálni ebbe a fizetési alternatívába. Azonban a kormány támogatta az elektronikus pénztárcát, már csak abból a célból is, hogy Franciaország az elektronikus pénz és chipkártya technológiában vezető szerepet betöltő országok között maradhasson.
4.1.6. Spanyolország Spanyolországban három elektronikus pénztárca séma versenyzett egymással. Az elsőt, a TIBC Visa Cash projektet, a Visa Espana/Sermepa valósította meg, ami egy kereskedelmi bankokból álló szövetség. A második programot Monedero 4B-nek nevezték el, ezt négy nagyobb kereskedelmi bank indította be, amelyek saját pénzügyi szervezetüket, a Quatro B-t használták. A harmadik kezdeményezés pedig, amely az Euro 6000 nevet kapta, s a CECA
33
támogatásával jött létre, még ma is működik. Mivel mindhárom megoldás különböző technológián alapult, a későbbi konvergenciára csak igen kicsi esély mutatkozott. A Visa Cash e-pénztárca programot 1996 júliusában indították el országos szinten. A bankok viselték csaknem teljes egészében a kísérlet minden költségét, mivel a kereskedőknek nem kellett semmit sem fizetniük az egyes tranzakciók után. A kártyatulajdonosok esetében is csak akkor merült fel némi költség, amikor a kibocsátó bankoktól eltérő banknál töltötte fel ebukszáját az adott ügyfél. Azonban még e kedvezmények ellenére is elég alacsony maradt a tranzakciók száma. A Monedero 4B-nek két fajtája volt: az egyik egy elektronikus pénztárca, melyen a maximálisan tárolt összeg 25.000 peseta volt, míg a másik egy telefonkártya, ahol az összeg felső határa 5.000 pesetát tett ki. A projektet először Valladolidban, majd egy évvel később 1996-ban Logrono városában indították be, ahol a város összes bankja támogatta a kártya használatát. Az utóbbi város 900 boltjában több mint 26 ezer e-pénztárcát használtak. A későbbiekben a Monederot adaptálták zárt környezetű felhasználásra is, mint például kórházak, egyetemek.[17]
4.1.7. Portugália Portugália az elsők között volt Európában, ahol elektronikus pénztárca programot indítottak. A portugál e-pénztárca, a Multibanco 1995 áprilisában kezdte meg pályafutását. A rendszer, ami az egész országra kiterjedt a SIBS (Sociedade Interbancária de Serviços) fejlesztése, ez az a csoport, amely a portugál kártya alapú fizetési rendszerek menedzseléséért felelős a bankszektor mellett. A Multibanco az elektronikus pénztárca egy rugalmas megközelítésének tekinthető: a kártyák akár névtelenek is lehetnek, vagy e-pénztárca funkciójuk beépíthető a hitel- vagy bankkártyákba. A Multibanco tranzakciók száma alacsony szinten maradt és nem növekedett olyan gyorsan, mint ahogy várták. A POS terminálok száma, amelyek elfogadták a kártyát, elég magas volt: 59 ezer volt használatban a portugál kereskedelmi szektorban, szemben a 70 ezer ATM terminállal, ami képes volt bankkártyát kezelni. De az e-pénztárcák szempontjából legérdekesebb területek csak lassan mozdultak el az elektronikus pénz irányába. Ez a helyzet figyelhető meg a tömegközlekedés, az étel-ital automaták és parkolóórák esetében is. A másik tényező, ami az alacsony tranzakciószámot magyarázhatja nem más, mint az a korlátozás, hogy a Multibanco kártyákat nem lehetett nyilvános telefonokban használni.
34
A portugál bankszektor azt jósolta, hogy a tranzakciószám emelkedni fog, amint a Multibanco használható lesz a korábban említett szolgáltatási területeken is. Ezért időközben minden ATM automatát alkalmassá tettek az e-buksza feltöltési tranzakciók végrehajtására, a kártya használata pedig mind a boltosok, mind a kártyatulajdonosok számára igen olcsó volt. A kereskedők által a tranzakciók után fizetendő díjak már kezdetben nagyon alacsonyak voltak (0.1-0.2%), és két évvel az indulás után már ezt sem kellett megtéríteniük. A kártyatulajdonosoknak pedig semmilyen tranzakciós díjat sem kellett kifizetniük, sem a Multibanco kártya használatáért sem pedig az ATM hálózaton keresztüli újratöltéséért. Mindezeknek köszönhetően ezek a kártyák ma is nagy népszerűségnek örvendenek.[17]
4.2.
Egyéb európai kezdeményezések
Ausztriában az osztrák elektronikus pénztárca projekt a Quick nevet kapta. 1996 áprilisától indult a fejlesztés, melyet azok az osztrák bankok támogattak, amelyek az Europay Austria állandó tagjai voltak. A Europay Austria azért is fontos, mert ez a szervezet koordinálta az ottani kártyás fizetési rendszereket, és menedzselte az európai Europay szolgáltatásai körébe irányuló integrációs folyamatot. A Quick elektronikus pénztárca funkciót beágyazták mind a hitelkártyákba, mind pedig az országos ATM hálózatba. A bankok által kivetett tranzakciós díj 0.5% és 1% között alakult attól függően, hogy milyen típusú volt az adott bolt vagy szolgáltató.[23] Olaszországban MINIpay névvel indítottak elektronikus pénztárca programot, ami az SSB fizetési rendszerekre specializálódott vállalat nevéhez fűződik. Az SSB és a Telecom Italia közösen vállalták, hogy implementálják a MINIpay rendszert. Körülbelül egy millió MINIpay kártya van forgalomban, és ötezer POS terminált telepítettek az e-pénztárcák használatához. A MINIpay kártyákat a legtöbb esetben a helyi olasz bankok bocsátották ki szoros együttműködésben a városokkal és a helyi hatóságokkal.[18] Az Egyesült Királyságban az első Mondex e-pénztárca program 1995-ben Swindonban indult a NatWest bankcsoport támogatásával. A bevezetési kísérlet célja az volt, hogy leteszteljék a Mondex műszaki specifikációit. A swindoni próbálkozást 1998-ban felfüggesztették, de egyéb Mondex sémák még tovább éltek egyes egyetemeken.[17] A VISA 1997 októberében Leedsben indította be a Visa Cash programot hat angol bank támogatásával. Két évvel később a jelentősebb angol bankok elkötelezettségüket fejezték ki a mikrochip technológia iránt, és szorgalmazták a minél gyorsabb áttérést az intelligens kártyákra. Ezzel csökkenteni akarták a 35
hagyományos műanyag kártyákkal kapcsolatos visszaélések számát, valamint így akartak egy jobb technikai hátteret adni az elektronikus pénztárcák széleskörű bevezetéséhez.[18] A VISA Írországban is indított Visa Cash e-pénztárca programot, ami a két legnagyobb ír bank és a nemzeti telefon szolgáltató együttműködésével valósult meg. A felhasználási területek itt is hasonlóak voltak, mint más országokban, azaz boltokban, nyilvános telefonoknál, parkolóóráknál, és étel-ital automatáknál lehetett fizetni a kártyával.[17]
4.3.
Következtetések
Néhány fontos tanulságot levonhatunk a fentebb bemutatott európai elektronikus pénztárca kezdeményezések alapján. Minden esetben megfigyelhető az a keresési folyamat, amely során a cél megtalálni azt az ideális összetételt, amikor a három legfőbb partner – a bankok, a kártyatulajdonosok és a kereskedelmi szektor – mindegyike biztos lehet benne, hogy hasznára válik majd az elektronikus pénztárca bevezetése. A bankokat az induláshoz szükséges költségek és az új fizetési rendszer által a jövőben termelt nyereség foglalkoztatja. A kártyatulajdonosok egyrészt minél egyszerűbben, másrészt pedig minél több helyen szeretnének fizetni elektronikus pénztárcájukkal. A kereskedelmi szektor pedig gyakran kelletlenül fogadja az új fizetési alternatívákat, és nincs készen arra, hogy úttörő szerepet vállaljon az e-pénztárca kezdeményezésekben. Ennek következtében külső játékosok is bekapcsolódtak az európai elektronikus pénztárca kezdeményezésekbe, úgymint távközlési vagy közlekedési vállalatok. Az esettanulmányok szerint az optimális állapotot a bankok, vásárlók, és a kereskedelmi szektor között egyszerűbb kialakítani a kisebb országokban. Ez magyarázhatja a Proton sikerét Belgiumban, a pozitív fogadtatást Dániában és Hollandiában. A különböző elektronikus pénztárca kísérletek sikere vagy sikertelensége kapcsán a következő főbb megállapításokat tehetjük: [17] [21] [22] 1.) Az elektronikus pénztárca széles körű bevezetése csak akkor lehetséges, ha a bankszektor teljes mértékben elkötelezte magát a chipkártya technológia iránt. 2.) Az elektronikus pénztárcát országos szinten kell bevezetni mindenhol ugyanazt a szabványt használva: a feleslegesen sok séma versenyhelyzetet teremt az egyes technológiák között, és így problémát okozhat (lásd. Franciaország, Hollandia, Olaszország).
36
3.) A kereskedelmi szektor által fizetett tranzakciós díj összegét nem célszerű magasabbra emelni, mint a hagyományos fizetésre használt kártyák esetében kiszabott mennyiség. Bár a nagyon alacsony tranzakciós díj, vagy annak teljes hiánya – például Portugáliában – sem biztosít látványos előnyt az elektronikus pénztárcák végső sikerét illetően. 4.) Az egyszerű használat és feltöltés lehetősége nagy jelentőséggel bír a nyilvános fogadtatás tekintetében. Például még két versengő rendszer esetén is, a holland epénztárca piac pozitívan reagált a felhasználóbarát szoftverre, amit a fizetési és újratöltési tranzakciók során használnak. 5.) Az e-pénztárcát egyrészt önálló termékként, másrészt mint már meglévő fizetési kártyákra telepíthető kiegészítő szolgáltatásként kell bevezetni (különösen olyan esetben, amikor a bankkártyás megoldások népszerűek és széles körben elterjedtek) 6.) A bankszektornak készen kell állnia arra, hogy részt vegyen az e-pénztárca márka promóciójában és a terjedéshez szükséges marketing kampányban. Példaként tekinthetjük a Protont, ami a Banksys reklámozási erőfeszítéseinek köszönhetően Európa egyik legfejlettebb e-pénztárcája lett. 7.) Jelentős sikert egyik európai országban sem értek el legalább egy, vagy inkább kettő nagy szolgáltató szektor támogatása nélkül. Ugyanis ezek a szolgáltatások – például a tömegközlekedés, a nyilvános telefonok, és parkolóórák – sok kisösszegű tranzakciót generálnak, és pont ez az a terület, ami igazán összeillik az elektronikus pénztárcák alapgondolatával.
