Secure Virtual Payments

Ähnliche Dokumente
Near Field Communication (NFC) in Cell Phones

Near Field Communication Security

Mobiles Bezahlen. Maren Fröhlig & Kira Kolkmann & Benedikt Jütte Hausmesse Digitale Werkstatt 17 &

17 Ein Beispiel aus der realen Welt: Google Wallet

MasterCard Digital Commerce MasterCard.

Mobile Payment mittels NFC

Frequently asked Questions

Near Field Communication (NFC) Technisches Gimmick oder vielversprechende Marketing Plattform?

Mobile Banking - Verfahren,Sicherheit,Usability

digitale Raumkomunikation INSTITUT FÜR ARCHITEKTUR UND MEDIEN

Denn es geh t um ihr Geld: Kryptographie

Near Field Communication Security

Batteriegestütze Transponder in ISO/IEC Eine neue Transponder-Klasse

OESTERREICHISCHE NATIONALBANK EUROSYSTEM. KURZFILME DER OeNB. Zahlungsverkehr DIDAKTIK

Kryptographie. Nachricht

Bei Online-Geschäften auf der sicheren Seite

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich?

Verunsicherte Kunden durch NFC Wie sicher ist NFC wirklich?

Masterarbeit OCRA Challenge/Response - Framework. Sideris Minovgioudis

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

business4school cash&carry Gliederung 1. Instrumente des bargeldlosen Zahlungsverkehrs 2. Risiken und Schutzmaßnahmen 3. Die Volksbank BraWo

Netzwerke Teil 10: Einführung in die Kryptographie

Host Card Emulation Wie sicher ist das Bezahlen ohne Secure Element?

Welche Normen spezifizieren APDUs als Teil des Protokolls? ISO/IEC

Bezahlsysteme im Netz Dr. Wolfgang Stein 1

NFC Near Field Communication Drei mögliche Anwendungsgebiete. Jonas Böttcher, Kolja Dreyer, Christian Dost

Kurs 1866 Sicherheit im Internet

Saferpay. Die sichere Zahlungslösung für Ihren Online-Shop

FAQ für Privatkunden zum mobilen Bezahlen. Version 2; Stand

Saferpay. Die sichere Zahlungslösung für Ihren Online-Shop

Kontaktloses Bezahlen. - jetzt mit Ihrem Terminal möglich!

Begriffs-Dschungel Kartenwelt. Erklärung der Begriffe aus der Kartenwelt Daniel Eckstein

Bargeldlose Zahlungsarten im Einzelhandel

Near Field Communication based Payment System

Informationen zu 3D Secure

2 Bezahlen Der Bezahlvorgang hat nicht funktioniert. Woran kann das liegen und was muss getan werden?


Mit dem Handy an der Kasse: Mobil und sicher bezahlen

Elektronischer Personalausweis epa

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

Sicherheitskonzepte für eine generische Interpreter-Plattform für mobile NFC-Geräte

Mobile Payment: Der nächste Schritt des sicheren Bezahlens

SmartMX, NFC & Arygon. Ralf Kretschmann, Achim Kretschmann, Bernd Fleischmann

Mobile Transaktionen. Christian Kantner

Fragen-/Antworten-Sammlung (FAQs) Allgemeine Fragen

Kombinierte Attacke auf Mobile Geräte

Mobile Banking TAN-Verfahren

Bezahlen mit dem Handy

HÄNDLERBUND STUDIE SEPTEMBER THEMA - Payment im Handel. Befragte Händler:

Ein Überblick über Security-Setups von E-Banking Websites

Whitepaper. ginlo & Sicherheit

Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen

ein positionssensitives Museumsinformationssystem für die DASA

FAQ für Firmenkunden (Händler) zum mobilen Bezahlen. Version 2; Stand

ECR Austria Arbeitsgruppe NFC Near Field Communication. Dr. Nikolaus Hartig ECR Austria Manager

Netzwerksicherheit. Teil 10: Krypto-Währungen. Philipp Hagemeister. Sommersemester 2017 Heinrich-Heine-Universität Düsseldorf

Sicherheit in Ad-hoc-Netzen

CodeMeter. Ihr Führerschein zum Kryptographie-Experten. Rüdiger Kügler Professional Services

BLE als Alternative zu NFC bei Authentisierungsverfahren mit Token oder Karte

Vortrag von Jan-Christopher Pien Seminar IT-Security Workshop Dr. Wolf Müller

Near Field Communication (NFC) Eine neue Technologie in der Markteinführung. Impulsreferat von Bernhard Kobel an der Stämpfli Konferenz 2009

