НСМЕП

Після додавання функції SCardReconnect запрацював клієнт "ІТАР" компанії Аргус:

Збірку wine в ppa:rye/nsmep було додано сьогодні. Патч на gist оновлено.

SCardReconnect додано в  пакеті wine1.3 версія 1.3.28-0ubuntu1+winscard1

Воно працює.

Для цього потрібно зібрати wine з підтримкою winscard через libpcsclite.

Була змінена тільки бібліотека winscard.dll.so.

PPA для Ubuntu 11.10 з патчами від Vincent Hardy звідси: https://launchpad.net/~rye/+archive/nsmep

З 64-бітними системами воно працює, але потребує розпакування бібліотек з libpcsclite1 в /lib/i386-linux-gnu/ (на даний момент пакет libpcsclite не multiarch).

Термінал Аргус працювати відмовився через відсутність функції SCardReconnect у бібліотеці для wine (думаю, буде просто додати). Термінал Unisystem використовує свій власний драйвер для спілкування з кард-рідером і працювати під wine (в якому відсутня підтримка USB пристроїв на даний момент) не буде.

 https://gist.github.com/1480588

roman@roman-AOA150:~$ perl nsmep-balance.pl 
Readers: Avtor SC Reader 371 00 00
Card issued: 2011-07-19 00:00:00
Card expires: 2016-07-19 00:00:00
Card issuer: Express-Bank
Application: Wallet: dd 0 9 80 2
Application: Cheque: de 0 9 80 2
Wallet:
 Balance: 0.00 UAH
 Last transaction: 0.00 UAH
 Expires: 2016-07-19 00:00:00
 Limits:
  Single Operation: 100.00 UAH
  Operations per day: 100.00 UAH
  Cash Withdrawal: 100.00 UAH
  Cash Withdrawal Per Day: 100.00 UAH
  Load operation: 200.00 UAH
  Max storage: 500.00 UAH
Cheque:
 Balance: XX.XX UAH
 Last transaction: XX.XX UAH
 Expires: 2016-07-19 00:00:00
 Limits:
  Single Operation: 5000.00 UAH
  Operations per day: 5000.00 UAH
  Cash Withdrawal: 5000.00 UAH
  Cash Withdrawal Per Day: 5000.00 UAH
  Load operation: 5000.00 UAH
  Max storage: 10000.00 UAH

Код використовує купу припущень, але через те, що в мене тільки одна картка, перевірити їх поки що не є можливим.

Як ми вже знаємо, для використання картки потрібен кардрідер (або картрідер, як кому подобається, навіть "читач карток"). В Україні переважна більшість магазинів пропонує пристрої компанії Castles.

Пристрої Castles потребують специфічного драйверу. Скачати драйвери можна з сайту виробника, але це було актуально років 10 назад, коли ще не було стандарту CCID - Integrated Circuit(s) Cards Interface Devices.

Стандарт USB CCID описує процес взаємодії комп’ютера з кардрідером, тому драйвер CCID може використовуватися тепер для широкого спектру пристроїв на різноманітних операційних системах (Windows, Linux, MacOS X).

Картрідер Автор КР-371 це саме такий пристрій.

Bus 003 Device 002: ID 15cf:001d

Для Windows додаткових рухів робити не було потрібно, для Linux необхідно додати USB VendorID та ProductID до конфігураційного файлу драйверу ccid від pcsc-lite - /etc/libccid_Info.plist. Я використовую Ubuntu 11.10, у інших дистрибутивах (особливо не-debian) шляхи можуть відрізнятися.

libccid_Info.plist це XML-файл, в ключ ifdVendorID треба додати в кінець

<string>0x15cf</string>

В ключ ifdProductID:

<string>0x001d</string>

В ключ ifdFriendlyName:

<string>Avtor SC Reader 371</string>

Для довідки - ось файл конфігурації який в мене працює: https://gist.github.com/1478385

Після встановлення пакету pcscd потрібно перезавантажити udev для встановлення правил для надання доступу до кардрідерів - restart udev.

Після додавання даних, команда pcsc_scan має знайти кардрідер:

$ pcsc_scan 
PC/SC device scanner
V 1.4.17 (c) 2001-2009, Ludovic Rousseau 
Compiled with PC/SC lite version: 1.5.5
Scanning present readers...
0: Avtor SC Reader 371 00 00

Wed Dec 14 22:38:41 2011
 Reader 0: Avtor SC Reader 371 00 00
  Card state: Card removed, 

Я вже відправив дані про цей кардрідер розробникові pcsc-lite, і, можливо, в наступних релізах підтримка буде "з коробки". Avtor SC Reader 371 вже є на сторінці пристроїв - http://pcsclite.alioth.debian.org/ccid/section.html#82.

Від кінцевого користувача використання платіжної картки НСМЕП в інтернет потребує кардрідера та програмного забезпечення, яке буде спілкуватися з карткою.

Зараз можна придбати MicroSD картку, до якої можна прив'язати рахунок, але поки я її не замовляв, тому не знаю, яким чином НСМЕП додаток повідомляє про себе системі, програмне забезпечення на стороні комп'ютера теж потрібне.

Програмне забезпечення НСМЕП називається "Клієнтська частина інтернет-терміналу". На даний момент існує 3 клієнтських терміналів, кожен з яких намагається виділитися дизайном:

Аргус

http://www.banksoft.com.ua/index.php?id=151

Unisystem

http://interplat.com.ua/ru/content/poddergka.html

ТОВ Автор

 http://platimo.ua/downloads.shtml



Специфікації роботи з картками НСМЕП закриті, тому написати свії клієнт є проблематичним завданням (на відміну від EMV - EuroPay Mastercard Visa, де офіційно відкрити специфікації роботи з чипом).

Для того, щоб, наприклад, здійснити оплату, сервер генерує спеціальний файл (*.nsmep). Клієнтська частина відкриває цей файл, робить запит ПІН у користувача, передає дані картці, яка підписує (або шифрує) дані транзакції, відправляє дані на сервер (HTTP протокол), отримує відповідь та формує чек.

Мені поки невідомо, чи стандартизований протокол передачі данних між клієнтською частиною та сервером.

Про НСМЕП дуже мало інформації, як на платіжну систему. Час від часу на профільних форумах з'являється флейм з приводу доцільності системи (вже є Visa, MasterCard), наявності переваг та інші питання, які виникають внаслідок недостатньої кількості корисних даних про систему.

Для розробників робота з НСМЕП зводиться до підключення серверної частини до процессингу; специфікації роботи з карткою мають лише банки та організації, що увійшли до складу НСМЕП, що не додає їй публічності.

Отже, навіщо ще одна платіжна система?
Компанії Visa та Mastercard, картки яких складають левову частку ринку України здійснюють свою роботу не безкоштовно. З кожної транзакції сплачується певний відсоток на користь платіжних систем. Через це деякі компанії практикують встановлення підвищених цін при купівлі карткою. Більшість вже зрозуміла, що з електронними грошима люди купують більше, тому що немає фізичного відчуття грошей, не потрібно переживати про товщину гаманця. Тобто, разом зі сплатою коміссії, продавець отримує більшу суму середнього чеку. При чому тут НСМЕП? Вона позиціонується як дешевша альтернатива закордонним системам.

Для чого кардрідер?
Коротка відповідь - для попередження шахрайства.

Довга відповідь:
Платіжні картки пройшли кілька етапів. Спочатку було достатньо імпринтеру – картку клали під папір та знімали її номер (як олівцем малюнок монети переводять). Цю "систему" навіть зараз можна використовувати в Сполучених Штатах Америки. Потім отримувач платежу несе цей відбиток в банк і таким чином отримує гроші. В нашій країні імпринтерів майже нема (і за тими даними, які в мене є - ніхто ними не вміє та не бажає користуватися), через високий ризик шахрайства.

На картці треба було поставити свій підпис. Підпис та номер картки були єдиним захистом проти шахрайства. При транзакції продавець звіряв підпис на картці та чеку і вирішував, чи можна довіряти покупцеві.

Далі карткри отримали магнітну смугу. Дані на смузі ніяким чином не шифруються, тому зчитати інформацію зі смуги є дуже простою операцією (скіммер). Фактично на смузі знаходиться та сама інформація, що й на картці, але її використання дає змогу в автоматичному режимі зв'язуватися з банком-емітентом (через процессинг) та отримувати авторизацію на кошти. В такому випадку, якщо банк відмовляє через брак коштів, то про це відомо відразу.

Окрім відсутності шифрування, магнітну смугу можна розмагнітити (неодимовий магніт це може зробити дуже просто). В такому випадку картка втрачає можливість бути використаною у торгівельних мережах. Це і є однією з причин того, що картки видаються на певний термін. За 2-3 роки пластик стає зношеним та є ризик виникнення проблем з магнітною смугою.