37
5. Technológiai háttér és biztonság 5.1.
Chipkártyák
A korábbiakban már sokszor említésre került az intelligens kártya (smart card) fogalma, azonban eddig pontos definícióval nem szolgált a dolgozat. Az elektronikus pénztárcák valójában chipkártyán alapuló elektronikus eszközök, ezért mindenképp szükség van arra, hogy megismerjük ennek a technológiának az alapjait. A chipkártyát, amely azóta nagy fejlődésen ment keresztül, 1974-ben találta fel Roland Moreno.[24] Ezek a kártyák műanyagból készülnek, méretük megegyezik a hagyományos hitelkártyák méretével, és beágyazva megtalálható bennük egy mikrochip. Az intelligens kártyák bankkártyák feletti felsőbbrendűségének legfőbb oka a bennük rejlő mikroprocesszor, amelynek segítségével nem csak az információ tárolására képesek, hanem adott esetben fel is tudják dolgozni azt. Ennek megfelelően az intelligens kártyák képességeit a bennük rejlő mikrochip tudása határozza meg. Három alapvető típusa van a chipkártyáknak, a legegyszerűbb a memóriakártya, ennél fejlettebb és kriptográfiai műveletekre is képes a generikus kártya, és végül a legfejlettebb a programozható kártya.[25] A pusztán memória chippel ellátott kártyák hasonlóak mágnescsíkos társaikhoz abban az értelemben, hogy ezek is képesek az információ tárolására, azonban az előbbiek nagyobb memóriakapacitással rendelkeznek, kevésbé veszélyeztetik őket a környezeti hatások, és emiatt nagyobb biztonságot is nyújtanak. A memóriamérettel szemben támasztott követelmény azon múlik, hogy hány különböző feladatra szeretnénk igénybe venni a kártyát. A mikroprocesszoros kártyák operációs rendszerrel rendelkeznek, aminek segítségével akár igen bonyolult kriptográfiai műveletek elvégzésére is képesek lehetnek, valamint egyéb, számítást igénylő feladatokat is el tudnak végezni. Mindezek mellett programozható fajtáik a komplett programokhoz tartozó utasításokat is végre tudják hajtani. A chipkártyáknak három típusát különböztethetjük meg a kártyaolvasó berendezéssel történő kapcsolódási felület alapján: érintkezővel rendelkező; érintés nélküli; valamint a dupla interfésszel rendelkező kártyák, amelyek mindkét előző típus kapcsolódási felületével rendelkeznek. Az aranyszínű érintkező felülettel rendelkező chipkártyák tartoznak az első típushoz. Az ilyen 6-8 pin-es interfésszel rendelkező intelligens kártyákat az olvasási illetve írási műveletek elvégzéséhez egy erre alkalmas kártyaolvasó berendezésbe, illetve az értékesítési helyeken található terminálba kell helyezni. Az ilyen típusú infrastruktúrát 38
elsősorban a pénzintézetek, illetve a telekommunikációval foglakozó vállalatok és szervezetek választják széleskörű felhasználásra. Ezt a döntést az motiválja, hogy az érintkezővel rendelkező kártyákat olcsóbban lehet előállítani, mint az érintésmenteseket, valamint nagyobb biztonságot lehet velük elérni, továbbá a hozzájuk tartozó szabványok már kellőképpen kidolgozottak. Az érintésmentes kártyák esetében az írási, olvasási műveletek elvégzéséhez nincs szükség fizikai kontaktusra. Az ilyen chipkártyákat pusztán néhány centiméteres távolságra kell helyezni az olvasó berendezés elé, ahhoz hogy a kívánt művelet végrehajtódjon. Ez az operáció csaknem azonnal megtörténik, ami gyorsabbá teszi ezeket a kártyákat a fizikai érintkező felülettel rendelkező típusúakhoz képest, és ezáltal ideálisabbak az olyan helyzetekben, amikor sok kártyát kell leolvasni rövid idő alatt, mint például nagyvárosi közlekedés esetében. Az érintésmentes kártyák drágábbak, valamint a bankszektor véleménye szerint kevésbé biztonságosak a fizikai kontaktust igénylő társaikhoz képest. A dupla interfésszel rendelkező chipkártyák egyesítik magukban mindkét korábbi típus kapcsolódási lehetőségét, azaz az információt akár fizikai érintkezés útján, akár anélkül is el tudják juttatni az olvasó berendezéshez. Bár az ilyen kártyák sokkal rugalmasabban használhatók, mint a másik két típus, és egyesítik mindkettő előnyeit, a többihez viszonyítva igen magas az előállítási költségük, ezért kevésbé népszerűek.
5.1.1. A chipkártyák belső felépítése Az interfészek áttekintése után tovább haladva a kártya belseje felé a következő struktúrával találjuk szembe magunkat:
3. ábra: Egy intelligens kártya belső felépítése [25] [26]
39
Az előző ábrán látható felépítés sokban hasonlít egy hagyományos PC-hez, azonban sokban különbözik is. A chipkártyák esetében a háttértár szerepét az EEPROM (Electrically-Erasable Programmable Read-Only Memory) tölti be, amelynek mérete általában 16 – 64 KB között alakul típustól és felhasználási területtől függően, és egy másik lényeges tulajdonsága még az élettartam, ami meghatározza, hogy a chipkártya élete során összesen hány írási/törlési ciklust bír ki az adott EEPROM adatvesztés nélkül. Ez az érték szintén gyártófüggő és az általam használt Schlumberger Cyberflex Access e-Gate 32 K kártya esetében körülbelül 500.000 ciklus körül van.[27] A központi feldolgozó egység szerepét általában egy 8 bites mikrokontroller tölti be, de ma már léteznek ennél magasabb bitszámú változatok is.[25] Emellett nagyon gyakran egy kriptográfiai műveletekre specializált koprocesszor is rendelkezésre áll, amelynek köszönhetően gyorsabban képes a kártya elvégezni gyakran előforduló, például RSA vagy triple DES számításokat. A CPU rendelkezésére áll körülbelül 4 KB RAM is, amelynek nagy szerepe van abban, hogy kíméljék az EEPROM-ot: a perzisztens tárat nem igénylő műveletek esetében nem az EEPROM-ba kerülnek az ideiglenes adatok, hanem RAM-ba, és így nem csökken feleslegesen EEPROM élettartama. Az ilyen típusú volatilis tömbök létrehozására például a Java Card platform több speciális utasítást4 is biztosít, amelyek esetében a tömbök csak futáskor és csak a RAM-ban jönnek létre.
5.1.2. A chipkártyák életciklusa Az architekturális alapok megismerése után célszerű áttekinteni a chipkártyák életciklusának egyes fázisait. Azért fontos tisztában lenni ezekkel a szakaszokkal, mert így könnyebb megérteni az elektronikus pénztárcák alapját képező intelligens kártyák életútját, és ezáltal az egész rendszerre vonatkozóan egy átfogó képet lehet szerezni. A továbbiakban példaként egy konkrét, Siemens által kifejlesztett chipkártya, és a hozzá tartozó operációs rendszer (CardOS/M4.01) által támogatott életciklus állapotok ismertetésére kerül sor. A következő ábra az előbb említett intelligens kártya életciklusának fázisait, és a köztük lévő lehetséges átmeneteket ábrázolja. A felvázolt séma egy konkrét chipkártyára (Siemens) vonatkozik, de nagyon hasonló ábrával találkozhatunk más intelligens kártyák esetében is:
4
JCSystem osztály makeTransientByteArray, makeTransientShortArray metódusai
40
4. ábra: Chipkártya életciklus [28]
A chipkártya biztonságos perszonalizációjának elősegítése érdekében hat eltérő életciklus állapotot különböztet meg az operációs rendszer. Ennek a szeparációnak az a célja, hogy az operációs rendszernek szóló utasítások kiadását korlátozni, szabályozni lehessen. Így lehetőség nyílik arra, hogy hozzárendeljük az egyes utasításokat az egyes állapotokhoz, aminek köszönhetően meg lehet adni egy jogosultság mátrixot, ahol az egyik dimenziót az állapotok, a másik dimenziót az operációs rendszer utasításai alkotják. Ennek segítségével könnyen meghatározható, hogy mely állapotban milyen utasítást lehet végrehajtani – például a működési fázisban már nem lehet a kártyán tárolt kulcsokat megváltoztatni, vagy a kártya „halála” esetén már gyakorlatilag egyetlen parancsot sem lehet elvégezni. Az ábra szerint a szóban forgó hat állapot: a gyártás, az inicializáció, a perszonalizáció, az adminisztráció, a működés, és a halál. A továbbiakban röviden ismertetésre kerülnek az egyes állapotok: Gyártás: Ebben az állapotban (kezdőállapot) van a kártya közvetlenül a chip legyártását követően. Inicializáció: Az inicializáció során rákerülnek a kártyára a későbbi fázisokhoz szükséges alapvető fájlrendszer- és adatelemek, alkalmazás leírók (application descriptors), és rendszer csomagok. Perszonalizáció: Ebben a fázisban lehet személyes adatokat elhelyezni a kártyán. Adminisztráció: Ez az utolsó fázis a használatba vétel előtt, itt helyezhetjük el, illetve aktiválhatjuk a fájlokat, objektumokat, adatokat.
41
Működés: Ebben az állapotban kerül a kártyatulajdonoshoz a kártya, itt kezdik ténylegesen használni. Halál: Ha valamilyen okból ebbe a fázisba kerül a chipkártya, akkor elérkezik az életútja végéhez, ezt az állapotot már semmilyen módon nem hagyhatja el. Ilyen esetre például akkor kerülhet sor, ha egy jogosulatlan személy (támadó) sokszor próbálkozik sikertelenül hitelesíteni magát a kártya egyik hitelesítő objektuma felé (test object), és így az abban található rossz kísérletek számát rögzítő számláló eléri a számára meghatározott maximális értéket. Ekkor az adott objektum, vagy akár az egész kártya is blokkolódhat, és így használhatatlanná válik, megvédve ezáltal a benne tárolt titkos adatokat.
5.2.
