SlideShare a Scribd company logo

La sicurezza delle applicazioni di Mobile Payment_Antonella Marino

CATTID "Sapienza"
CATTID "Sapienza"
Technology
1 of 19
Download to read offline
La sicurezza delle applicazioni di Mobile Payment Progettazione e implementazione di un protocollo di Mutua Autenticazione fra un cellulare con tecnologia Near Field Communication e un terminale di pagamento Antonella Marino
Centro per le Applicazioni della Televisione e delle Tecniche di Istruzione a Distanza OBIETTIVO: Ideare e implementare un protocollo per la mutua autenticazione fra una smart card e un terminale di pagamento CONTRIBUTO: Evitare frodi da parte dei terminali di pagamento
Sistemi di Mobile Payment DEFINIZIONE • Con il termine Mobile Payment intendiamo ogni acquisto di servizi o beni, fisici o digitali, realizzato interamente attraverso il telefono cellulare. CLASSIFICAZIONE • Remoti (Mobile Remote Payment) • Di prossimità (Mobile Proximity Payment) EVOLUZIONE DELLE CARTE DI PAGAMENTO MSC Contact Contactless NFC
Near Field Communication (NFC) Connettività wireless: fino a 10 cm Velocità massima di trasmissione: 424 kbit/s Frequenza: 13,56 MHz Comunicazione: bidirezionale Tre modalità operative Reader / Writer Il cellulare emula una carta contactless Peer To Peer Card Emulation
La sicurezza dei Mobile Payment con NFC Comunicazione mediante onde radio che si diffondono Contenuto potenzialmente intercettabile
Standard EMV • Nato nel 1993 da Europay, Mastercard e Visa • Definisce tre tipi di autenticazione della smart card verso il terminale di pagamento: – Static Data Authentication – Dynamic Data Authentication – Combined Data Authentication • Stabilisce le regole che permettono alla carta e al terminale di interagire
Mutua autenticazione fra dispositivi contactless EMV considera il terminale di pagamento sicuro a priori Un terminale di pagamento malevolo può selezionare un applet sul chip NFC ed La carta si autentica effettuare operazioni illecite attraverso un certificato digitale
Certificati digitali per la mutua autenticazione Un certificato tipicamente include: • una chiave pubblica • dei dati identificativi • un periodo di validità • l'URL della lista dei certificati revocati (CRL) • Il tutto è firmato da una terza parte fidata Questi campi non possono essere verificati da una carta!
Mutua autenticazione Card-Reader v.2 Basato sul protocollo di Needham-Schroeder e sui ticket di Kerberos Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C) Contiene {RT,TS} KR contro i attacchi di Il random ha la stessa 1. Richiesta di autenticazione criptoanalisi funzione di un timestamp 2. Conferma di Timestamp cifrato con la richiesta chiave segreta di T: solo T 3. Richiesta di sessione oltre ad AS ha potuto ID in chiaro, valore random e produrre il di autenticazione Richiesta messaggio cifrati con laFunzione del numero chiave segreta di 4. Ticket_T Ticket_C di T, ID di C, valore random ID C: solo AS oltre a cifrato con la casuale C può e Richiesta di autenticazione chiave di sessione, decifrare il valore random cifrati con : chiave di sessione, Ticket_C Verifica Ticket_T la chiave segreta di timestamp, ID di C. Il che T e C 5. con conferma che C conosce C: AS capisce ticket è cifrato la chiave di sessione la chiave segreta di T vogliono autenticarsi, decifra Numero casuale Ticket_C: chiave di sessione, e 6. Conferma verifica il valore random, decifra valore cifrato con la random, ID di T. Il ticket è cifrato con la controlla il timestamp. chiave di sessione chiave segreta di C
Cifratura Non cifrare con EBC Non mettere i valori noti in blocchi iniziali
Considerazioni • Server potente, affidabile e incorruttibile • Shared key per “firmare” • Server e reader fortemente sincronizzati • Il protocollo non permette a “entità” corrotte di effettuare delle false autenticazioni.
Attacco 1 con cellulare malevolo C1 Una cellulare NFC malevolo C1 ha spiato l’identificativo del cellulare C, e decide di fingersi C con il terminale di pagamento. Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C1) Richiesta di autenticazione IDC {RC1 Richiesta di autenticazione} KC1 Richiesta di sessione C1 non può Ticket_T Ticket_C decifrare questi dati! Questo valore Ticket_C Verifica non sarà corretto! Conferma verifica
Attacco 2 con cellulare malevolo C1 Ora C1 vuole replicare una vecchia conferma di richiesta avvenuta fra T e C, con l’intento di spacciarsi per C. Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C1) Richiesta di autenticazione Conferma di richiesta vecchia IDT , Conferma di richiesta vecchia Il server si accorge che il timestamp è vecchio
Attacco 1 con terminale malevolo T1 T1 cioè un terminale di pagamento malevolo vuole tentare di fingersi T con C, costruendo una richiesta di sessione, ma con l’ID di T, da mandare al server Authentication Service (AS) Terminale di pagamento (T1) Cellulare NFC (C) Richiesta di autenticazione Conferma di richiesta IDT , Conferma di richiesta Ticket_T Ticket_C T1 non può ottenere la chiave di sessione!
Attacco 2 con terminale malevolo T1 T1 torna all’attacco, però questa volta prova replicare una conversazione spiata fra T e C per fingersi T Authentication Service (AS) Terminale di pagamento (T1) Cellulare NFC (C) Richiesta di autenticazione vecchia Conferma di richiesta Richiesta di sessione vecchia Il timestamp non corrisponde all’orario attuale.
Implementazione
Prototipo Sviluppato Authentication ServIce Terminale di pagamento (Reader) Cellulare NFC (SmartMX) Polling SCardConnect Inserimento carta SCardBeginTransaction APDU (ISO 7816) CLA INS P1 P2 Lc Data Le command 0x00 0xa4 0x04 0x00 0 Len AID AID 0x00 Data sw1 sw2 response NULL 0x90 0x00 CLA INS P1 P2 Lc Data Le 0xa0 0x01 0x00 0x00 0x10 Richiesta di 0x20 autenticazione Data sw1 sw2 Conferma di richiesta 0x90 0x00 Richiesta sessione Ticket_T Ticket_C CLA INS P1 P2 Lc Data Le 0xa0 0x02 0x00 0x00 0x20 Ticket_C Verifica 0x10 Data sw1 sw2 Conferma Verifica Risultato Operazione 0x00 SCardFreeMemory SCardDisconnect SCardReleaseContext FreeMemory
Conclusioni • Consente di avere un livello di sicurezza maggiore nei pagamenti rendendoli più sicuri • Eseguendo il protocollo le entità condividono una chiave di sessione • L’esecuzione totale del protocollo impiega 0,753 s • È stato sviluppato per l’utilizzo nel contesto pagamenti NFC, ma può essere esteso ai pagamenti con carte a contatto e carte contactless, di cui il cellulare NFC è un’evoluzione. • Gli ambiti d’utilizzo possono andare oltre i pagamenti
Grazie per l’attenzione