SMart esolutions Informationen zur Datensicherheit

Verschlüsselungsdienst für mobile Apps im Gesundheitswesen. 4. ehealth-kongress in Rhein-Main und Hessen

Das geht mit VR-SecureCARD

Willkommen zur Vorlesung. im Sommersemester 2011 Prof. Dr. Jan Jürjens

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

4 Zahlung Umgang mit Geld. Lindner u. a.: Wirtschaft verstehen Zukunft gestalten verlaghpt.at

Netzwerksicherheit. Teil 10: Authentifikation und Autorisierung. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Phishing. Nicole Kowatsch Johannes Gangl

Informationen zu Mastercard SecureCode bzw. Verified by Visa

Schlüssel zum Erfolg - was wir aus der Vergangenheit für die Zukunft der Kartentechnologie lernen können

Mobile Payment. Gesellschaftliche und Technologische Revolution? Presented By Kevin Schramm and Xiao Bei Kou November Free PowerPoint Templates

INF. Fachbereich Informatik. FERNUNIVERSITÄT in Hagen D Hagen Sicherheit im Internet. Hauptklausur am

Verschlüsselte Daten lesen: Möglichkeiten und Grenzen

Modul 11: Sicherer Remote-Zugriff über SSH

Sicherheit im Raiffeisen Online und Mobile Banking

Endgeräteunabhängige Schlüsselmedien

Girokonto. 1 Kontoeröffnung 6. Arbeitsblätter. Blankoformulare. Fragen und Antworten zum bargeldlosen Zahlungsverkehr. Bargeldlos zahlen mit Karten 8

Connect the unconnected

Bestandteile eines RFID-Systems

- Gliederung - 1. Motivation. 2. Grundlagen der IP-Sicherheit. 3. Die Funktionalität von IPSec. 4. Selektoren, SPI, SPD

Literatur. [3-5] Klaus Schmeh: Kryptografie. dpunkt, 3. Auflage, [3-6] Bruce Schneier: Secrets & Lies. dpunkt, 2001

Bancontact/Mister Cash Mobile

Inhaltsverzeichnis. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): ISBN (E-Book):

E-Banking-Authentisierung

Finanzgruppe Sparkasse Karlsruhe

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Cnlab/CSI Herbsttagung Kryptographie in Smartphones

NFC - mehr als nur mobile Payment

» Einkaufen im Internet. » E-Banking. » Achtung Falle? Welche Möglichkeiten gibt es? Wie läuft so ein Einkauf ab? Wie kann ich bezahlen?

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Kartenakzeptanz. Informationen zum einfachen und sicheren bargeldlosen Bezahlen

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Seminar: Sicheres Online Banking Teil 1

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones

NFC - Near Field Communication. NFC innoviert nicht nur das elektronische Bezahlen Beat Morf, Albis Technologies AG

Transkript:

Universität Salzburg 22. Juni 2017

Inhalt Entwicklung der bargeldlosen Bezahlung PayPal Statischer vs. dynamischer TAN Virtual Currencies Magnetstreifen vs. Chip 3-D Secure Mobile Payment (M-Payment) NFC Projekt

Entwicklung der bargeldlosen Bezahlung Vor sehr langer Zeit : Tauschhandel 1200 BC : Muscheln als Zahlungmittel (China) 700 BC : Erste Münzen aus Edel Metallen 800 AD : Erste Banknoten 1816 AD : Gold Standard 1950 AD : Erste Kredit Karte (Diners Club) 1997 AD : M-Commerce (Coca Cola)

Doch welche Möglichkeiten des bargeldlosen Bezahlens gibt es denn nun?

Beispiele Kreditkarten Virtuelle Kreditkarten Bankomatkarte Paysafecard Paypal Bitcoins

PayPal Virtuelles Konto, oder mit Bankkonto verbunden (optional) Security Key: 2FA (two-factor-authentication), z.b. per SMS kein Austausch von Bankdaten, Identifizeriung über E-Mail-Adresse Kommunikation mittels TLS 1.2-Zertifikate (Upgrade) abgesichert Zertifikate verschlüsselt mittels SHA-256 und VeriSign s 2048-bit G5 Root Certificate Probleme: Frauds, 2FA, mtan

Statischer vs. dynamischer TAN Statisch: TAN-Liste oder itan Gefahr von Phishing, Manipulation von Maleware TANs nicht transaktionsgebunden Dynamisch: TAN ist transaktionsgebunden und zeitlich begrenzt voneindander unabhängige Kommunikationskanäle Informationen über Transaktion zur Kontrolle mtan (per SMS/App), ChipTAN (Generator)

