Targeta sense contacte

Una targeta intel·ligent sense contacte és una credencial sense contacte, normalment dins d'un suport de plàstic i,amb unes dimensions iguals a la mida d'una targeta de crèdit. Els seus circuits integrats encastats poden emmagatzemar (i de vegades processar) dades i comunicar-se amb un terminal mitjançant NFC. Els usos habituals inclouen bitllets de transport públic, targetes bancàries i passaports..

Targeta EZ-link per dins

Hi ha dues grans categories de targetes intel·ligents sense contacte. Les targetes de memòria contenen components d'emmagatzematge de memòria no volàtil i potser alguna lògica de seguretat específica. Les targetes intel·ligents sense contacte contenen una identificació RFID de només lectura anomenada CSN (número de sèrie de la targeta) o UID, i un microxip de targeta intel·ligent re-gravable que es pot transcriure mitjançant ones de ràdio.

Visió general

Comparació de la mida d'una fitxa en comparació amb un cèntim canadenc

Una targeta intel·ligent sense contacte es caracteritza de la manera següent:

• Les dimensions normalment són de la mida d'una targeta de crèdit. L'ID-1 de la norma ISO/IEC 7810 els defineix com a 85,60 × 53,98 × 0,76 mm (3,370 × 2,125 × 0,030 polzades).^[1]
• Conté un sistema de seguretat amb propietats resistents a manipulacions (per exemple, un criptoprocessador segur, un sistema de fitxers segur, funcions llegibles per humans) i és capaç de proporcionar serveis de seguretat (per exemple, la confidencialitat de la informació a la memòria).
• Actius gestionats mitjançant sistemes o aplicacions d'administració central que reben o intercanvien informació amb la targeta, com ara la inclusió a la llista de targetes preferides i les actualitzacions de les dades de l'aplicació.
• Les dades de la targeta es transfereixen per ones de ràdio al sistema d'administració central a través de dispositius de lectura i escriptura de targetes, com ara dispositius de punt de venda, lectors de control d'accés a portes, lectors de tiquets, caixers automàtics, lectors d'escriptori connectats per USB, etc.

Beneficis

Les targetes intel·ligents sense contacte es poden utilitzar per a la identificació, l'autenticació i l'emmagatzematge de dades.^[2] També proporcionen un mitjà per efectuar transaccions comercials de manera flexible, segura i estàndard amb una mínima intervenció humana.

Història

Les targetes intel·ligents sense contacte es van utilitzar per primera vegada per a la venda de bitllets electrònics el 1995 a Seül, Corea del Sud.^[3][4]

Des de llavors, les targetes intel·ligents amb interfícies sense contacte han estat cada cop més populars per a aplicacions de pagament i venda de bitllets, com ara el transport públic. A nivell mundial, el cobrament de tarifes sense contacte s'està utilitzant per augmentar l'eficiència en el transport públic. Els diversos estàndards emergents tenen un enfocament local i no són compatibles, tot i que la targeta MIFARE Classic de Philips té una gran quota de mercat als Estats Units i Europa.

En temps més recents, Visa i MasterCard han acordat estàndards per a pagaments generals de "bucle obert" a les seves xarxes, amb milions de targetes desplegades als EUA,^[5] a Europa i arreu del món.

Les targetes intel·ligents s'estan introduint en els esquemes d'identificació personal i drets a nivell regional, nacional i internacional. Les targetes de ciutadania, els permisos de conduir i els sistemes de targetes per a pacients són cada cop més freqüents. A Malàisia, el sistema nacional d'identificació obligatori MyKad inclou 8 aplicacions diferents i està implementat per a 18 milions d'usuaris. Les targetes intel·ligents sense contacte s'estan integrant als passaports biomètrics de l'OACI per millorar la seguretat dels viatges internacionals.

Amb la pandèmia de la COVID-19, la demanda i l'ús de targetes de crèdit i dèbit sense contacte han augmentat, tot i que les monedes i els bitllets són generalment segurs i, per tant, aquesta tecnologia no reduirà la propagació del virus.

Lectors

Els lectors de targetes intel·ligents sense contacte utilitzen ones de ràdio per comunicar-se amb una targeta intel·ligent, i tant llegir com escriure dades en ella. Quan s'utilitzen per a pagaments electrònics, normalment es troben a prop de codis PIN, caixes registradores i altres llocs de pagament. Quan els lectors s'utilitzen per al transport públic, normalment es col·loquen en taquilles, màquines expenedores de bitllets, torniquets i andanes d'estacions com a unitat independent. Quan s'utilitzen per a la seguretat, els lectors solen estar situats al costat d'una porta d'entrada.

• 
  Novosibirsk (Rússia). Terminal de cobrament de bitllets de transport CFT
• 
  Targeta intel·ligent que s'utilitza per pagar el transport públic a la zona de Hèlsinki
• 
  Una màquina de bitllets electrònica que s'utilitza per llegir targetes de prepagament i emetre bitllets a Mumbai

Tecnologia

Esquema de la targeta intel·ligent RF

Una targeta intel·ligent sense contacte és una targeta en què el xip es comunica amb el lector de targetes mitjançant una tecnologia d'inducció similar a la d'una RFID (a velocitats de dades de 106 a 848 kbit/s). Aquestes targetes només requereixen estar a prop d'una antena per completar una transacció. Sovint s'utilitzen quan les transaccions s'han de processar ràpidament o amb les mans lliures, com ara en els sistemes de transport públic, on es pot utilitzar una targeta intel·ligent sense ni tan sols treure-la de la cartera.

L'estàndard per a les comunicacions amb targetes intel·ligents sense contacte és la norma ISO/IEC 14443. Defineix dos tipus de targetes sense contacte ("A" i "B")^[6] i permet comunicacions a distàncies de fins a 10 cm (3.9 in). Hi havia hagut propostes per a la norma ISO/IEC 14443 tipus C, D, E, F i G que han estat rebutjades per l'Organització Internacional per a l'Estandardització. Un estàndard alternatiu per a targetes intel·ligents sense contacte és l'ISO/IEC 15693, que permet comunicacions a distàncies de fins a 50 cm (1.6 ft) .

Exemples de targetes intel·ligents sense contacte àmpliament utilitzades són la Upass de Seül (1996), la targeta Touch 'n Go de Malàisia (1997), la targeta Octopus de Hong Kong, la targeta de transport públic de Xangai (1999), la targeta Navigo de París, la targeta Suica de Japan Rail (2001), l'EZ-Link de Singapur, la EasyCard de Taiwan, la targeta Clipper de la zona de la badia de San Francisco (2002), la targeta Oyster de Londres, la targeta d'administració municipal i comunicacions de Pequín (2003), la T-money de Corea del Sud, la targeta Presto del sud d'Ontario, la targeta More de l'Índia, la targeta Rav-Kav d'Israel (2008), la targeta Myki de Melbourne i la targeta Opal de Sydney, que són anteriors a l'estàndard ISO/IEC 14443. Les taules següents enumeren les targetes intel·ligents utilitzades per al transport públic i altres aplicacions de moneders electrònics.

Una tecnologia sense contacte relacionada és la RFID (identificació per radiofreqüència). En certs casos, es pot utilitzar per a aplicacions similars a les de les targetes intel·ligents sense contacte, com ara el cobrament electrònic de peatges. Els dispositius RFID normalment no inclouen memòria escrivible ni capacitat de processament de microcontroladors com solen fer les targetes intel·ligents sense contacte.

Hi ha targetes de doble interfície que implementen interfícies sense contacte i de contacte en una sola targeta amb emmagatzematge i processament compartits. Un exemple és la targeta de transport multiaplicació de Porto, anomenada Andante, que utilitza un xip en mode de contacte i sense contacte (ISO/IEC 14443 tipus B).

Igual que les targetes intel·ligents amb contactes, les targetes sense contacte no tenen bateria. En comptes d'això, utilitzen un inductor integrat, utilitzant el principi de l'acoblament inductiu ressonant, per capturar part del senyal electromagnètic incident, rectificar- lo i utilitzar-lo per alimentar l'electrònica de la targeta.

Protocols de comunicació

Protocols de comunicació

Nom	Descripció
ISO/IEC 14443	Transmissió APDU mitjançant el protocol definit a ISO/IEC 14443-4[7]

Aplicacions

Transport

La incrustació de plàstic (dreta) que conté el circuit integrat i l'antena dins de la targeta intel·ligent sense contacte de paper utilitzada en el transport públic de Singapur (esquerra)^[8]

Des que es va començar a utilitzar la Targeta de Transport de Seül, nombroses ciutats han introduït targetes intel·ligents sense contacte com a mitjà de pagament en un sistema automatitzat de cobrament de tarifes.

En diversos casos, aquestes targetes inclouen una cartera electrònica, així com productes de tarifació, i es poden utilitzar per a pagaments de baix valor.

Targetes bancàries sense contacte

A partir del 2005, una aplicació important de la tecnologia ha estat el pagament sense contacte amb targetes de crèdit i dèbit. Alguns exemples importants inclouen:

• ExpressPay – American Express
• MasterCard Contactless (anteriorment PayPass) – MasterCard
• Visa Contactless (anteriorment payWave) – Visa
• QuickPass – UnionPay
• JCB Contactless (anteriorment J/Speedy), QUICPay (no compatible amb EMV Contactless / ISO/IEC 14443 ) – JCB
• RuPay sense contacte - RuPay
• Codi postal – Descobreix

Els desplegaments van començar el 2005 als Estats Units i el 2006 en algunes parts d'Europa i Àsia (Singapur).^[9] Als EUA, les transaccions sense contacte (sense PIN ) cobreixen un rang de pagament d'entre 5 i 100 dòlars.

En general, hi ha dues classes de targetes bancàries sense contacte: les de banda magnètica (MSD) i les EMV sense contacte.

Les targetes MSD sense contacte són similars a les targetes de banda magnètica pel que fa a les dades que comparteixen a través de la interfície sense contacte. Només es distribueixen als EUA. El pagament es produeix de manera similar a la banda magnètica, sense PIN i sovint en mode fora de línia (segons els paràmetres del terminal). El nivell de seguretat d'aquesta transacció és millor que el d'una targeta de banda magnètica, ja que el xip genera criptogràficament un codi que pot ser verificat pels sistemes de l'emissor de la targeta.

Les targetes EMV sense contacte tenen dues interfícies (contacte i sense contacte) i funcionen com una targeta EMV normal a través de la seva interfície de contacte. La interfície sense contacte proporciona dades similars a una transacció EMV de contacte, però normalment un subconjunt de les capacitats (per exemple, normalment els emissors no permeten que els saldos s'augmentin a través de la interfície sense contacte, sinó que requereixen que la targeta s'insereixi en un dispositiu que utilitzi la interfície de contacte). Les targetes EMV poden portar un "saldo fora de línia" emmagatzemat al seu xip, similar a la cartera electrònica o "moneda" a la qual estan acostumats els usuaris de targetes intel·ligents de transport públic.

Identificació

Una aplicació en ràpid creixement són les targetes d'identificació digitals. En aquesta aplicació, les targetes s'utilitzen per a l'autenticació de la identitat. L'exemple més comú és en conjunció amb una PKI. La targeta intel·ligent emmagatzemarà un certificat digital xifrat emès per la PKI juntament amb qualsevol altra informació rellevant o necessària sobre el titular de la targeta. Alguns exemples són la Targeta d'Accés Comú (CAC) del Departament de Defensa dels Estats Units (DoD) i l'ús de diverses targetes intel·ligents per part de molts governs com a targetes d'identificació per als seus ciutadans. Quan es combinen amb la biometria, les targetes intel·ligents poden proporcionar autenticació de dos o tres factors. Les targetes intel·ligents no sempre són una tecnologia que millori la privadesa, ja que el subjecte porta informació possiblement incriminatòria sobre ell tot el temps. Mitjançant l'ús de targetes intel·ligents sense contacte, que es poden llegir sense haver de treure la targeta de la cartera o fins i tot de la peça de roba que porta, es pot afegir encara més valor d'autenticació al portador humà de les targetes.

Altres

El govern de Malàisia utilitza la tecnologia de targetes intel·ligents en els documents d'identitat que porten tots els ciutadans de Malàisia i els no ciutadans residents. La informació personal que hi ha dins de la targeta intel·ligent (anomenada MyKad ) es pot llegir mitjançant ordres APDU especials.^[10]

Seguretat

Les targetes intel·ligents s'han anunciat com a adequades per a tasques d'identificació personal, ja que estan dissenyades per ser resistents a les manipulacions . El xip integrat d'una targeta intel·ligent normalment implementa algun algoritme criptogràfic. No obstant això, hi ha diversos mètodes per recuperar part de l'estat intern de l'algoritme.

Anàlisi de potència diferencial

Article principal: Anàlisi de potència

L'anàlisi de potència diferencial^[11] implica mesurar el temps i el corrent elèctric precisos  necessari per a certes operacions de xifratge o desxifratge. Això s'utilitza més sovint contra algoritmes de clau pública com ara RSA per tal de deduir la clau privada del xip, tot i que algunes implementacions de xifrats simètrics també poden ser vulnerables a atacs de sincronització o de potència.

Desmuntatge físic

Les targetes intel·ligents es poden desmuntar físicament mitjançant àcid, abrasius o alguna altra tècnica per obtenir accés directe i sense restriccions al microprocessador integrat. Tot i que aquestes tècniques impliquen, òbviament, un risc força alt de danys permanents al xip, permeten extreure informació molt més detallada (per exemple, microfotografies de maquinari de xifratge).

Espionatge de la comunicació NFC

Distància curta (≈10 cm. o 4″) es requereix per subministrar energia. La radiofreqüència, però, es pot espiar a diversos metres un cop engegada.^[12]

Punts a tenir en compte

Taxa de fracàs

La targeta de plàstic en què està incrustat el xip és força flexible, i com més gran sigui el xip, més alta serà la probabilitat que es trenqui. Les targetes intel·ligents sovint es porten a la cartera o a la butxaca, un entorn força dur per a un xip. No obstant això, per a grans sistemes bancaris, el cost de la gestió de fallades pot ser més que compensat per la reducció del frau. Es pot utilitzar una carcassa de targeta com a alternativa per ajudar a evitar que la targeta intel·ligent falli.

Privacitat

L'ús d'una targeta intel·ligent per al transport públic presenta un risc per a la privadesa, ja que aquest sistema permet a l'operador de transport públic, als bancs i a les autoritats rastrejar el moviment de les persones. El mateix argument es pot fer per als bancs que fan un seguiment dels pagaments minoristes. Aquesta informació es va utilitzar en la investigació de l' atemptat de Myyrmanni .

Robatori i frau

La tecnologia sense contacte no impedeix necessàriament l'ús d'un PIN per a l'autenticació de l'usuari, però és habitual que les transaccions de baix valor (compra amb targeta de crèdit o dèbit bancària o pagament de bitllets de transport públic) no requereixin un PIN. Això pot fer que sigui més probable que aquestes targetes siguin robades o utilitzades fraudulentament per la persona que ha trobat la targeta perduda d'una altra persona.

Ús a l'estranger

Les xarxes de dades internes transmeten ràpidament informació entre terminals i sistemes de banca central, de manera que es poden monitorar i gestionar els límits de pagament sense contacte. Això pot no ser possible amb l'ús d'aquestes targetes a l'estranger.

Detecció de múltiples targetes

Quan dues o més targetes sense contacte es troben molt a prop, el sistema pot tenir dificultats per determinar quina targeta s'ha d'utilitzar. El lector de targetes pot carregar la targeta incorrecta o rebutjar-les totes dues.^[13] Generalment, això només és un problema quan un proveïdor de serveis utilitza una targeta de pagament per facilitar l'accés; per exemple, una cartera que conté una targeta d'accés a l'aparcament, una targeta d'entrada a un edifici d'apartaments i diverses targetes de pagament sense contacte normalment es poden utilitzar per entrar a un aparcament o el que sigui; el sistema d'entrada a l'aparcament pot detectar la seva pròpia targeta a la cartera i obrir la barrera. En una botiga minorista, però, és recomanable treure la targeta sense contacte individual de la cartera quan es fa un pagament. Com a mínim, això dona al titular de la targeta l'oportunitat de comunicar quina targeta vol utilitzar per fer el pagament. És un problema de la targeta que identifica una subscripció -v- pagament per transacció.