Recommended

Next Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaNext Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment_Paolo Di RolloCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloCATTID "Sapienza"
 
SIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaSIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaCATTID "Sapienza"
 
SIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaSIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoCATTID "Sapienza"
 
040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfid040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfidVincenzo Romeo
 
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersIl nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersValue Partners
 

Recommended

Next Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaNext Stop Mobile Payment_Mariarosaria Pazzola
Next Stop Mobile Payment_Mariarosaria PazzolaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment_Paolo Di RolloCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloLa sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di Rollo
La sicurezza delle applicazioni di Mobile Payment(abstract)_Paolo Di RolloCATTID "Sapienza"
 
SIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaSIMarket_Massimo La Morgia
SIMarket_Massimo La MorgiaCATTID "Sapienza"
 
SIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaSIMarket(abstract)_Massimo La Morgia
SIMarket(abstract)_Massimo La MorgiaCATTID "Sapienza"
 
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoLa sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella Marino
La sicurezza delle applicazioni di Mobile Payment(abstract)_Antonella MarinoCATTID "Sapienza"
 
040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfid040203 ingenico italia-soluzioni rfid
040203 ingenico italia-soluzioni rfidVincenzo Romeo
 
Il nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersIl nuovo scenario dei servizi di pagamento post-PSD_Value Partners
Il nuovo scenario dei servizi di pagamento post-PSD_Value PartnersValue Partners
 