Beispiele: Angriff auf mtan Variante 1: Trojaner greift Onlinebanking-Daten ab, Angreifer recherchierte Handynummer Beantragung einer zweiten SIM-Karte beim Provider (keine/schwache Identitätsprüfung) Variante 2: PC-Trojaner fordert Opfer auf Trojaner auf Handy zu installieren, mtans werden weitergeleitet Variante 3: Trojaner ändert DNS-Server, Aufforderung zur App-Installation http://www.pc-magazin.de/business-it/mtan-verfahrenausgetrickst-betrug-online-banking-schutz-2727938.html

Beispiele: Angriff auf mtan Variante 4 (Mai 2017): Phishing von Banking-Daten Schwachstelle im SS7-Netzwerk, Ortung von Handy über Home Location Register-Datenbank (HLR) Angriffe in der Nacht, Handys werden in Angreifernetz eingeloggt, Rufnummer umgeleitet Schwachstelle seit 2014 bekannt http://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-immobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

Virtual Currencies http://www.ecb.europa.eu/pub/pdf/other/ virtualcurrencyschemes201210en.pdf

Virtual Currencies: Beispiele Closed Virtual Currencies: World Of Warcraft Gold Unidirectional currencies: Amazon Coin, Steam-Guthaben Bidirectional currencies: Bitcoin

Magnetstreifen vs. Chip Magnetstreifen statischer Datenspeicher, PIN als Hash-Wert aus Kontonummer, Bankleitzahl... Daten werden nur ausgelesen =>leicht duplizierbar Chip Prozessor, Verschlüsselungsalgorithmus, geschützter Datenbereich Kartenauthentifizeriung, Karteninhaberverifizierung, Transaktionsauthorisierung

Chip http://www.itwissen.info/chipkarte-chip-card.html

Chip Kartenauthenifizierung Mehrere Anwendungen mit verschiedene Krypto-Keys Digitale RSA Signatur (statisch/dynamisch) Karteninhaberverifizierung Verschiedene Methoden: PIN, Unterschrift,... Negotiation algorithm entscheidet Methode (nach Transaktionsart, Betrag, Terminal-Möglichkeiten) Offline: PIN an Karte, Karte überprüft Online: PIN wird verschlüsselt, Kartenausgeber überprüft Transaktionsauthorisierung 3DES-Verfahren mit symmetrische Schlüssel Kartenausgeber führt interne Überprüfung durch Karte wird nach Antwort aktualisiert, Karte bestätigt Transaktion

Beispiel: Man-in-the-middle Angriff Durchgeführt von Forschern der University of Cambridge, UK Kosten: ca. 200$ Weitere Angriffe: yes card, Seitenkanalangriffe http://www.cl.cam.ac.uk/research/security/banking/nopin/ oakland10chipbroken.pdf

3-D Secure Verified by Visa, MasterCard SecureCode, American Express SafeKey Betrugsrisiko/Kartenmissbrauch minimieren Zusätzlicher Authentifizierungsschritt bei Online-Bezahlungen

3-D Secure XML basiertes Protokoll 3-Domain-Modell Acquirer Domain: Bank oder Händler der bezahlt wird Issuer Domain: Bank, die die Karte ausgestellt hat Interoperability Domain: Infrastruktur, z.b. Internet, MPI, ACS XML-Nachrichten über SSL-Verbindung geschützt

Sicherheitsrisiken Genaue Authentifizierungsmethode nicht festgelegt 3DS-Formular als Pop-Up/iFrame, Seitenidentität schwierig zu überprüfen (Phishing) Activation During Shopping: Frage nach persönlichen Daten, Karten-PIN,... Haftung auf Kunden verlagert (UK)

Mobile Payment

Mobile Payment Entwicklung aus Premium-SMS (Klingeltöne, Wallpaper, etc.) Meistens mit Handy oder Tablet Softwarelösungen mittels PINs/TANs oder QR-Codes Hardwarelösungen mittels NFC

Mobile Bankomatkarte Benötigt werden NFC-fähiges Handy NFC-Bankomatkarte NFC-SIM-Karte Bank-App

NFC-SIM-Karte Besitzt Secure Element (sicheres Element), manipulationssicher, im schlimmsten Fall Selbstzerstörung SE kann auch in Handy oder Cloud implementiert sein SE speichert Applikationen, Verschlüsselung und Daten, ähnlich wie Chip-Karte emuliert die Bankomatkarte (Card Emulation Mode), führt die Kommunikation zw. Karte und Terminal durch

