Читаем Журнал «Компьютерра» № 31 от 28 августа 2007 года полностью

Хотя в нашей стране или, как ни странно, в самих США новые бесконтактные карты пока что остаются диковинкой, общее число выпущенных карт измеряется уже десятками миллионов. Крупнейшие сети безналичной оплаты и их партнеры-банки, выпускающие новые карточки, дают им разные названия – Visa Contactless, MasterCard PayPass и т. д., – однако все они работают на основе единого стандарта ISO 14443 для бесконтактных смарт-карт. По данным промышленной группы Smart Card Alliance, с 2005 по 2007 год выпущено более 20 млн. кредитных и дебетовых карт с радиочастотной связью. Одна лишь Visa на лето текущего года выпустила семь с лишним миллионов. По свидетельству этой фирмы, темпы внедрения бесконтактных карт самые высокие среди всех технологий платежей, вводившихся в действие за последние пятьдесят лет.

Но все это лишь одна – парадная, так сказать, – сторона новой технологии. Посмотрев же "с изнанки", можно увидеть и нечто иное. Что касается цифр успеха, то считать можно по-разному. Например, рубеж в 40 миллионов карт (в два раза выше нынешнего) ранее индустрия планировала достичь к концу 2006 года. В связи с непопулярностью в народе термина RFID, многократно скомпрометированного атаками правозащитников на эту «шпионскую» технологию, в контексте новых платежных карт ныне старательно избегают использовать данное буквосочетание, чаще всего прибегая к невинному RF cards, то есть просто "радиочастотные карты". Наконец, чтобы добиться высоких темпов внедрения новой технологии, банки сначала объединили RFID-чип и традиционную магнитную полоску в корпусе одной платежной карточки, а затем застолбили за собой право не предупреждать клиентов о том, что в их новой кредитке есть еще и RFID-чип. Соответственно, стал необязательным и особый значок-логотип, которым положено, вообще говоря, маркировать передающие информацию RFID-устройства. Подобные действия можно считать подарком банков клиенту ("Сюрприз! Сюрприз!") – но можно трактовать и как умышленный обман потребителей.

Представители индустрии банков и карточных платежей объясняют свои действия поиском оптимальных путей для объединения новых технологий с традиционными, понемногу себя изживающими. А потому, ради единообразия и сохранения уже развернутой по всему миру инфраструктуры обработки платежей, вся необходимая для финансовых транзакций информация о кредитке и ее владельце выдается из памяти RFID-чипа в эфир фактически в том же самом формате, как она прописана на магнитной полоске карточки. Тут-то и кроется суть проблем с бесконтактными платежами.

Граждане, не теряйте бдительности!

Банковские кредитные и дебетовые карточки нового выпуска вместе с магнитной полосой могут иметь RFID-чип для бесконтактных платежей. Эксперты по безопасности рекомендуют при получении новых карт сразу задавать банкам вопрос, есть ли в них радиочастотный чип. Если чип есть, хотя клиент его не заказывал, то имеются все основания потребовать заменить карту на традиционную.

(Не)безопасность

Объединение двух систем в одном устройстве порождает закономерные вопросы о безопасности новой технологии – как в сравнении с традиционными «контактными» картами на основе магнитной полосы, так и в отношении уже известных атак и злоупотреблений, применяемых именно к RFID.

Что касается самих компаний, выпускающих бесконтактные кредитки, то они приводят целый ряд аргументов, свидетельствующих о более высокой безопасности новой технологии в сравнении с традиционной. Во-первых, говорят они, при бесконтактных платежах владельцу уже не нужно выпускать карточку из рук и передавать продавцу (официанту, клерку и т. п.), что ощутимо сокращает риск незаметного копирования и компрометации карты. Во-вторых, считыватели в торговых терминалах работают с карточками лишь на расстоянии в несколько сантиметров, что предохраняет передаваемую по радио информацию от перехвата злоумышленниками. Наконец, в RFID-чипы встроена приличная криптография и цифровые "водяные знаки", которые защищают каждую транзакцию и не позволяют ее перехватить, записать и воспроизвести где-то еще, чтобы обманным путем сымитировать оплату покупки.

Все, что говорят о защите бесконтактных карт их изготовители, конечно, правда. Вот только далеко не вся правда. Ибо если стало возможным не выпускать карточку из рук, то почему бы не позволить столь безопасной и надежной технологии оплачивать любые покупки, а не только мелочевку ценой до 25 долларов? И если ридеры якобы работают лишь на расстоянии в несколько сантиметров, то как быть с экспериментами, демонстрирующими, что дальность приема зависит не от маломощных ридеров терминала, а от качества антенны считывателя у злоумышленника, способной снимать тот же сигнал с расстояний в полтора десятка метров и более. Наконец, если разбираться с криптографией, защищающей транзакции, то и там все оказывается не совсем так, как пытается представить индустрия.