L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
Payments Evolution
Payments EvolutionPayments Evolution
Payments EvolutionEconomia dell'Innovazione
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010CATTID "Sapienza"
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpaceDotNetMarche
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzioneLisaGiansante1
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
Smau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion SpadonSmau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion SpadonSMAU
 
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoCATTID "Sapienza"
 
Pagamenti2.0
Pagamenti2.0Pagamenti2.0
Pagamenti2.0Roberto Garavaglia
 
QR Code Security
QR Code SecurityQR Code Security
QR Code SecurityAntonio Tandoi
 
CIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleCIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleAlessandro Alessandroni
 
Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012CATTID "Sapienza"
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoCATTID "Sapienza"
 
Le soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceLe soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceCompass For You
 
Mobile Payment 2014
Mobile Payment 2014Mobile Payment 2014
Mobile Payment 2014Doxa
 
Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2SMAU
 
Smau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSmau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSMAU
 
Smau milano 2013 gennaro persano
Smau milano 2013 gennaro persanoSmau milano 2013 gennaro persano
Smau milano 2013 gennaro persanoSMAU
 
Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013Bassilichi S.p.A.
 
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano SannaNFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano SannaCodemotion
 
How much is the m pos worth
How much is the m pos worthHow much is the m pos worth
How much is the m pos worthWallet-E srl
 

More Related Content

What's hot

L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntMattia De Filippis
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010CATTID "Sapienza"
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpaceDotNetMarche
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzioneLisaGiansante1
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
Smau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion SpadonSmau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion SpadonSMAU
 
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoCATTID "Sapienza"
 
Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012CATTID "Sapienza"
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoCATTID "Sapienza"
 
Le soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceLe soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceCompass For You
 

What's hot (15)

L'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era interntL'evoluzione dei sistemi di pagamento nell'era internt
L'evoluzione dei sistemi di pagamento nell'era internt
 
Report l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era interntReport l'evoluzione dei sistemi di pagamento nell'era internt
Report l'evoluzione dei sistemi di pagamento nell'era internt
 
Payments Evolution
Payments EvolutionPayments Evolution
Payments Evolution
 
Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010Mobile payments definizioni sicurezza e contesto normativo dic2010
Mobile payments definizioni sicurezza e contesto normativo dic2010
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpace
 
Cittadinanza e costituzione
Cittadinanza e costituzioneCittadinanza e costituzione
Cittadinanza e costituzione
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazione
 
Smau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion SpadonSmau Padova 2019 Giovanni Brancalion Spadon
Smau Padova 2019 Giovanni Brancalion Spadon
 
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di PagamentoBussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
Bussola sui mobile payment_1_Seminario Trasformazione Sistemi di Pagamento
 
Pagamenti2.0
Pagamenti2.0Pagamenti2.0
Pagamenti2.0
 
QR Code Security
QR Code SecurityQR Code Security
QR Code Security
 
CIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finaleCIE _10_11_2016_Alessandroni_finale
CIE _10_11_2016_Alessandroni_finale
 
Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012Mobile payments monetica febbraio2012
Mobile payments monetica febbraio2012
 
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumoI Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
I Mobile Payments tra evoluzione tecnologica e nuove forme di consumo
 
Le soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerceLe soluzioni Compass per l'e-commerce
Le soluzioni Compass per l'e-commerce
 

Viewers also liked

Mobile Payment 2014
Mobile Payment 2014Mobile Payment 2014
Mobile Payment 2014Doxa
 
Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2SMAU
 
Smau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSmau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSMAU
 
Smau milano 2013 gennaro persano
Smau milano 2013 gennaro persanoSmau milano 2013 gennaro persano
Smau milano 2013 gennaro persanoSMAU
 
Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013Bassilichi S.p.A.
 
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano SannaNFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano SannaCodemotion
 
How much is the m pos worth
How much is the m pos worthHow much is the m pos worth
How much is the m pos worthWallet-E srl
 
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...Softintime Srl
 
Alessandro Bellotti - NFC: non solo pagamenti
Alessandro Bellotti - NFC: non solo pagamentiAlessandro Bellotti - NFC: non solo pagamenti
Alessandro Bellotti - NFC: non solo pagamentiGirl Geek Dinners Milano
 
Nuove generazioni e il loro rapporto con il denaro
Nuove generazioni e il loro rapporto con il denaroNuove generazioni e il loro rapporto con il denaro
Nuove generazioni e il loro rapporto con il denaroDoxa
 
Mobile B2c Strategy 2017
Mobile B2c Strategy 2017Mobile B2c Strategy 2017
Mobile B2c Strategy 2017Doxa
 
Osservatorio internet of things 2017
Osservatorio internet of things 2017Osservatorio internet of things 2017
Osservatorio internet of things 2017Doxa
 

Viewers also liked (13)

Mobile Payment 2014
Mobile Payment 2014Mobile Payment 2014
Mobile Payment 2014
 
Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2Smau Milano 2014 RFID Global by Softwork 2
Smau Milano 2014 RFID Global by Softwork 2
 
Smau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria MedagliaSmau Roma 2011 Carlo Maria Medaglia
Smau Roma 2011 Carlo Maria Medaglia
 
Smau milano 2013 gennaro persano
Smau milano 2013 gennaro persanoSmau milano 2013 gennaro persano
Smau milano 2013 gennaro persano
 
Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013Bassilichi @ Smart City Exhibition 2013
Bassilichi @ Smart City Exhibition 2013
 
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano SannaNFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
NFC: tecnologia e applicazioni, by Emanuele Di Saverio, Stefano Sanna
 
How much is the m pos worth
How much is the m pos worthHow much is the m pos worth
How much is the m pos worth
 
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...
La Tecnologia RFID NFC per la tracciabilità e l'anticontraffazione nell'abbig...
 
Alessandro Bellotti - NFC: non solo pagamenti
Alessandro Bellotti - NFC: non solo pagamentiAlessandro Bellotti - NFC: non solo pagamenti
Alessandro Bellotti - NFC: non solo pagamenti
 
Introduzione ad NFC
Introduzione ad NFCIntroduzione ad NFC
Introduzione ad NFC
 
Nuove generazioni e il loro rapporto con il denaro
Nuove generazioni e il loro rapporto con il denaroNuove generazioni e il loro rapporto con il denaro
Nuove generazioni e il loro rapporto con il denaro
 
Mobile B2c Strategy 2017
Mobile B2c Strategy 2017Mobile B2c Strategy 2017
Mobile B2c Strategy 2017
 
Osservatorio internet of things 2017
Osservatorio internet of things 2017Osservatorio internet of things 2017
Osservatorio internet of things 2017
 

More from CATTID "Sapienza"

Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...CATTID "Sapienza"
 
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...CATTID "Sapienza"
 
Taptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiTaptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiCATTID "Sapienza"
 
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaNext stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaCATTID "Sapienza"
 
Atac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiAtac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiCATTID "Sapienza"
 
Have a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloHave a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloCATTID "Sapienza"
 
Have a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloHave a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloCATTID "Sapienza"
 
Soccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiSoccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiCATTID "Sapienza"
 
Share your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaShare your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaCATTID "Sapienza"
 
Share your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaShare your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaCATTID "Sapienza"
 
P -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniP -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniCATTID "Sapienza"
 
La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere CATTID "Sapienza"
 
CinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCATTID "Sapienza"
 
Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale CATTID "Sapienza"
 
The italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioThe italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioCATTID "Sapienza"
 
Allergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiAllergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiCATTID "Sapienza"
 
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...CATTID "Sapienza"
 

More from CATTID "Sapienza" (20)

Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
 
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
Progettazione e sviluppo di un'applicazione mobile per la qualità dell'aria a...
 
Taptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpiTaptravel(abstract)_valentina volpi
Taptravel(abstract)_valentina volpi
 
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria PazzolaNext stop Mobile Payment (abstract)_Mariarosaria Pazzola
Next stop Mobile Payment (abstract)_Mariarosaria Pazzola
 
Atac Attack_Simona Potremolesi
Atac Attack_Simona PotremolesiAtac Attack_Simona Potremolesi
Atac Attack_Simona Potremolesi
 
Have a good brain!_Elisa Bottallo
Have a good brain!_Elisa BottalloHave a good brain!_Elisa Bottallo
Have a good brain!_Elisa Bottallo
 
Have a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa BottalloHave a good brain! (abstract)_Elisa Bottallo
Have a good brain! (abstract)_Elisa Bottallo
 
Soccer mad_Chiara Conti
Soccer mad_Chiara ContiSoccer mad_Chiara Conti
Soccer mad_Chiara Conti
 
Soccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara ContiSoccer mad (abstract)_Chiara Conti
Soccer mad (abstract)_Chiara Conti
 
Share your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna LeszczynskaShare your mood (abstract)_Katarzyna Leszczynska
Share your mood (abstract)_Katarzyna Leszczynska
 
Share your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-LeszczynskaShare your mood_ Katarzyna-Leszczynska
Share your mood_ Katarzyna-Leszczynska
 
Artsonomy
ArtsonomyArtsonomy
Artsonomy
 
P Lamp
P LampP Lamp
P Lamp
 
P -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto GrixoniP -lamp_Gavino Giusto Grixoni
P -lamp_Gavino Giusto Grixoni
 
La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere La scrittura sofferente (abstract)_Stefano Cavaliere
La scrittura sofferente (abstract)_Stefano Cavaliere
 
CinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca MarraCinePresi (abstract)_Luca Marra
CinePresi (abstract)_Luca Marra
 
Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale Wiinterfaces (abstract)_ Antonio Carnevale
Wiinterfaces (abstract)_ Antonio Carnevale
 
The italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De CecioThe italian mood (abstract) _Valerio De Cecio
The italian mood (abstract) _Valerio De Cecio
 
Allergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia RosiAllergine (abstract)_ Maurizia Rosi
Allergine (abstract)_ Maurizia Rosi
 
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
AR - Learning. La Realtà Aumentata e l'apprendimento (abstract)_Valentina Cip...
 