NFC

Technische Details kontaktlosen Austausch von Daten per elektromagnetischer Induktion mittels loser gekoppelter Spulen basierend auf radio-frequency identification (RFID) Reichweite bis zu 10cm Datenübertragungsrate von maximal 424 kbit/s

Anwendungsgebiete Generell kann es für jeden Datenaustausch genutzt werden elektronischer Personalausweis, elektronische Gesundheitskarte, etc.. In den meisten Kreditkarten bereits vorhanden Ebenso wie Smartphones Oft genutzt für Micropayments NFC kann auf 2 Arten kommunizieren Aktiv Passiv

Standard und Modes standardisiert durch das Near Field Communication Interface and Protocol-1 (NFCIP-1) Welches auch die 3 Modi defniert: Card Emulation Mode Das NFC Gerät wird als normale passive kontaklose Karte genutzt. Reader/Writer Mode Das NFC Gerät wird als normaler aktive kontakloser Kartenleser genutzt und kann ein RF Field, zur Kommunikation mit kontaktlosen Karten, RFID tags oder NFC Forum tags, erzeugen. Peer to Peer Mode Zwei Geräte können miteinander in aktiven oder passiven Modus kommunizieren (Master/Slave Prinzip)

Eavesdropping/Sniffing Das passive Gerät is um einiges scchwerer zu lesen, da es Daten mithilfe induktiver Kopplung des Rf-Field sendet. In der Regel: 10m für aktive Geräte 1m für passive Geräte

Data Modification Eine Kombination aus Amplitude Shift Keying (ASK) und Miller coding oder Manchester coding Bei einer Bitrate von 106 kbit/s wird eine ASK von 100% genutzt und Miller coding Für Bitraten über 106 kbit/s wird eine ASK von 10% genutzt und Macnhseter coding Data Modifikation ist möglich für Bitraten größer als 106kbit/s. Und nur zur einem gewissen Grad bei einer Bitrate von 106 kbit/s

Man in the middle attack Das Problem ist, dass NFC Geräte gleichzeitig Senden und Empfangen können. Somit können sie das RF-Field überprüfen und Kollisionen wahrnehmen, falls die gesendete Nachricht nicht mit der Empfangenen übereinstimmt. Dazu kommt noch der Fakt, dass NFC eine kurze Reichweite hat. Aber perfekte Sicherheit kann nur durch eine wohlüberlegte Verschlüsselung erreicht werden.

Verschlüsselungskomponenten Zufallsnummerngenerator Public Key Signatur (SHA-1 + RSA) Public Key Paare für die Session Key Verschlüsselung und Session Data Signatur SHA-1 hash Funktion um neue Session Keys von sicheren zufalls Session Keys zu erhalten Eine Message Authentication Function (MAC) um Session Keys zu überprüfen

Projekt

NFC-TAG und NFC-Intent // L i b a r i e s import a n d r o i d. n f c. NfcAdapter ; import a n d r o i d. n f c. Tag ; // onnewintent Method p r o t e c t e d v o i d onnewintent ( I n t e n t i n t e n t ) { tag = i n t e n t. g e t P a r c e l a b l e E x t r a ( NfcAdapter. EXTRA TAG) ; l o g ( Tag d e t e c t e d! ) ; b y t e [ ] i d = tag. g e t I d ( ) ; }

ISO7816 und ISODEP // L i b a r i e s import a n d r o i d. n f c. t e c h. IsoDep ; // onnewintent Method p r o t e c t e d v o i d onnewintent ( I n t e n t i n t e n t ) { tagcomm = IsoDep. g e t ( tag ) ; b y t e [ ] r e c v = t r a n s c e i v e ( 00 A4 04 00 07 A0 00 00 00 04 30 60 00 ) ; }

APDU und AID 00 A4 04 00 07 A0 00 00 00 04 30 60 00

Record Beispiel

Screenshot

Quellen https://en.wikipedia.org/wiki/paypal https://www.paypal-techsupport.com/?page=home https://www.aktiv-online.de/ratgeber/detailseite/news/chip-tan- push-tan-co-wie-man-beim-online-banking-auf-nummer-sicher-geht- 10570 http://www.aktien.net/sicherste-tan-verfahren/ http://www.cl.cam.ac.uk/ rja14/papers/fc10vbvsecurecode.pdf https://de.wikipedia.org/wiki/mobile-payment http://www.gmarwaha.com/blog/2014/09/01/mobile-paymentswhat-is-a-secure-element/ https://de.statista.com/ http://citeseerx.ist.psu.edu

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback