Як працює Apple Pay під капотом

Чи користуєтесь ви Apple Pay? Ви коли-небудь замислювались, як проходить транзакція Apple Pay? У цій публікації ви дізнаєтесь, як працює Apple Pay від кінця до кінця.

Мобільні платежі стали дуже популярними завдяки зручності та безпеці, яку вони пропонують. Більше не потрібно носити з собою пластикові картки, і вам не доведеться турбуватися про їх втрату (яке полегшення!).

У цій статті я збираюся обговорити, як взагалі працює Apple Pay і як він працює, зокрема, на фізичному POS-терміналі. Я також коротко обговорюю переваги безпеки.

Перш ніж зануритися, давайте ознайомимося з основною термінологією.

Захищений елемент

Захищений елемент (SE) - це те, що згадується, говорячи про Apple Pay, тому нам потрібно зрозуміти, що це таке.

За даними Глобальної платформи:

Захищений елемент (SE) - це захищена від втручання платформа (як правило, це один мікросхемний захищений мікроконтролер), здатна надійно розміщувати програми та їх конфіденційні та криптографічні дані (наприклад, управління ключами) відповідно до правил та вимог безпеки, встановлених набором добре визначені довірені органи.

Apple Pay використовує SE для зберігання секретної інформації, пов’язаної з токенізованими картками (про це ми поговоримо пізніше).

В iPhone після iPhone 6 та Apple Watch SE вбудовано в мікросхему зв'язку NFC. Це використовується на платіжних терміналах для здійснення транзакцій через NFC. SE емулює платіжну картку під час трансакції Apple Pay.

Токенізація

Токенізація як процес дедалі більше застосовується у платіжній галузі. Тут ми спробуємо зрозуміти основи токенізації.

Далі наводиться короткий опис з Вікіпедії про технологію токенізації:

Токенізація , коли застосовується до захисту даних, - це процес заміщення чутливого елемента даних нечутливим еквівалентом, який називається маркером, який не має зовнішнього або використовуваного значення або значення. Маркер - це посилання (тобто ідентифікатор), яке повертається до конфіденційних даних через систему токенізації. При відображенні вихідних даних у маркер використовуються методи, які роблять маркери неможливими для зворотного використання за відсутності системи токенізації

У контексті кредитних карток та Apple Pay токенізація використовується для заміни Первинного номера рахунку (PAN або номера кредитної картки) на маркер. Токен виглядає як звичайний номер кредитної картки, але це не оригінальний PAN. Токенізація зупиняє використання оригінального номера картки під час транзакцій.

Маркери самі по собі не мають значення і для злочинців нічого не варті, якщо крадуть жетон. Немає алгоритму отримання основного номера рахунку, якщо у вас є маркер. Це унеможливлює зловмисникам зворотне проектування номера первинного рахунку з маркера.

Натисніть тут для статті Вікіпедії про токенізацію, якщо ви хочете дізнатись більше.

Наступна схема описує потік транзакцій Apple Pay. Ми обговоримо ці кроки в наступних розділах.

Додавання картки до Apple Pay

Картку можна додати до Apple Pay, відсканувавши її або надіславши дані картки. Потім ця інформація передається на сервери Apple.

Apple надсилає отриману інформацію про картку відповідній картковій мережі (Visa, MasterCard, AmericanExpress, Discover тощо). Потім мережа карток перевіряє дані картки у банку-емітента.

Після перевірки мережа карт, що діє як TSP (Token Service Provider), створює маркер (який у контексті Apple Pay називається DAN або Номер облікового запису пристрою) та ключ маркера. Цей DAN генерується за допомогою токенізації і не є фактичним номером картки.

Згодом ця інформація надсилається назад на сервери Apple. Після того, як пристрій отримує цю інформацію з серверів Apple, вона зберігається в захищеному елементі пристрою (SE).

Ініціювання транзакції за допомогою Apple Pay

Коли ви використовуєте пристрій Apple на POS-терміналі для здійснення платежу, пристрій взаємодіє з терміналом, щоб ініціювати транзакцію. Apple Pay використовує безконтактні специфікації EMVCO для зв'язку з терміналом. Якщо термінал не підтримує безконтактну EMV, Apple Pay повертається до безконтактного режиму MSD (дані магнітної смуги).