La sicurezza delle applicazioni di Mobile Payment_Antonella Marino

  • 1. La sicurezza delle applicazioni di Mobile Payment Progettazione e implementazione di un protocollo di Mutua Autenticazione fra un cellulare con tecnologia Near Field Communication e un terminale di pagamento Antonella Marino
  • 2. Centro per le Applicazioni della Televisione e delle Tecniche di Istruzione a Distanza OBIETTIVO: Ideare e implementare un protocollo per la mutua autenticazione fra una smart card e un terminale di pagamento CONTRIBUTO: Evitare frodi da parte dei terminali di pagamento
  • 3. Sistemi di Mobile Payment DEFINIZIONE • Con il termine Mobile Payment intendiamo ogni acquisto di servizi o beni, fisici o digitali, realizzato interamente attraverso il telefono cellulare. CLASSIFICAZIONE • Remoti (Mobile Remote Payment) • Di prossimità (Mobile Proximity Payment) EVOLUZIONE DELLE CARTE DI PAGAMENTO MSC Contact Contactless NFC
  • 4. Near Field Communication (NFC) Connettività wireless: fino a 10 cm Velocità massima di trasmissione: 424 kbit/s Frequenza: 13,56 MHz Comunicazione: bidirezionale Tre modalità operative Reader / Writer Il cellulare emula una carta contactless Peer To Peer Card Emulation
  • 5. La sicurezza dei Mobile Payment con NFC Comunicazione mediante onde radio che si diffondono Contenuto potenzialmente intercettabile
  • 6. Standard EMV • Nato nel 1993 da Europay, Mastercard e Visa • Definisce tre tipi di autenticazione della smart card verso il terminale di pagamento: – Static Data Authentication – Dynamic Data Authentication – Combined Data Authentication • Stabilisce le regole che permettono alla carta e al terminale di interagire
  • 7. Mutua autenticazione fra dispositivi contactless EMV considera il terminale di pagamento sicuro a priori Un terminale di pagamento malevolo può selezionare un applet sul chip NFC ed La carta si autentica effettuare operazioni illecite attraverso un certificato digitale
  • 8. Certificati digitali per la mutua autenticazione Un certificato tipicamente include: • una chiave pubblica • dei dati identificativi • un periodo di validità • l'URL della lista dei certificati revocati (CRL) • Il tutto è firmato da una terza parte fidata Questi campi non possono essere verificati da una carta!
  • 9. Mutua autenticazione Card-Reader v.2 Basato sul protocollo di Needham-Schroeder e sui ticket di Kerberos Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C) Contiene {RT,TS} KR contro i attacchi di Il random ha la stessa 1. Richiesta di autenticazione criptoanalisi funzione di un timestamp 2. Conferma di Timestamp cifrato con la richiesta chiave segreta di T: solo T 3. Richiesta di sessione oltre ad AS ha potuto ID in chiaro, valore random e produrre il di autenticazione Richiesta messaggio cifrati con laFunzione del numero chiave segreta di 4. Ticket_T Ticket_C di T, ID di C, valore random ID C: solo AS oltre a cifrato con la casuale C può e Richiesta di autenticazione chiave di sessione, decifrare il valore random cifrati con : chiave di sessione, Ticket_C Verifica Ticket_T la chiave segreta di timestamp, ID di C. Il che T e C 5. con conferma che C conosce C: AS capisce ticket è cifrato la chiave di sessione la chiave segreta di T vogliono autenticarsi, decifra Numero casuale Ticket_C: chiave di sessione, e 6. Conferma verifica il valore random, decifra valore cifrato con la random, ID di T. Il ticket è cifrato con la controlla il timestamp. chiave di sessione chiave segreta di C
  • 10. Cifratura Non cifrare con EBC Non mettere i valori noti in blocchi iniziali
  • 11. Considerazioni • Server potente, affidabile e incorruttibile • Shared key per “firmare” • Server e reader fortemente sincronizzati • Il protocollo non permette a “entità” corrotte di effettuare delle false autenticazioni.
  • 12. Attacco 1 con cellulare malevolo C1 Una cellulare NFC malevolo C1 ha spiato l’identificativo del cellulare C, e decide di fingersi C con il terminale di pagamento. Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C1) Richiesta di autenticazione IDC {RC1 Richiesta di autenticazione} KC1 Richiesta di sessione C1 non può Ticket_T Ticket_C decifrare questi dati! Questo valore Ticket_C Verifica non sarà corretto! Conferma verifica
  • 13. Attacco 2 con cellulare malevolo C1 Ora C1 vuole replicare una vecchia conferma di richiesta avvenuta fra T e C, con l’intento di spacciarsi per C. Authentication Service (AS) Terminale di pagamento (T) Cellulare NFC (C1) Richiesta di autenticazione Conferma di richiesta vecchia IDT , Conferma di richiesta vecchia Il server si accorge che il timestamp è vecchio
  • 14. Attacco 1 con terminale malevolo T1 T1 cioè un terminale di pagamento malevolo vuole tentare di fingersi T con C, costruendo una richiesta di sessione, ma con l’ID di T, da mandare al server Authentication Service (AS) Terminale di pagamento (T1) Cellulare NFC (C) Richiesta di autenticazione Conferma di richiesta IDT , Conferma di richiesta Ticket_T Ticket_C T1 non può ottenere la chiave di sessione!
  • 15. Attacco 2 con terminale malevolo T1 T1 torna all’attacco, però questa volta prova replicare una conversazione spiata fra T e C per fingersi T Authentication Service (AS) Terminale di pagamento (T1) Cellulare NFC (C) Richiesta di autenticazione vecchia Conferma di richiesta Richiesta di sessione vecchia Il timestamp non corrisponde all’orario attuale.
  • 17. Prototipo Sviluppato Authentication ServIce Terminale di pagamento (Reader) Cellulare NFC (SmartMX) Polling SCardConnect Inserimento carta SCardBeginTransaction APDU (ISO 7816) CLA INS P1 P2 Lc Data Le command 0x00 0xa4 0x04 0x00 0 Len AID AID 0x00 Data sw1 sw2 response NULL 0x90 0x00 CLA INS P1 P2 Lc Data Le 0xa0 0x01 0x00 0x00 0x10 Richiesta di 0x20 autenticazione Data sw1 sw2 Conferma di richiesta 0x90 0x00 Richiesta sessione Ticket_T Ticket_C CLA INS P1 P2 Lc Data Le 0xa0 0x02 0x00 0x00 0x20 Ticket_C Verifica 0x10 Data sw1 sw2 Conferma Verifica Risultato Operazione 0x00 SCardFreeMemory SCardDisconnect SCardReleaseContext FreeMemory
  • 18. Conclusioni • Consente di avere un livello di sicurezza maggiore nei pagamenti rendendoli più sicuri • Eseguendo il protocollo le entità condividono una chiave di sessione • L’esecuzione totale del protocollo impiega 0,753 s • È stato sviluppato per l’utilizzo nel contesto pagamenti NFC, ma può essere esteso ai pagamenti con carte a contatto e carte contactless, di cui il cellulare NFC è un’evoluzione. • Gli ambiti d’utilizzo possono andare oltre i pagamenti