CVV - Card Verification Code, код верифікації картки було введено для можливості порівняно-безпечного використання картки у мережі інтернет. Цей код частіше всього друкують на тильній стороні картки, біля поля з підписом. Цей код не є присутнім на магнітній смузі, тому зловмисники, маючи скан картки, можуть використовувати її тільки в торгівельній мережі та отримання готівки. Повертаючись до підпису, касир зобов'язаний перевіряти схожість підпису на картці та у чеку, але на практиці ця ступінь захисту у нас не працює.

До речі, американський Amazon не потребує вводу CVV при транзакціях американською карткою MasterCard, це необов'язковий тип захисту для закордонних магазинів. При цьому обов’язкове введення адреси, до якої прив’язана картка. Через нестандартизованість адрес в Україні наші банки не аналізують адресу зовсім.

Маючи фізично картку, або просто всі її дані (включаючи CVV), нічого більше не перешкоджає зловмисникам у розрахунках цією карткою в Інтернет, отриманню готівки в банкоматах або розрахунку в торгівельній мережі. Єдине - в банкоматах та у магазинах встановлюються камери спостереження, дані яких можна буде використати при зверненні клієнта стосовно втрачених грошей.

Деякі банки зробили обов'язковим введення PIN (Personal Identification Number - код персональної ідентифікації) для розрахунків в торгівельній мережі. Таким чином, окрім даних картки зловмисникам ще й потрібен PIN, який ніколи не повинен збергізатися разом з карткою. На жаль, такий метод ідентифікації клієнта теж має один недолік. Скімери, які встановлюються на банкомати, складаються як з магнітного зчитувача, так і з фальшивої пін-панелі. В деяких випадках втановлюється мікро-камера яка фіксує натискання клавіш пін-панелі. Після проведення операції створюється дублікат картки, і зловмисник вже може розраховуватися в торгівельній мережі з використанням PIN.

Йдемо далі. З'являються гібридні картки - з магнітною смугою та чіпом. На жаль, наявність чіпу хоч і створює видимість безпеки, але системи зворотньо-сумісні, і працюють наступним чином:

• Є чіп - використовується чіп
• Чіп відсутній або не відповідає - використовується магнітна смуга
• Магнітна смуга відсутня - використовується імпринтер

Знову достатньо даних магнітної смуги та PIN для проведення транзакцій. Чому роблять гібридні картки? Для того. щоб поступово привчити людей до чипованих карток і в майбутньому повністю відмовитися від магнітної смуги.

Чіп (як не дивно) містить дані про картку та спеціалізоване програмне забезпечення, яке дозволяє додатково шифрувати або підписувати транзакції. Так, під цими контактами знаходиться спеціалізований комп'ютер, що містить пам'ять, сховище даних, операційну систему з файлами та папками та спеціалізовані програми для шифрування даних. Починає ця машина працювати, коли картка вставлена в кардрідер та на неї подається напруга.

Операційна система на картці дозволяє розмежовувати доступ до даних і таким чином унеможливити отримання секретних ключів з картки. Це означає, що зробити дублікат чіпованої картки на даний момент не є можливим.

Повертаємося до НСМЕП.
Система НСМЕП була розроблена вже після того, як інші платіжні системи понаступали на граблі, що були описані вище. Вона не має магнітної смуги. Ії неможливо скопіювати і всі дані для авторизації транзакцій знаходяться всередині картки. Програмне забезпечення на комп'ютері спілкується з карткою, повідомляє їй дані транзакції і отримує їх вже підписаними секретним ключем. Для того, щоб комп'ютер і картка могли обмінюватися даними і існує кардрідер.

Насправді, електричний контакт не є єдиним методом доступу до картки. Існують специфікацї та готові картки, які використовують електромагнітне поле для живлення та передають дані по радіо (в безпосередній близькості до спеціального кардрідера). Прикладом таких систем можна назвати проїзні квитки в київському метрополітені а серед платіжних систем це MasterCard PayPass.

Поки безконтактних карток НСМЕП я не зустрічав.

Для досліждення НСМЕП потрібен щонайменше кардрідер та картка. Кардрідер (стандартний USB CCID) був придбаний у ТОВ "Автор". Картка була отримана у "Експрес банку".

Поки існують тільки клієнтські термінали під Windows, з ними і починаю роботу.

Далі буде...