Támadási lehetőségek chipkártyák ellen
Bár a chipkártyák igen magas szintű biztonságot nyújtanak, ezek ellen is léteznek különböző támadási módszerek, amelyek célja a kártyán tárolt titkos kulcsok, adatok valamilyen alternatív úton történő megszerzése, vagy pedig az intelligens kártya működésének megzavarása, aminek következtében az nem tudja ellátni teljes mértékben a feladatát. A továbbiakban ismertetem azokat a fontosabb támadási típusokat, amelyek csökkenthetik a chipkártya alapú rendszerek biztonságosságát. A biztonság több tekintetben is fontos az intelligens kártyák esetében, egyrészt azért, mert olyan ellenséges környezetben működnek, ami a kártyakibocsátó felügyeletén kívül esik, másrészt, mert a biztonságra nagyon érzékeny adatokat tárolnak, harmadrészt pedig, mert a kibocsátó rengeteg pénzt fektet a chipkártya kifejlesztésébe, és üzleti modellje azon áll vagy bukik, hogy a kártya megfelelően működik-e és megvédi-e a benne tárolt adatokat. A chipkártyák ellen indítható támadásokat az alábbi három csoportba sorolhatjuk: [29] 1. Fizikai támadások 2. Logikai támadások 3. Side-channel támadások
5.2.1. Fizikai támadások A fizikai támadások célja, hogy valamilyen módon, tipikusan a mikrochip felnyitásával hozzáférjenek a chip értékes belsejéhez, és ott bizonyos pontokon lehallgassák, vagy 42
manipulálják a működés közben áramló adatokat. Minden adat, titkos kulcs, PIN-kód az EEPROM-ban van eltárolva, és ennek tartalma törölhető vagy módosítható a megfelelő helyre megfelelő feszültséget kapcsolva. Ez ellen egyes chipkártyák úgy védekeznek, hogy speciális szenzorokkal érzékelik a környezeti változásokat, és a normálistól egy meghatározott mértékű eltérés esetén aktiválnak egy biztonsági zárat. További sikeres támadási mód lehet például a kontroller felhevítése, illetve fókuszált UV sugárzás vagy ionnyaláb irányítása az EEPROMra, és ezáltal a biztonsági zár kiküszöbölése. Az ionnyaláb segítségével ezen kívül kényelmesen el lehet érni bizonyos kontaktusok ideiglenes megszakítását, vagy összekötését is.[30] A régebbi chipkártyák esetében népszerű támadási mód a „probing”-nak nevezett eljárás, amely során a chip belsejében az egyes vezető vonalakat hallgatják le nagyon vékony tűszerű érintkezők felhasználásával. A másik gyakori támadási forma ugyanezeket a tűket felhasználva próbálja manipulálni a chipkártya működését – ezt a technikát „forcing”-nak hívják. A legmélyrehatóbb vizsgálat során elektron mikroszkóp segítségével tanulmányozzák a chipet, aminek eredményeként következtetéseket lehet levonni annak struktúrájára, belső felépítésére, és az így szerzett ismereteket jól fel lehet használni újabb támadási módok kidolgozására.
5.2.2. Logikai támadások A logikai támadások közé sorolható minden olyan jellegű próbálkozás, ami megkísérli a chipkártya által használt kriptográfiai protokollok, primitívek feltörését. Az ilyen jellegű támadásokat a kriptoanalízis témakörébe szokás sorolni. A logikai támadások táborát gyarapítja az előbbiek mellett a chipkártyára töltött alkalmazások, kriptokönyvtárak implementációs hibáinak kihasználása, biztonsági rések keresése. Végül nem szabad megfeledkezni a rosszindulatú appletek feltöltésének lehetőségéről sem, amelyekkel zavarni vagy korlátozni lehet a közös kártyán futó egyéb alkalmazásokat. Ez ellen jó védelmet nyújthat a kártya felosztása különböző biztonsági zónákra, amelyekhez csak és kizárólag a megfelelő titkos kulcsokat ismerve lehet hozzáférni, és adatokat elhelyezni. Természetesen a kártyakibocsátó belső alkalmazottai felől érkező támadások ellen ez sem nyújt feltétlenül védelmet.
43
5.2.3. Side-channel támadások A side-channel támadások a chipkártya működése során előálló rejtett jelek megfigyelésén alapulnak. Ilyen rejtett jel lehet például az áramfelvétel ingadozása, a chip elektromágneses sugárzása, valamint bizonyos műveletek végrehajtási ideje. Ezen jellemzők megfigyelése alapján információt lehet gyűjteni arról, hogy mi történik a chipkártya belsejében, és az így összegyűlt információbitek összerakásával akár képessé válhat a támadó egy titkos kulcs megfejtésére is. Az eddig felsorolt lehetőségek a side-channel támadások közül a passzív típusúak közé sorolhatók. Ezekkel szemben az aktív támadások során már nem pusztán megfigyelésről van szó, hanem a cél az intelligens kártya működésének befolyásolása a tápellátás manipulálásával vagy a chip elektromágneses impulzusokkal történő bombázásával. Jó példa az előbbiekre a PIN-kód oly módon történő megfejtése, hogy a támadó a tápfeszültség megfelelő időben történő változtatásával (csökkentésével) megakadályozza a hibás próbálkozások számát tartalmazó számláló növelését, és így az sosem fogja elérni azt a maximális értéket, amelynél a kártya blokkolódik, így támadó akárhányszor próbálkozhat.
44
6. Chipkártya specifikációk Az intelligens kártya specifikációk elsődleges célja, hogy részletes definíciót adjanak az interfészekre és alrendszerekre. Ez a rész egy rövid áttekintést kíván adni a chipkártya iparágban létező specifikációkról különös tekintettel a következőkre: ¾ EMV – Europay, MasterCard, és Visa; ¾ GlobalPlatform; ¾ ITSO – Integrated Transport Smart Card Organization; ¾ CEPS – Common Electronic Purse Specifications.
6.1.
EMV
Az EMV meghatározza az integrált áramkör (IC) alapú hitel- és bankkártya rendszerekhez szükséges minimális rendszerkövetelményeket. Az EMV specifikáció elősegíti az egyes országok sémái közötti interoperábilitást, valamint a multiaplikációs kártyák és terminálok kialakítását, és alapot ad a különböző banki alkalmazásokhoz. A legfrissebb verziója a 4.1-es, amit 2004. júniusában adtak ki.[30] Az EMVCo-t a Europay, a MasterCard és Visa hozta létre abból a célból, hogy menedzselje, karbantartsa és fejlessze az EMV specifikációt. A három alapítónak az a feladata, hogy meghatározza azokat a szabványokat, amelyek az integrált áramkör alapú kártyák és fizetési rendszerek együttműködéséhez és elfogadásához szükségesek. Emellett felelősségük kiterjed a jóváhagyási folyamatra is, amely során olyan tesztelési követelményeket határoznak meg, amelyek segítségével eldönthető például egy kártyaolvasó terminálról, hogy az megfelel-e az előírásoknak, vagy sem. EMV kompatibilitási tanúsítvánnyal ellátott olvasók már rendelkezésre állnak a különböző gyártók jóvoltából.
6.2.
GlobalPlatform
A GlobalPlatform egy olyan iparágközi szervezet, amely egy multiaplikációs intelligens kártya architektúra kialakítása
érdekében
készít
specifikációkat.[31] Az
előírások
szabványosítják a következőket: perszonalizáció, biztonság, kulcs kezelés és alkalmazások feltöltése a kártyákra. Mindezek mellett a GlobalPlatform célja a chipkártya életciklus menedzsment során felmerülő folyamatok fejlesztése, amiről a korábbiakban már esett szó. 45
A szervezet működésének legfőbb haszna, hogy megkönnyíti a különböző iparágakhoz tartozó kártya kibocsátó szervezetek üzleti és műszaki igényeihez történő alkalmazkodást. Ezen kívül definiálja és támogatja az iparágak közötti interoperábilitást, hozzájárul a specifikációk széles körű elterjedéséhez, népszerűsíti a nyílt szabványokat és a chipkártya infrastruktúrát,
és
mindemellett
igyekszik
lépést
tartani
a
folyamatosan
fejlődő
technológiával.
6.3.
ITSO
Az ITSO alapvető célja, hogy szabványokat dolgozzon ki egy interoperábilis, sokoldalú tömegközlekedési rendszer kialakítására. Az ITSO tagjai négy csoportba sorolhatók: autóbusz és könnyű vasúti szolgáltatók, nehéz vasúti szolgáltatók, hatóságok és beszállítók. A szervezet jelenleg 66 taggal büszkélkedhet, és ez várhatóan a jövőben még tovább fog gyarapodni.[32]
6.4.
CEPS - közös elektronikus pénztárca specifikációk
A négy specifikáció közül az elektronikus pénztárcák szempontjából a CEPS, azaz a közös elektronikus pénztárca specifikáció a legfontosabb. A CEPS-et a smart kártya kibocsátók egy csoportja hozta létre a következők részvételével: Visa, Sermepa (Spanyolország), ZKA (Németország) és Europay. A CEPS meghatározza azokat a követelményeket, amelyek szükségesek ahhoz, hogy egy szervezet egy globális szinten interoperábilis elektronikus pénztárca programot indíthasson. A CEPS 1999 márciusában vált nyilvánossá, körvonalazza az elektronikus pénztárca rendszer biztonsági követelményeit, a tanúsítványkezelést és a migrációt. Mindezek mellett meghatározza az elektronikus pénztárca séma résztvevőivel szemben támasztott funkcionális követelményeket, és nyilvános kulcsú kriptográfiát javasol a fokozott biztonság érdekében. Ezeken kívül a CEPS meghatározza az e-buksza sémákhoz minimálisan szükséges rendszerkövetelményeket, így a különböző országok e-pénztárca rendszerei nemzetközi szintű interoperábilitást érhetnek el. A specifikáció az alábbi fő témakörökkel foglalkozik részletesen: biztonság; kártyaalkalmazás; terminálalkalmazás; feltöltési tranzakciók; fizetési tranzakciók; pénznem átváltási tranzakciók; POS tranzakciók; nyilvános/nyitott hálózatok; tranzakció feldolgozás, elhelyezés és összehangolás; clearing és adminisztráció; hitelesítési eljárások áttekintése.[11]
46
6.4.1. A közös specifikáció előnyei A chipkártya specifikációk rövid áttekintése után vizsgáljuk meg, hogy melyek azok a tényezők, amelyek kívánatossá, célszerűvé teszik egy közös elektronikus pénztárca specifikáció kialakítását! Világszerte az egyes elektronikus pénztárca séma szolgáltatók és a pénzügyi szervezetek már kifejlesztették, és beindították saját e-pénztárca rendszereiket, amelyek különböznek egymástól, és nem képesek az együttműködésre. Ez azt jelenti, hogy a kártyatulajdonosok nem tudják használni egy adott sémának megfelelő technológiájú kártyáikat az olyan termináloknál, amelyek egy másik technológia, séma szerint működnek. Ráadásul a legtöbb rendszer kizárólag hazai környezetben működik, így a fogyasztóknak nincs lehetőségük arra, hogy az országhatáron túl is használhassák kártyáikat, köszönhetően annak a ténynek, hogy a több pénznemes működést nem támogatták eddig sem a kártyák, sem pedig a terminálok. Az egységes európai pénz létrejöttével azonban még az immár közös pénznemmel rendelkező fogyasztók sem képesek az országhatárokon túl használni elektronikus pénztárcáikat. Ennek megfelelően szükség van arra a technológiára, ami lehetővé teszi a kártyatulajdonosok számára a hazai és a nemzetközi szintű felhasználást is. A fogyasztók egyre gyakrabban utaznak külföldre, és elvárják, hogy ugyanolyan szintű fizetési szolgáltatásokat vehessenek igénybe hazájuktól távol is, mint otthon bármely terminálnál, ahol fel van tüntetve az adott logó – hasonlóan, mint ahogy ez már működik a bank- és hitelkártyák esetében. Továbbá a kereskedők minden vásárlót gyorsan és hatékonyan szeretnének kiszolgálni. A bank- és hitelkártya rendszerek ma már elérték azt a szintet, ahol a vásárlók és kereskedők a fizetés módjával összefüggő kényelmi elvárásait szinte a világ bármely országában teljesítik. Ugyanezek az igények ki fognak terjedni a kis összegű fizetésekre, amelyek manapság még legnagyobb részt kézpénzzel történnek. A vásárló és kereskedő kényelem, gyorsaság és hatékonyság iránti elvárása támasztja az interoperábilis elektronikus pénztárcák iránti igényt. Az interoperábilitás hiánya képezi a legnagyobb akadályát a nemzetközi és rendszerközi szintű chipkártya kibocsátásnak. Minden sémának változnia kell ahhoz bizonyos mértékben, hogy büszkélkedhessen az interoperábilitási tulajdonsággal. A CEPS-ben foglalt egységes rendszer követelmények lehetővé teszik a szervezetek számára, hogy magabiztosan haladjanak előre az infrastruktúrába és alkalmazásokba irányuló beruházásaikkal, és végső
47
soron globális elfogadottságot, megbízhatóságot, költséghatékonyságot és differenciálási lehetőségeket eredményeznek. A következőkben tekintsük át, hogy az ilyen közös szabvány, illetve az általa közvetített interoperábilitás milyen előnyökkel jár az elektronikus pénztárca rendszer legfőbb érintettjei számára! A kártyatulajdonosok kényelmes és konzisztens szolgáltatáshoz jutnak, így hasonlóképp használhatják e-bukszáikat külföldön is, mint saját hazájukban, minden értékesítési helyen, ahol az adott embléma fel van tüntetve. Mindemellett a pénztárca feltöltésekor sem kell kompromisszumot kötni a kényelem terén, mert ezt a tranzakciót bármilyen terminálnál megtehetik, ahol az elektronikus pénztárca szolgáltatást jelző logót elhelyezték. A kereskedők az általuk nyújtott szolgáltatás vagy termék ellenértékét könnyen begyűjthetik bármely olyan elektronikus pénztárca sémához tartozó vásárlói pénztárcából, amelyik CEPS kompatibilis. Ezen kívül a kereskedők bármilyen pénztárcát elfogadhatnak, és egységesen kezelhetnek abban az esetben, ha a pénztárcán és a terminálon feltüntetett szimbólum megegyezik. Ráadásul az is szabadon választható számukra, hogy csak egyetlen séma üzemeltetőjével írnak-e alá kártya elfogadási szerződést vagy többel. Az elfogadó bankok egységesen kezelhetik a vásárlók és kereskedők között végbemenő tranzakciókat függetlenül a kártya kibocsátójától, a séma üzemeltetőjétől, feltéve, hogy már van üzleti kapcsolat közöttük. A pénzügyi szervezetek biztosíthatják a kártyatulajdonosok számára az egyszerű feltöltés lehetőségét bármely olyan termináljuknál, amit felkészítenek elektronikus pénztárcák kezelésére. További előny, hogy a kártyakibocsátók termékei tovább fejlődhetnek, az infrastruktúra költségek csökkenhetnek. A kártya operációs rendszer fejlesztői és a chipgyártók nyílt piacon versenyezhetnek, ami elősegíti a költségcsökkentést. A sémaüzemeltetők és rendszerintegrátorok biztosítva érezhetik magukat arról, hogy szinte bármely piacon létrehozhatnak egy CEPS-en alapuló interoperábilis elektronikus pénztárca rendszert méghozzá kisebb fejlesztési költségekkel, mint a hagyományos esetben. Az ilyen architektúra
beüzemelésekor
a
kártya
kibocsátói
dönthetnek
arról,
hogy
a
rendszerintegrátorokat teljes mértékben saját rendszerük szerves részeként kívánják-e bevonni, vagy csak mint harmadik felet, a feldolgozást végző partnert. Mindezeken kívül további előnyt jelent az is, hogy a kártya- és terminálgyártók már az egységes specifikációnak megfelelően gyárthatják le termékeiket, így növekvő skálahozadékot realizálhatnak, és a termelés volumene is növekedhet.
48
6.4.2. A CEPS felépítése A következő ábra bemutatja a CEPS által javasolt elektronikus pénztárca sémában résztvevő feleket, tranzakció típusokat, adatelemeket és szabályokat, amelyeket meg kell határozni az interoperábilis elektronikus pénztárcák üzleti, funkcionális követelményeiben és műszaki specifikációiban:
5. ábra: A CEPS séma [11]5
A fenti ábrán látható tranzakció típusokat aszerint különböztették meg, hogy mi a célja az adott elektronikus pénztárcával végzett műveletnek. A CEPS azonban egy másik kategorizálást is tartalmaz, ami úgy tesz különbséget a tranzakciók között, hogy milyen résztvevő felek között megy végbe a művelet. A következő felsorolás a közös e-pénztárca specifikáció által tárgyalt tranzakció típusokat tartalmazza: 5 CEPSCO: Common Electronic Purse Specifications, Business Requirements version 7.0, 2000. 9. oldal, http://www.cepsco.com
49
¾ Elektronikus pénztárca – kereskedő: az elektronikus pénz átkerül a chipkártyáról a kereskedő termináljába, illetve PSAM moduljába. ¾ Kereskedő – elektronikus pénztárca: ez az előbbi tranzakció fordítottja, és ez a típus csupán azért került bele a specifikációba, és csak azért engedélyezett, hogy lehetőség legyen az utolsó vásárlási tranzakció visszavonására. ¾ Kereskedő – elfogadó bank / rendszer operátor / hálózatok: lehetőség van elektronikus pénz átvitelére a kereskedő PSAM moduljából az elfogadó bankhoz, rendszer operátor(ok)hoz, hálózatokhoz a clearing és elszámolási folyamat során. ¾ Elektronikus pénztárca – elektronikus pénztárca: biztonsági megfontolások által vezérelve, nincs lehetőség arra, hogy két e-buksza között pénzt mozgassanak át. ¾ Kereskedő – kereskedő: elektronikus pénzt nem lehet átvinni egy kereskedő PSAM modulja és egy másik kereskedő terminálja között kivéve az olyan esetet, amikor egy vezérlő terminál felügyeli ugyanazon kereskedő két terminálja közötti tranzakciót. ¾ Kártyakibocsátó – elektronikus pénztárca: lehetőség van az e-pénztárca kibocsátójától az elektronikus pénztárcára pénzt átutalni, tipikusan ilyen irányú tranzakcióra kerül sor az e-buksza feltöltésekor. ¾ Elektronikus pénztárca – kártyakibocsátó: ez a művelet az előbbi fordítottja, és ezáltal mód van az e-pénztárcán tárolt összeg terhére pénzt jóváírni a bankszámlán. ¾ Elektronikus pénztárca – ugyanazon a kártyán elhelyezkedő másik nem pénzzel kapcsolatos alkalmazás: át lehet vinni pénzt az elektronikus pénztárca alkalmazás és az ugyanazon a chipen tárolt másik nem pénzügyi alkalmazás között.
6.4.3. Biztonsági követelmények A korábbiakban már említésre került az a tény, hogy az elektronikus pénztárcák alapját képező chipkártya technológia révén egy speciális biztonságos számítógéphez jutunk. Ebben az alfejezetben ismertetésre kerül néhány további fontos jellemző, ami az architekturális biztonság mellett hozzájárul az e-pénztárcákat jellemző kiemelkedően magas biztonsági szinthez. Az itt leírtak elsősorban a CEPS elvárásait tükrözik, ami szerint a közös elektronikus pénztárca specifikációk által meghatározott biztonsági követelményeknek lehetővé kell tenniük egyrészt az alkalmazás működését multiaplikációs környezetben, másrészt a
50
hitelesített alkalmazások közötti kompatibilitást, és mindezt úgy kell kivitelezni, hogy egyik alkalmazás se befolyásolhassa a másik működését, integritását.
Hitelesítés Bármilyen biztonsággal foglalkozó területtel kerülünk is szembe, a hitelesítés mindig alapvető jelentőséggel bír, hiszen mindenhol meg kell tudni győződni arról, hogy a hitelesítésnek alávetett fél tényleg az-e, akinek mondja magát, és ez alapján lehet csak bizonyos műveletek elvégzéséhez jogosultságokat biztosítani számára, vagy megtagadni azokat. Az elektronikus pénztárcák esetében a hitelesítés alapelvei a következők: ¾ Kétirányú, kölcsönös authentikációra van szükség, amelynek során a kártya hitelesíti a terminált, és a terminál is hitelesíti a kártyát minden egyes tranzakció során. Ez az alapelv az offline tranzakciók esetében kötelező érvényű. ¾ Az elektronikus pénztárcáknak dinamikus authentikációt kell alkalmazniuk a következő helyeken: 1. feltöltés 2. visszatöltés 3. pénznem átváltás 4. vásárlás 5. inkrementális vásárlás 6. utolsó vásárlás visszavonása 7. perszonalizáció 8. online alkalmazás frissítések A rejtjelezés tudománya, azaz a kriptográfia területéhez tartozik a szimmetrikus és az aszimmetrikus kulcsú titkosítás. Az e-pénztárcák esetében a fokozott biztonság és kényelem érdekében nyilvános kulcsú kriptográfiát kell alkalmazni az offline tranzakciókhoz szükséges hitelesítési eljárások során. Az aszimmetrikus kulcsú rejtjelezés ugyanis lehetővé teszi hitelesített üzenetek és titkos adatok átvitelét anélkül, hogy a két kommunikáló félnek előre meg kellene egyezni egy, a hitelesítéshez szükséges közös titokban. Az online tranzakciók esetében pedig a szimmetrikus kulcsú kriptográfia kerül előtérbe, amelynek segítségével 51
megoldható az átvitt adatok integritásának védelme egy üzenet hitelesítő kód alkalmazása (MAC=Message Authentication Code) révén. Mindezek alapján az elektronikus pénztárca rendszernek támogatnia kell: ¾ a nyilvános kulcsú kriptográfiát; ¾ a szimmetrikus kulcsú kriptográfiát; ¾ kriptográfiai kulcsok cseréjét, akár előre meghatározott rendszerességgel, akár kényszerhelyzetek alkalmával. A fenti műveletek elvégzéséhez, valamint a fizetési tranzakciók lebonyolításához a következő kulcsokra van szükség a chipkártya esetében: ¾ szimmetrikus MAC kulcs; ¾ a kártya privát kulcsa; ¾ a kártya nyilvános kulcsa, amit a kibocsátó hitelesít saját privát kulcsának segítségével; ¾ a kibocsátó nyilvános kulcsa, amit egy a kártyakibocsátóhoz kapcsolódó tanúsítvány kiadó szervezet hitelesít a saját privát kulcsával; ¾ a kibocsátó CA (Certificate Authority) nyilvános kulcsa. Ezek segítségével a chipkártyának hitelesítenie kell az értékesítési helyen található terminált kétirányú hitelesítési eljárással, biztosítva ezáltal, hogy az eredeti, nem kompromittálódott állapotban van. A hitelesítési folyamatban való részvételhez az értékesítési helyen található terminálnak is rendelkezni kell bizonyos kulcsokkal, és támogatnia kell a nyilvános kulcsú kriptográfiát. Itt a következő kulcsokra van feltétlenül szükség: ¾ a terminál privát kulcsa; ¾ a terminál MAC kulcsa; ¾ terminál nyilvános kulcsa hitelesítve az elfogadó bank titkos kulcsával; ¾ az elfogadó bank nyilvános kulcsa, amit egy, az elfogadó bankhoz kapcsolódó tanúsítvány kiadó szervezet hitelesít saját privát kulcsával; ¾ az elfogadó bankhoz tartozó CA nyilvános kulcsa.
52
A terminálnak authentikálnia kell mind az elektronikus pénztárcát, mind pedig a tranzakciót, ezáltal meggyőződhet az eredetiségről. Így a terminálnak részt kell vennie a kártyával folytatott kétirányú hitelesítési procedúrában. Az utolsó fizetési tranzakció visszavonása esetén a terminálnak validálnia kell a kártyát, és alá kell írnia a visszavonási kérelmet. Mindemellett a terminálnak képesnek kell lennie a chipkártyától érkező tranzakciós adatok feldolgozására, és biztosítania kell a tranzakciót úgy, hogy megőrzi az e-pénztárca szimmetrikus kulcsú aláírását a tranzakció részeként. Ezután a terminál is generál egy szimmetrikus kulcsú aláírást, és elküldi az elfogadó banknak. Inkrementális vásárlások esetén kétirányú hitelesítésre van szükség a kezdeti kapcsolat felépítésekor, és legalább egyirányúra – azaz a kártya terminál általi hitelesítésére – a hátralévő egységekhez. A feltöltési és visszatöltési műveletek hiteles végrehajtásához a két kommunikáló fél – azaz a kártya és a kártyakibocsátó – közötti biztonságos vég-vég összeköttetést kell kiépíteni. A feltöltéshez szükséges kulcsokat már előre el kell helyezni a biztonsági modulba, a hardverbe, mert ez fog együttműködni a kibocsátónál elhelyezett feltöltési alkalmazással. A kibocsátó gépének természetesen ilyenkor is hitelesítenie kell a kártyát, és az elektronikus pénztárcának is el kell végezni ezt a műveletet, amit a feltöltési kérésre kapott válaszban megadott információk alapján tehet meg. A visszajátszás lehetőségének kiküszöbölése érdekében egy tanúsítványt kell elküldeni a feltöltést végző banknak, ami igazolja, hogy végbement a tranzakció.
Kulcs menedzsment Az elektronikus pénztárcát védeni kell attól, hogy bárki jogosulatlanul manipulálhassa a kártyán tárolt elektronikus pénzt, vagy tranzakciót kezdeményezzen. Ezt a védelmet szolgálják a chipkártyán és a terminálokban tárolt szimmetrikus, illetve aszimmetrikus típusú rejtjelezéshez tartozó kulcsok, amelyekről korábban már volt szó. Ezekkel a kulcsokkal lehet ugyanis megoldani a hitelesítést, ezért a kulcsok biztonságos kezelése nélkülözhetetlen. Ennek biztosítása érdekében a kulcskezelési feladatokat hiteles, biztonságos környezetben lehet csak elvégezni. Előfordulhat az is, hogy több tanúsítvány kiadó szervezet is részt vesz a rendszerrel kapcsolatos kulcskezelési feladatokban. A legtöbb esetben egy legfelsőbb szintű hitelesítő szervezetre (CA) van szükség, amelynek hatásköre általában nemzetközi szintű, míg
53
az
egyes
országokon
belül
lehetnek
további
alacsonyabb,
közbenső
szintű
hitelesítésszolgáltatók, akiknek a hatásköre csak az adott államra terjed ki.
A feltöltés és visszatöltés biztonsága Az elektronikus pénztárca rendszerek résztvevőit biztosítani kell arról, hogy a feltöltéshez, illetve visszatöltéshez használt eszközök nem kapcsolódhatnak a szükséges hitelesítési eljárások nélkül a rendszerhez, így minden felet meg lehet kímélni a csalás okozta veszteségektől. Ideális esetben minden eszközre ugyanazokat a biztonsági megoldásokat kell alkalmazni. A feltöltéssel és visszatöltéssel kapcsolatos biztonsági elvárásokat a következő módon lehet összefoglalni: ¾ A feltöltési és visszatöltési tranzakciók során olyan szintű biztonságra van szükség, ami garantálja a kártya kibocsátója számára, hogy megkapja az elektronikus pénztárcára feltöltött összeg ellenértékét. ¾ Az egységes specifikációt úgy kell kialakítani, hogy az alkalmas legyen a jövőben esetlegesen szigorodó biztonsági követelmények adaptálására. ¾ Az elektronikus pénztárcával kapcsolatos feltöltési és visszatöltési műveleteket lehetőség szerint a kártyakibocsátó és a kártyatulajdonos bankrendszerén keresztül kell végrehajtani, amelynek során a kártyakibocsátó felügyeli a biztonságos végrehajtást. Az olyan esetekben, amikor a kibocsátó nem rendelkezik közvetlen ellenőrzéssel a tranzakció felett, további biztonsági intézkedések szükségesek. Tipikusan ilyen intézkedések a következők: •
A kártyát kibocsátó pénzügyi szervezet lehetővé teszi ügyfele számára, hogy otthonról, a saját számítógépének segítségével hozzáférjen bankszámlájához a kibocsátó pénzügyi szervezet home banking szolgáltatást nyújtó honlapján keresztül. Ilyenkor tranzakciót lehet kezdeményezni egy olyan számláról, ami akár össze is lehet kapcsolva egy elektronikus pénztárcával.
•
Tűzfalat, rejtjelezését, hitelesítést és egyéb biztonságot fokozó megoldásokat alkalmaznak a kibocsátók a tranzakciók integritásának védelme érdekében.
•
Bár
a
home
banking
szolgáltatások
lehetőséget
biztosítanak
a
kártyatulajdonosnak, hogy hozzáférjen bármelyik számlájához, amelyet az adott
54
pénzintézetnél vezetnek, arra még sincs lehetőség, hogy egy másik banknál vezetett számláról töltsön fel, vagy vissza elektronikus pénzt. •
Más típusú feltöltésre, visszatöltésre alkalmas eszközöket, amelyeket esetleg a jövőben fejlesztenek ki, minden esetben egy biztonsági felülvizsgálati eljárásnak kell alávetni, mielőtt azokat csatlakoztatnák az éles rendszerhez.
Perszonalizáció Korábban a chipkártya életciklusnál már említésre került, hogy ez az a fázis, amelynek során „személyre szabják” az adott elektronikus pénztárcát, azaz elhelyezik rajta például az adott kártyához tartozó személyes adatokat, kulcsokat. A perszonalizációs eljárást biztonságos körülmények között, négy fél bevonásával kell végrehajtani, melyek a következők: a hitelesítő szervezetek, a kártyakibocsátó, a chipkártya gyártója és az e-pénztárca személyre szabását végző fél. A hitelesítő szervezeteknek kell létrehozniuk (legenerálniuk) a nyilvános-titkos kulcspárokat, gondoskodniuk kell a szükséges kibocsátói és elfogadó banki tanúsítványokról, amit az előbbi két fél nyilvános kulcsának felhasználásával készítenek el, és ezeket el kell juttatniuk az iménti két résztvevőnek. A kártyakibocsátó pedig felelősséggel tartozik az általa kiadott elektronikus pénztárcák inicializálásáért és perszonalizációjáért.
Visszaélések észlelése Nincs az a fizetőeszköz az emberiség történetében, amivel ne próbálkoztak volna meg visszaélni. Bár a fentiek alapján láthattuk, az elektronikus pénztárcák kivételes biztonsági jellemzőkkel rendelkeznek, mégsem szabad figyelmen kívül hagyni azt a lehetőséget, hogy esetleg mégis találnak valamilyen biztonsági rést a rendszerben. Ennek a problémának a kezelése érdekében az e-pénztárca rendszernek képesnek kell lennie arra, hogy visszaélések esetén segítséget nyújtson a csalás észlelésére. A biztonságos működéshez szükség van még olyan hiba- és kivétel-kezelési képességekre, amelyek elég robosztusak ahhoz, hogy biztosítsák a tranzakciók integritását. A visszaélési kísérletek számának nyomon követése érdekében az elektronikus pénztárca sémákat célszerű ellátni központi jelentésgyűjtő és kockázatelemzési funkcióval. Mindezek mellett a rendszernek védenie kell a kulcsfontosságú tranzakciós adatok integritását, mint például a pénznem kódja és mennyisége, így ha hamisítás gyanúja áll fenn, akkor minden esetben meg kell hiúsítani a tranzakciót.
55
7. Elektronikus pénztárca alkalmazás Java Card alapon Ebben a fejezetben bemutatásra kerül egy elektronikus pénztárca alkalmazás, amit a CEPS specifikáció alapján implementáltam. Az alkalmazás chipkártya oldali része Java Card 2.1.1 platformon van kivitelezve, és a felhasználásra került kártyák típusa Schlumberger (Axalto) Cyberflex Access e-Gate 32K, amelyek szinte teljesen megfelelnek az előbb említett Java Card specifikációnak. Azért csak „szinte”, mivel a kártyán a gyártó nem implementált minden, a szabványban foglalt rejtjelezési és digitális aláírás előállítására szolgáló eljárást. A megvalósított elektronikus pénztárca alkalmazás azzal a célkitűzéssel született, hogy bizonyítsa, milyen egyszerűen, biztonságosan, gyorsan és kényelmesen lehet megoldani az interneten keresztüli kis összegű fizetéseket – ahogyan ezeket az előnyöket a harmadik fejezetben már részletesen is ismertettem. Az implementált alkalmazás lehetőséget biztosít egy interneten böngésző, online webáruházba betévedő vásárló számára, hogy az ott kiválasztott termékek és szolgáltatások ellenértékét a birtokában lévő elektronikus pénztárca segítségével kifizesse. Az alkalmazás a webáruház kivitelezését nem foglalja magában, hanem egy beépülő, beépíthető fizetési modult valósít meg, amivel tetszőlegesen ki lehet egészíteni egy meglévő Java alapú webshop funkcionalitását. A fizetési modul bemenetként csak a fizetendő összeg, és a pénznem megadását igényli, az összes többi feladatot már saját maga bonyolítja le. Kimenetként pedig visszajelzést küld a webáruház többi komponensének, hogy a fizetési tranzakció rendben lezajlott-e, vagy sem. Ez alapján pedig eldönthető, hogy a kiválasztott termék vagy szolgáltatás kiszállítható vagy nyújtható-e.
7.1.
Miért pont Java Card?
A korábbi félévek során megismerkedtem egy Siemens kártyával, ami CardOS/M4.01 operációs rendszerrel van ellátva, azonban a CEPS áttekintése során kiderült, hogy a Siemens kártya végső soron nem alkalmas CEPS kompatibilis elektronikus pénztárca funkciók betöltésére. Kriptográfiai képességei elegendőek lennének, mivel támogatják mind a szimmetrikus, mind az aszimmetrikus kulcsú titkosítást, ez a kártya azonban nem tud CEPS specifikus SW1, SW2 státuszbájt értékeket visszaadni, mivel „csak” egy generikus kártya, és nem programozható. (Pl.: 94 09 státuszbájt értékeket kellene visszaadni, ha nem áll rendelkezésre egy adott pénznem az elektronikus pénztárcán, amire a Siemens kártya sajnos képtelen). Emellett az is közrejátszott, hogy az alkalmazás többi komponense is Java nyelven
56
készült – mint az a következő rendszertervben jól láthatóvá válik –, így az e-pénztárca alkalmazás egészéről elmondható, hogy nagymértékben hordozható, hiszen a chipkártya oldali komponensek bármilyen másik Java Card alapú intelligens kártyán futtathatók, a kliens böngésző és a szerver oldalon pedig szintén Java nyelven írt applet illetve servlet járul hozzá a hordozhatósághoz.
7.2.
Rendszerterv
A következő ábrán a megvalósított rendszer blokksémája látható:
6. ábra: Rendszerterv A fenti ábrán négy elkülönülő komponenst, rendszerösszetevőt figyelhetünk meg: elektronikus pénztárca, a POS kliens, POS szerver, és a PSAM (Purchase Secure Application Module). 1. Elektronikus pénztárca: az e-pénztárca egy Java Card applet, ami a vásárlónál lévő chipkártyán fut, és ez tárolja az elektronikus pénzt a rajta kialakított perselyek (slotok) egyikében. A persely lényegében egy elkülönített rész az elektronikus pénztárcán belül, ami a meghatározott pénznemhez tartozó egyenleget tárolja, és fizetések alkalmával ezt az egyenleget terhelik meg. Az általam implementált pénztárca három ilyen persellyel rendelkezik, amelyekben a tárolt pénzösszeg forint, euró vagy dollár lehet, de egy-egy pénznem mindig csak egyetlen perselyt foglalhat el. Minden egyes pénznemhez meg van határozva egy maximális összeg, amennyit legfeljebb
57
tartalmazhat az adott persely. Ez a korlát biztosítja, hogy az e-buksza elvesztése esetén sem fogja jelentős kár érni a tulajdonost, mivel eleve viszonylag kis összeg van a kártyán – például a forint alapú persely esetében ez a maximális összeg 32.000 Ft, míg az eurónál 200 €, a dollár esetében pedig 250 $. A CEPS specifikáció lehetőséget biztosít a különböző pénznemeket tartalmazó perselyek közötti átváltásra, ez a tranzakciófajta opcionális, így a jelenlegi implementáció ezt nem támogatja. 2. POS kliens: a POS (Point of Sale / Point of Service) terminál része a POS kliens, ami valójában egy Java applet, így ez nem a szerveren fut, hanem a kliens böngészőjéhez kapcsoló Java virtuális gépen (JVM). Ez a modul lényegében a POS terminál kihelyezett része, ami a terminál többi komponensével Secure RMI (Remote Method Invocation) azaz távoli eljáráshívás útján kommunikál. A Secure RMI egy a népszerű TLS (Transport Layer Security) protokoll felett futó, és így annak biztonsági szolgáltatásait (titkosítás, hitelesítés, integritásvédelem) élvező RMI kapcsolat, ami a Java technológia gyakran használt megoldása két távoli virtuális gépen futó alkalmazás közötti kapcsolattartásra. Ezt az applet-et az elektronikus pénztárca séma szolgáltatója, aki egyben az alkalmazás kifejlesztője is, írja alá saját titkos kulcsával, így a vásárló meggyőződhet arról, hogy nem hamis, korrupt appletnek enged hozzáférést a számítógépéhez kapcsolt kártyaolvasóba helyezett e-pénztárcához. Az itt használt tanúsítványok a szokásos X.509 típusúak. A tanúsítványokat az elektronikus pénztárca kibocsátója által felállított CA adja ki, így az applet eredete kétség kívül beazonosítható, valamint, amennyiben ez a CA beépül a hitelesítés szolgáltatók hierarchiájába, akkor az applet hitelesítése és betöltődése mindennemű felhasználói beavatkozás nélkül is automatikusan megtörténhet. 3. POS szerver: a POS szerver szintén a POS terminál része, ez azonban a POS klienssel ellentétben már ténylegesen a szerveren fut, illetve az ott lévő virtuális gépen. A POS szerver két összetevőből áll, amelyek közül az egyik egy Java servlet, aminek az egyetlen feladata a távoli, POS szerver elérését biztosító interfész inicializálása. A másik komponens pedig maga a POS szerver, ami implementálja a fizetési tranzakció lebonyolításához szükséges metódusokat. Ez a modul kapcsolatban áll a szerver géphez kapcsolódó PSAM modullal – a kritikus jelentőségű rejtjelezési, hitelesítési és aláírási funkciókat a PSAM-mal végezteti el. A POS szerver a fizetés elvégzéséhez inputként pusztán a tranzakció összegének és pénznemének megadását igényli.
58
4. PSAM: a PSAM (Purchase Secure Application Module), azaz a fizetési tranzakció biztonságát garantáló modul hasonlóan az elektronikus pénztárcához egy Java Card applet, ami a POS szerverhez csatlakoztatott kártyaolvasóban helyezkedik el, és feladata a fizetési tranzakcióban való részvétel, valamint annak felügyelete és biztonságának garantálása. Az elektronikus pénztárca alkalmazás főbb komponenseinek rövid bemutatása után a továbbiakban a konkrét implementáció ismertetése következik.
7.3.
Implementáció
Az e-pénztárca alkalmazás megvalósítása során először is létre kell hozni az elektronikus pénztárcán és a PSAM modulban tárolt tanúsítványokat, amelynek eredményként a CEPS specifikációnak megfelelően egy tanúsítvány lánc alakul ki mind az e-buksza, mind pedig a PSAM oldalán. Ez részletesen a továbbiakban látható.
7.3.1. Tanúsítvány hierarchia A következő ábra azt mutatja, hogy miként épül fel a tanúsítvány lánc a két chipkártya esetében:
7. ábra: Tanúsítvány hierarchia
59
A 7. ábrán a bal oldali lánc arra szolgál, hogy a PSAM a kibocsátó által felállított CA publikus kulcsának segítségével meg tudjon győződni az elektronikus pénztárca publikus kulcsának valódiságáról. Ezt úgy tudja elérni, hogy a POS szerver és a POS kliens közreműködésével kiolvassa az e-bukszából a benne tárolt kibocsátói tanúsítványt. Itt azért írtam először a kibocsátói tanúsítványt, mivel a 7. ábrán szürkével jelölt kibocsátói regionális tanúsítvány nem kötelező, és annak megléte a kibocsátó azon elhatározásán múlik, hogy létrehoz-e különböző régiókhoz tartozó tanúsítványokat. Ezután a PSAM hozzájut a kibocsátó hiteles publikus kulcsához, amit felhasználva és kiolvasva az elektronikus pénztárca tanúsítványát megszerzi a CEPS kompatibilis elektronikus pénztárca nyilvános kulcsát.[34] Az itt használt tanúsítványok a CEPS és az EMV specifikációnak megfelelően nem a megszokott X.509-es típusúak, ahol a digitális aláírás az aláírandó adatok végéhez van fűzve, hanem egy olyan speciális formátumról van szó, ahol a digitális aláírás tartalmazza a tanúsítványt, azaz a digitális aláírás ellenőrzésekor visszakapjuk a tanúsítvány tartalmát. Az ilyen digitális aláírást üzenet visszaállítási képességgel rendelkező (digital signature scheme giving message recovery) digitális aláírás sémának nevezik, és pontos specifikációja megtalálható az EMV szabvány 4.1-es verziójának B mellékletében [33], és ISO/IEC 9796-2 néven szabványosították. A CEPS specifikáció minden tanúsítványa ilyen formátumú, közöttük csak néhány mezőben való eltérés van, de így összesen hatféle tanúsítvány lehet egy CEPS kompatibilis elektronikus pénztárca sémában. A tanúsítványok előállítása úgy történik, hogy vesszük azokat a mezőket, amelyeket el szeretnénk helyezni a tanúsítványban, majd ezekhez hozzávesszük a publikus modulus olyan hosszú részét, hogy a tanúsítvány teljes mérete a kezdő (6A) és záró (BC) bájtokkal, valamint a 20 bájtos SHA-1 hash-el együtt pontosan akkora legyen, mint a tanúsítványt aláíró kulcs mérete.[33] A publikus modulus maradék része egy másik blokkban kerül tárolásra. A hash számításakor természetesen a modulus maradvány részét is figyelembe vesszük, mivel azt is hozzáfűzzük a tanúsítványban lévő részekhez, és az így előálló adatok kivonatát együttesen állítjuk elő. Ezután az aláíró privát kulcsával, RSA algoritmussal létrehozzuk a digitális aláírást, amelynek mérete megegyezik a tanúsítvány méretével, így az aláíró publikus kulcsával vissza lehet állítani a tanúsítvány tartalmát, amelynek ellenőrzése során többek között meg kell nézni, hogy a kezdő és záró bájt valóban 6A illetve BC, valamint ki kell számolni a SHA-1 algoritmussal képzett hash-t, és azt össze kell hasonlítani a tanúsítványban szereplő 20 bájtos mezővel. A tanúsítvány és benne lévő publikus kulcs csakis abban az esetben fogadható el hitelesnek, ha az ellenőrzés minden egyes lépése sikerrel járt.[34]
60
Példaként a következő ábrán a CEPS elektronikus pénztárca tanúsítvány formátuma látható:
8. ábra: Az elektronikus pénztárca tanúsítványa [34] A tanúsítványláncban résztvevő felek kulcsméretét az alábbi módon szabályozza a CEPS technikai dokumentációja:
6
¾ Kibocsátó által felállított CA:
1024 bit ≤ LPKMCA, ISS6 ≤ 1984 bit
¾ Kibocsátó:
896 bit ≤ LPKMISS < 1984 bit, LPKMCA, ISS
¾ Elektronikus pénztárca:
768 bit ≤ LPKMCEP < LPKMISS
LPKM = Length of Public Key Modulus, azaz publikus kulcs modulusának hossza
61
¾ Elfogadó által felállított CA:
1024 bit ≤ LPKMCA, ACQ ≤ 1960 bit
¾ Elfogadó:
896 bit ≤ LPKMACQ ≤ 1672 bit, LPKMCA, ACQ
¾ PSAM:
736 bit = LPKMPSAM
Mindezek alapján a CA-k kulcsméretét 1024 bitesnek választottam, mivel a rendelkezésre álló Schlumberger Cyberflex Access e-Gate kártya legfeljebb 1024 bites RSA műveletek elvégzésére képes, így a hardver adottságai miatt a választható kulcsméret felső korlátjának ez adódott. A kibocsátó és elfogadó kulcsai szintén 1024 bitesek, ami annak köszönhető, hogy a Java Card 2.1.1.-es specifikáció kizárólag standard kulcsméreteket (512 bit, 768 bit, 1024 bit, 2048 bit) támogat, így például 896 bites kulcsot nem lehet vele létrehozni. Ezen okokból kifolyólag az elektronikus pénztárca kulcsmérete és a PSAM kulcsmérete is 768 bites lett. Összességében a kártyából adódó korlátok miatt el kellett térnem a CEPS technikai specifikációban meghatározott 736 bites PSAM kulcsmérettől, azonban úgy vélem, hogy ez nem rontja a séma megbízhatóságát, mivel a biztonságos alkalmazás modul kulcsmérete kicsit nagyobb lett az előírtnál, a többi résztvevő kulcsmérete pedig legalább akkora, mint a specifikációban megadott minimális érték.
7.3.2. A fizetési tranzakció Az eddigiek során ismertettem a CEPS séma és az implementált elektronikus pénztárca alkalmazás által használt tanúsítványokat, most pedig részletesen bemutatom magát a fizetési tranzakciót, amelynek során a POS terminál megterheli egy megadott összeggel az adott pénznemnek megfelelő perselyt (slotot). A tranzakció végrehajtása során mind szimmetrikus, mind aszimmetrikus kulcsú kriptográfiai műveletekre sor kerül: ¾ Az elektronikus pénztárca a tranzakció folyamán hitelesíti PSAM modult felhasználva az általa megadott tanúsítvány verziókat. Ez a művelet aszimmetrikus kulcsú RSA algoritmussal történik. ¾ A PSAM hitelesíti az elektronikus pénztárcát egy általa generált DES session kulcs felhasználásával, amit a biztonsági modul küld át a saját privát kulcsával aláírva, és az e-pénztárca publikus kulcsával rejtjelezve. ¾ Az elektronikus pénztárca hitelesíti a tranzakciót egy MAC (Message Authentication Code) generálásával, felhasználva a kártyakibocsátó által erre a célra a pénztárcában
62
elhelyezett kulcsot. Ez a MAC biztosítja a kártya kibocsátó számára a lehetőséget, hogy validálja a tranzakciós adatokat és az e-pénztárcát. ¾ A PSAM is hitelesíti a tranzakciót egy szimmetrikus kulcs felhasználásával, ez a művelet pedig megteremti a lehetőségét annak, hogy az elfogadó bank ellenőrizze a tranzakciós adatok és a PSAM valódiságát. Elektronikus pénztárca 1. Reset utasítás 2. Válasz a Reset utasításra (ATR) 3. Select utasítás 4. Válasz a Select utasításra 5. Initialize for Purchase utasítás 6. Válasz az Initialize for Purchase utasításra 7. Read Record utasítás 8. Kibocsátó tanúsítványát tartalmazó rekord 9. Read Record utasítás 10. E-pénztárca tanúsítványát tartalmazó rekord 11. Verify Certificate utasítás (elfogadó tanúsítványa) 12. Tanúsítvány ellenőrzésének eredménye 13. Verify Certificate utasítás (PSAM tanúsítványa) 14. Tanúsítvány ellenőrzésének eredménye 15. Debit for Purchase utasítás 16. Válasz a Debit for Purchase utasításra
9. ábra: A fizetési tranzakció időbeli lefutása [33]
63
POS terminál
A fizetési tranzakció lépései: 1. Reset utasítás: ennek hatására alapállapotba kerül az elektronikus pénztárca, a chipkártya felkészül a használandó alkalmazások kiválasztására, a megelőző reset utasítás óta a RAM-ba került ideiglenes tömbök, session kulcsok tartalma törlődik, még akkor is, ha a két reset között nem vették ki az intelligens kártyát a kártyaolvasóból. 2. Válasz a Reset utasításra: a reset utasításra válaszul a kártya visszaküldi saját ATR (Answer to Reset) kódját, ami jellemző egy adott kártya típusra.7 3. Select utasítás: ezen utasítás révén kiválasztásra kerül az elektronikus pénztárca applet az AID (Application Identifer) alapján, és ezt követően az összes APDU-t (Application Protocol Data Unit) ez az alkalmazás fogja megkapni a Java Card virtuális géptől. Jelen alkalmazás esetében az applet azonosító: 43 45 50 53 50 55 52 53 45 (ASCII karakterekkel CEPSPURSE). 4. Válasz a Select utasításra: ez tartalmazza az elektronikus pénztárca alkalmazással kapcsolatos fontosabb tudnivalókat, amiket a POS kliens és szerver is felhasznál a tranzakció további szakaszában. Itt megtalálható az alkalmazási profil, amely binárisan kódolva megmutatja, hogy milyen tranzakciókat támogat a kiválasztott epénztárca; az e-buksza implementáció verziószáma; és az alkalmazás adat leíró (ADL = Application Data Locator). Ez utóbbi nagy jelentőséggel bír, hiszen ebben van meghatározva, hogy melyik fájl melyik rekordjából lehet a szükséges kibocsátói és kártya tanúsítványokat kiolvasni. 5. Initialize for Purchase utasítás: ez az utasítás jelzi a fizetési tranzakció kezdetét, és akkor kerül sor rá, ha a vásárló az internet böngészőjében megnyomja az OK gombot a betöltődött POS kliens Java applet felületén, ami éppen a POS szervertől lekérdezett fizetendő összeget és pénznemet jeleníti meg. Az utasítás paramétereként a POS szerver a POS kliens közvetítésével eljuttatja az elektronikus pénztárcához az elkövetkező tranzakció pénznemét, a pontos időt, és néhány további információt a POS terminálról. Ezen információk alapján a pénztárca ellenőrizni tudja, hogy rendelkezik-e a megadott pénznemmel inicializált és feltöltött persellyel, a tranzakció idejét pedig fel tudja használni a PSAM-tól érkező tanúsítványok érvényességének ellenőrzésére. Az időpecsét átadására mindenképp szükség van, mivel a chipkártya 7
A Schlumber Cyberflex Access e-Gate kártyák esetében az ATR kód: 3B 75 94 00 00 62 02 02 00 80
64
nem rendelkezik beépített órával, ráadásul az időadatnak hitelesnek és pontosnak is kell lennie, amiért a POS terminál felel. 6. Válasz az Initialize for Purchase utasításra: az e-pénztárca válaszul az előző utasításra visszaadja a kibocsátóval és kártyával kapcsolatos lényeges adatokat, mint például a kibocsátó azonosítója, a kártya azonosítója, a felhasználandó kulcsok és tanúsítványok azonosítója és verziója, a kártya tranzakció számláló eggyel növelt értéke, az authentikáció típusa, és a kiválasztott persely fizetés előtti egyenlege. 7. Read Record utasítás: ennek segítségével lehet kiolvasni a kártyán tárolt egyes tanúsítványokat. Paraméterként meg kell adni a rövid fájlazonosítót (SFI = Short File Identifier) és az olvasandó rekord sorszámát. Ebben a lépésben konkrétan a kibocsátó tanúsítványát tartalmazó rekord sorszámát kell megadni, ami általában az első a sorban. 8. Kibocsátó tanúsítványa: az előző utasítás hatására az e-pénztárca visszaadja a kibocsátó tanúsítványát. 9. Read Record utasítás: megegyezik az előző ugyanilyen utasítással, a különbség pusztán az, hogy ekkor az elektronikus pénztárca tanúsítványát tartalmazó rekord(ok) sorszámát kell megadni. 10. E-pénztárca tanúsítványa: a chipkártya válaszul az e-buksza tanúsítványát továbbítja a POS terminálnak. 11. Verify
Certificate
utasítás
(elfogadó
tanúsítványa):
ezzel
a
paranccsal
kezdeményezi a POS terminál az elektronikus pénztárcánál, hogy az ellenőrizze a paraméterként átadott elfogadói tanúsítványt, és az abban lévő publikus kulcsot pedig ideiglenesen tárolja el, hogy az majd a következő ilyen utasításnál felhasználható legyen. 12. Tanúsítvány ellenőrzésének eredménye: ennek segítségével értesíti az e-pénztárca a POS terminált a tanúsítvány ellenőrzésének eredményéről. 13. Verify Certificate utasítás (PSAM tanúsítványa): lényegében megegyezik a 11. pontban leírtakkal, a különbség csak annyi, hogy itt a PSAM tanúsítványát küldi át a POS terminál. 14. Tanúsítvány ellenőrzésének eredménye: ugyanaz, mint a 12. esetén, és sikeres ellenőrzés esetén az elektronikus pénztárca immár hozzájutott a PSAM publikus
65
kulcsához, amelynek segítségével majd ellenőrizni tudja a PSAM digitális aláírását, és vissza tudja állítani annak tartalmát. 15. Debit for Purchase utasítás: ezzel a paranccsal utasítja a POS terminál az elektronikus pénztárcát a kiválasztott persely megterhelésére. Az utasítással együtt átadásra kerül a PSAM tranzakciószámlálójának eggyel növelt értéke, valamint a PSAM által aláírt és az e-pénztárca publikus kulcsával rejtjelezett adathalmaz (PS2), amely tartalmaz: egy session kulcsot, melyet a biztonsági modul ezen tranzakcióhoz generált; a fizetési tranzakció összegét; valamint a SHA-1 kivonatot, amit a PSAM az összes korábbi üzenetváltás során megismert adatok alapján állított elő. 16. Válasz a Debit for Purchase utasításra: az e-pénztárca az előbbi utasítás megérkezése után első lépésben saját privát kulcsával dekódolja a rejtjelezett adathalmazt. Ezután a Verify Certificate utasítások során felfedett PSAM publikus kulcs segítségével visszaállítja az aláírt adatokat, majd a kezdő (6A) és záró (BC) bájtok, valamint a formátumkód ellenőrzése után kiszámítja ő is a SHA-1 kivonatot az általa megismert információk alapján, és végül összehasonlítja ennek értékét a kapott hash értékkel. Ha ezek mind rendben vannak, akkor a PSAM által generált és átküldött session kulcs felhasználásával létrehoz egy S3 üzenethitelesítő kódot (MAC), amit a következők alapján számít: tranzakció típusa; tranzakció összege; a pénztárca terhelés utáni egyenlege; és egy rejtjelezett E6 MAC, ami arra a célra szolgál, hogy a kártyakibocsátó a későbbiekben ellenőrizni tudja a tranzakciót. Az E6 az S6 üzenethitelesítő kódból a kibocsátó által erre a célra létrehozott kulcs segítségével, rejtjelezéssel jön létre. Az S6 képzésének alapjául szolgáló adathalmaz tartalma a kibocsátó döntésére van bízva, a CEPS technikai specifikáció csupán egy ajánlást tartalmaz – én is ez alapján implementáltam az S6 összeállítását –, de ettől el lehet térni. Az elektronikus pénztárca a válasz elküldése mellett egy tranzakciós log bejegyzést állít össze, és tárol el, ami lekérdezhető a megfelelő utasítással. A fizetési tranzakció végén a PSAM ellenőrzi az S3 üzenethitelesítő kódot az általa korábban generált session kulcs segítségével. Lényegében az S3 MAC alapján tudja a PSAM minden kétséget kizáróan megállapítani, hogy valóban egy eredeti, nem korrupt elektronikus pénztárcával van dolga. Mindezek után a POS terminálon belül még végbemegy néhány üzenetváltás, amelynek során a PSAM az általa titkosított formában megkapott E6 dekódolásával nyert S6 üzenet hitelesítő kódot átküldi a POS szervernek, valamint létrehoz a tranzakcióról egy log bejegyzést, amit az S5 MAC-el véd le, és ezt is csatolja az átküldött 66
adatokhoz. Az S5 üzenethitelesítő kód biztosítja az elfogadó fél (merchant acquirer) számára, hogy a későbbiekben ellenőrizni tudja a tranzakciót. Az előbbiek összefoglalásaként a következő ábrán látható, az elektronikus pénztárca és a POS terminál közötti kommunikáció, ami garantálja a fizetési tranzakció biztonságát: POS terminál
Elektronikus pénztárca
POS kliens, szerver PS2
Debit for Purchase (PS2) E6, S3 E6, S3 OK
Tranzakció befejezése
S6, S5
10. ábra: A tranzakció hitelesítése [34]
7.3.3. A POS kliens Az elektronikus pénztárca alkalmazás felhasználói felületét gyakorlatilag a POS kliens jelenti, ami egy Java applet, és a vásárló internet böngészőjében jelenik meg. Feladata, hogy közvetítsen a POS szerver és az elektronikus pénztárca között, és hogy kezelje a felhasználó számítógépéhez csatlakoztatott kártyaolvasóban lévő chipkártyát. Az applet működése igen egyszerű, a fizetésre szolgáló HTML oldal betöltődésekor aktivizálódik, és azonnal megpróbál Secure RMI kapcsolaton keresztül összeköttetésbe kerülni a POS szerverrel. Ha ez sikerült, akkor megkéri a felhasználót, hogy helyezze be a CEPS kompatibilis elektronikus pénztárcáját a kártyaolvasóba. Ezután megkísérli kiválasztani a chipkártyára feltöltött e-pénztárca applet-et egy Select utasítással. Az intelligens kártya ezen utasításra adott válasza alapján eldönti, hogy ez egy megfelelő elektronikus pénztárca alkalmazás-e. Mindezeket követően lekérdezi a fizetendő összeget, és pénznemet, és 67
megjeleníti a böngészőben felkínálva a lehetőséget a vásárlónak, hogy jóváhagyja a tranzakciót. Ha a felhasználó ekkor megnyomja az OK gombot, akkor megkezdődik a tranzakció. A következő ábrán a POS kliens applet felhasználói felülete látható egy fizetési tranzakció alkalmával:
11. ábra: A POS kliens felhasználói felülete
Az elektronikus pénztárca alkalmazás egy prototípus implementáció, így a CEPS specifikáció által támogatott tranzakció típusok közül csak a fizetési és a fontosabb egyenleg lekérdező tranzakciókat támogatja. Ebből kifolyólag az alkalmazás használatához az applet példányosításakor meg kell adni, hogy mekkora legyen az e-pénztárca valamely perselyében tárolt összeg. A feltöltési és egyéb tranzakciók megvalósításához már az elektronikus pénzt kibocsátó bank rendszerének interfész implementációira is szükség lett volna, ami már meghaladja a diplomaterv kereteit, így azok nem kerültek megvalósításra. Végezetül még fontosnak tartom megemlíteni, hogy a CEPS technikai specifikáció nem nyilatkozik arról, hogy szükséges-e az elektronikus pénztárca és a POS kliens között egy rejtjelezett, biztonságos csatornát kiépíteni, ami megakadályozza az utasítások és átvitt adatok lehallgatását, módosítását. Erről valószínűleg azért nem ejt szót, mert ha az átvitt adatokban bárminemű változás van, akkor az ellenőrző kivonatok és üzenethitelesítő kódok nem lesznek helyesek, így a tranzakció meghiúsul. Ezért egy esetleges támadónak a lehallgatás mellett pusztán arra van lehetősége, hogy szabotálja a tranzakciót, de hamis adatokkal nem fog tudni tranzakciót lebonyolítani. A lehallgatott üzenetek visszajátszásával sem tud illegális tranzakciót végrehajtani, mivel a PSAM által generált session kulcs minden egyes 68
tranzakciónál eltérő. Mindezek ellenére véleményem szerint mégis célszerű a biztonságos csatornát létrehozni, mert ilyenkor még a lehallgatás esélyétől is megfosztjuk a támadót, ezért az implementációm opcionálisan támogatja a biztonságos csatorna kiépítését.
69
8. Összefoglalás Az elektronikus pénztárcákkal kapcsolatban az elmúlt tíz évben keletkezett tapasztalatok alapján lehetőség nyílt levonni a megfelelő következtetéseket. A lehetséges felhasználási területek sokrétűsége, és viszonylag nagy száma alapján megállapíthatjuk, hogy az alkalmazási lehetőségek feltehetően nem fognak gátat vetni az e-pénztárcák még szélesebb körű elterjedésének. A dolgozat második részében tárgyaltak alapján azt a következtetést lehet levonni, hogy az ezekhez szükséges feltételek is lényegében adottak szabványok és biztonsági technológia formájában. A közös elektronikus pénztárca specifikációk (CEPS), és az egyéb chipkártya specifikációk megteremtik az alapját az interoperábilitásnak, így az elektronikus pénztárca kibocsátók számára adottak a feltételek ahhoz, hogy olyan e-pénztárcákat bocsássanak ki, amelyek lehetővé teszik a kártyatulajdonosok számára a gyors és kényelmes kisösszegű vásárlást, akár külföldön vagy az interneten keresztül is. A fizetési tranzakciókhoz szükséges magas szintű biztonságról, a chipkártya technológia és a CEPS együttesen gondoskodik. A technológiai áttekintés során láthattuk, hogy az intelligens kártyák egyfajta speciális, biztonságos számítógépként kezelhetők, a kriptográfia pedig biztosítja a hitelesítéshez és rejtjelezéshez szükséges eszköztárat. Az elektronikus pénztárca alkalmazás implementációja során világossá vált számomra, hogy a közös specifikáció jól átgondolt, és biztonsági szempontból is megfelelő, így méltán képezheti a későbbiekben megjelenő vagy már jelenleg is létező e-pénztárca sémák alapját.
Köszönetnyilvánítás Végezetül szeretnék köszönetet mondani konzulensemnek, Dr. Buttyán Leventének az előző félévek önálló labor feladatai és jelen diplomaterv kapcsán nyújtott iránymutatásáért, és támogatásáért. Köszönettel tartozom Berta Istvánnak a rendelkezésemre bocsátott két kártyaolvasóért, valamint a Java Card alapú fejlesztés kezdetén nyújtott hasznos tanácsaiért, Halmos Dávid évfolyamtársamnak az intelligens kártyákkal való ismerkedés kezdetén tanúsított bajtársi hozzáállásáért, valamint a Crysys laboratórium minden munkatársának, akik ötleteikkel, javaslataikkal fenntartották bennem a chipkártyás fejlesztés nehézségeinek ellenére a lelkesedést, ami végső soron ezt a diplomamunkát eredményezte.
70
9. Hivatkozások, ábrák 9.1.
Hivatkozások jegyzéke
[1]
Association of E-money Institutions in the Netherlands: Electronic Money and E-money Instituitons, 2002. 7.oldal, http://www.11a2.nl/docs/empp1511.doc
[2]
Európai Központi Bank: Report on Electronic Money, 1998. http://www.ecb.int/pub/pdf/other/emoneyen.pdf
[3]
1996. évi CXII. törvény 2. számú melléklet I. fejezet, Complex Web Jogtár, http://kozugy.kerszov.hu/jr/sf/defaultstart.html
[4]
Az elektronikus pénzt kibocsátó szakosított hitelintézetről szóló 2004. évi XXXV. törvény, http://www.p-m.hu
[5]
Hugo Godschalk, Malte Krueger: Why e-money still fails, 2000. http://paysys.de/download/Berlin5.pdf
[6]
David Chaum honlapja, http://www.chaum.com
[7]
D. Wagoner: Banking in England, 2003. http://www.georgianindex.net/banking_economics/banking.html
[8]
Working Group on EU Payment Systems: Report to the Council of The European Monetary Institute on Prepaid Cards, 1994. http://www.iang.org/money/EU_prepaid_cards.html
[9]
Malte Krueger: E-money regulation in the EU, 2002. http://www.paysys.de/download/Krueger_e-money_regul.pdf
[10] The European Commission: Linking up Europe: the importance of interoperability for egovernment services, 2003. http://europa.eu.int/idabc/en/document/3571/377 [11] CEPSCO: Common Electronic Purse Specifications, Business Requirements version 7.0, 2000. 1-9. oldal, http://www.cepsco.com [12] Digitális pénztárca? – jön az e-pénz, 2002. december, http://ma.hu [13] http://www.diakigazolvany.hu [14] The European Comission: Payment by e-purse over the Internet, 2001. 3. oldal, http://europa.eu.int/comm/internal_market/en/ecommerce/e-purse.pdf [15] National Smart Card Project: E-purse basics, 2003. http://smartstore.scnf.org.uk [16] ePayment System Observatory honlap, http://www.e-pso.info
71
[17] European Committee for Banking Standards(ECBS): Overview of European electronic purse products, 2003. http:// www.ecbs.org/Download/TR102v4.pdf [18] Böhle, K. et al (eds.): Electronic Payment Systems in European Countries, 1999. http://bibliothek.fzk.de/zb/berichte/FZKA6386.pdf [19] Bank for International Settlements: Payment and settlement in selected countries, 2003. http:// www.bundesbank.de/download/zahlungsverkehr/ bis_payment_systems_April2003.pdf [20] GeldKarte honlap, http://www.geldkarte.de [21] Charles Goldfinger: Economics of financial applications of the smart card, http://europa.eu.int/ISPO/fiwg/archives/steering/fasc.htm [22] Leo Van Hove: Electronic Purses: (Which) Way to Go?, 2000. http://www.firstmonday.org/issues/issue5_7/hove [23] Electronic Payment System Inventory DataBase, http://www.jrc.es/cfapp/invent/details.cfm?uid=89 [24] Mika Mäntylä: Smart card payment and risk scenarios, 2001. http://www.tml.hut.fi/Studies/T-110.501/ 2001/papers/mika.mantyla.pdf [25] Berta István Zsolt: Programozható chipkártyák nyújtotta biztonság. Diplomaterv, BME, 2001. http://www.crysys.hu/publications/files/Berta2001dip.pdf [26] Elements of Smart Card Architecture, http://people.cs.uchicago.edu/~dinoj/smartcard/arch-1.html [27] Axalto (Schlumberger) honlapja, http:// www.axalto.com [28] Siemens: CardOS/M4.0 Chipcard Operating System Users’s Manual, 27. oldal [29] HarkoRobroch: Smart Card Security, 2005. http:// www.os3.nl/2005-2006/SSN-files/ Smart_Card_Security_UvA_20college.pdf [30] EMVCo honlapja, http://www.emvco.com [31] GlobalPlatform honlapja, http://www.globalplatform.org [32] ITSO honlapja, http://www.itso.org.uk [33] EMVCO: EMV Integrated Circuit Card Specifications for Payment Systems, Book 2, Security and Key Management, version 4.1, 2004. http://www.emvco.com [34] CEPSCO: Common Electronic Purse Specifications, Technical Specification version 2.3, 2001. http://www.cepsco.com
72
9.2.
Ábrák jegyzéke
1.
Az elektronikus fizetési rendszer funkcionális modellje
13
2.
Proton fizetési infrastruktúra
19
3.
Egy intelligens kártya belső felépítése
39
4.
Chipkártya életciklus
41
5.
A CEPS séma
49
6.
Rendszerterv
57
7.
Tanúsítvány hierarchia
59
8.
Az elektronikus pénztárca tanúsítványa
61
9.
A fizetési tranzakció időbeli lefutása
63
10. A tranzakció hitelesítése
67
11. A POS kliens felhasználói felülete
68
73