Безконтактний режим EMV

Коли використовується безконтактний режим EMV, пристрій Apple взаємодіє з терміналом відповідно до специфікації безконтактної EMV. Елемент захисту на пристрої генерує динамічну криптограму для кожної транзакції, використовуючи маркер, ключ маркера, суму та іншу інформацію, пов’язану з транзакцією. Потім ця динамічна криптограма надсилається платіжному процесору разом із маркером (DAN), сумою транзакції та іншою необхідною інформацією для обробки транзакції.

Безконтактний режим MSD

Існує безконтактний MSD для підтримки терміналів, які все ще не можуть обробляти в безконтактному режимі EMV. Більшість терміналів все ще працюють у безконтактному режимі MSD. Давайте глибше розглянемо, як відбувається транзакція за допомогою безконтактного режиму MSD.

MSD, або дані магнітної смуги, - це те, як старі картки зберігають дані картки. Дані зберігаються як доріжки на картках з магнітною смугою. Картки з магнітною смугою можуть мати до 3 доріжок, і кожна доріжка (доріжка1, доріжка2, доріжка3) має різний формат. Клацніть тут, щоб отримати додаткову інформацію про дані треку.

У безконтактному режимі MSD від Apple Pay формат даних track2 використовується для передачі даних картки в платіжний процесор, який потім зв'язується з мережею картки.

Давайте подивимось на деякі приклади даних відстеження, що надсилаються з терміналу процесору для транзакції Apple Pay.

370295292756481 = 220672716078290600047

Вище наведено приклад даних відстеження, отриманих від терміналу, який був зафіксований на платіжному шлюзі.

Давайте зрозуміємо цей сегмент даних за сегментом,

  • Виділено жовтим кольором - це номер рахунку пристрою або DAN (приклад DAN наведено з картки AmericanExpress. Тут ви можете підтвердити ідентифікаційний номер банку (BIN) або початкові 6 цифр у номері кредитної картки).
  • Виділено синім кольором - це рік і місяць дії кредитної картки (рр / мм)
  • Виділено рожевим кольором - це службовий код. Клацніть тут, щоб дізнатися більше про це.
  • Виділено фіолетовим кольором - ця частина даних є дискретною для карткової мережі. У випадку з Apple Pay це використовується як значення динамічної перевірки картки (CVV).

Ми дізналися, що в режимі EMV генерується динамічна криптограма . Тут динамічний CVV відіграє роль криптограми. Це генерується за допомогою маркера ключа та інших даних, пов’язаних з транзакціями (подібно до генерації динамічної криптограми ).

Дані треку, показані вище, надсилаються набувачу разом із сумою операції. Покупець передає цю інформацію до відповідної карткової мережі (Visa, MasterCard тощо) на основі BIN.

Завершення трансакції Apple Pay

Коли карткова мережа отримує запит на транзакцію, вона визначає, чи це справжній номер картки, або токенізований номер картки. Якщо він токенізований (що стосується транзакцій Apple Pay), мережа карт перевіряє криптограму (або динамічний CVV), використовуючи їх копію ключа маркера (карткова мережа тут діє як TSP).

Після деяких інших додаткових перевірок мережа карток де-токенізує DAN і отримує оригінальний PAN (основний номер рахунку).

Цей запит на транзакцію надсилається емітенту (банку або фінансовій установі, яка видала кредитну картку) разом із оригіналом PAN. Емітент санкціонує транзакцію і відправляє відповідь, яка в кінцевому підсумку доходить до POS-терміналу.

Ага! Транзакція завершена!

Відтворення запитів на транзакції

Однією з найбільших проблем традиційних транзакцій з карткою є можливість повторного відтворення попередніх запитів на транзакції (атака повторного відтворення). Якщо повторно надіслати той самий запит на транзакцію, буде здійснено іншу транзакцію з тими ж даними.

З Apple Pay цього не відбувається (також при використанні карт EMV безпосередньо на терміналі). Кожен запит на транзакцію можна використовувати лише один раз. Динамічна криптограма (динамічна CVV у режимі MSD) забезпечує це. Для кожної транзакції створюється нова криптограма, яка може бути використана лише один раз (і дійсна лише протягом певного періоду часу).

Висновок

У цій статті ми пройшли огляд потоку транзакцій Apple Pay. Я обговорю Google Pay у наступній статті.

Список літератури

  • //www.gmarwaha.com/blog/2015/01/03/apple-pay-an-attempt-to-demystify-take-2/
  • //www.emvco.com/emv-technologies/contactless/
  • //msrtron.com/blog-headlines/blog-card-data
  • //www.slideshare.net/bellidcom/what-is-a-token-service-provider-52887269

Перед тим як ти підеш!

Якщо вам сподобалася ця стаття, хлопці вітаються!