 imagine you are at the check out at the supermarket and you take your cash card you got something like 35 years to pay Ich stelle euch vor, ihr seid im Supermarkt und wollt was bezahlen zum Beispiel für 35 Euro und ihr legt eure Karte auf das Terminal es piept und es funktioniert, aber wie funktioniert diese Neofield Was geschieht auf den Protokollleveln? Die Antworten hörte gleich von Simon Eumes Das ist ein Mitgründer von PayWorks, eine Firma die sich auf Zahlungsterminals spezialisiert Simon hat Informatik studiert in München, in San Francisco und in Los Angeles Also lasst den Herzlich Willkommen für seinen Talk Kontaktlose Zahlungen dekodiert Vielen Dank, große Menge, herzlich Willkommen, vielen Dank, dass ihr alle gekommen seid Heute möchte ich über Kontaktlose Zahlungen reden und wie wir vom reinsteckende Karte zu Tapping anfassen einer Karte und am Ende sogar nur anfassen eines Smartphones kommen Ich werde keine Sicherheitsrisiken exposen, freistellen, aber ich werde stattdessen auf den aktuellen Status fokussieren Wie funktioniert eine Kontaktlose Zahlungstransaktion? Wie funktioniert Apple Pay? Wie funktioniert Android Pay? Und was gibt es noch? Warum funktioniert es nicht, dass ich meine Karte auf mein Handy klonen kann? Weil der Chip soll das eigentlich verhindern Nur für einen kleinen Überblick und Hintergrund, woher das kommt Ich arbeite bei Paybox, wo wir so ein Gateway betreiben und wir entwickeln Werkzeuge um solche Zahlungstransaktions Software einfach zu integrieren und dabei bin ich verantwortlich, neue Terminals einzubinden und passendste Motto des Kongress Tubaht, möchte ich jetzt was tun und euch sagen, was ich dabei gelernt habe Also legen wir los Wahrscheinlich hat jeder hier im Raum schon mal Kontaktlose Zahlungen mitbekommen oder sogar benutzt In Deutschland ist die Adoptionsrate leider ziemlich gering Normalerweise kriegt man eine neue Karte irgendwann von seiner Bank und selbst wenn man die Karte hat, braucht man erstmal so ein Terminal, was fähig ist, das zu verstehen Normalerweise guckt ein der Kassierer dann an und fragt sich was da los ist Manchmal funktioniert, man kriegt seine Sachen, aber es sind immer Überraschungen Was wir uns heute anschauen, ist erstmal, wie so der Aufbau von einer Kontaktlose Zahlung Dann schauen wir an, wie man das eigene Smartphone verwenden kann, um eine Karte zu simulieren Da möchte ich auch darüber reden, wie man Zahlungen sicherer gestalten kann oder auch generell im e-commerce Bereich Und dann haben wir eigentlich schon alle Informationen, um uns Apple Pay und Android Pay anzuschauen Und am Ende möchte ich noch kurz einen Ausblick geben, wie ich mir vorstelle, was die nächsten Schritte sind in der Entwicklung der Kontaktlosen Zahlungen Also gucken wir uns die Kontaktlosen Zahlungen an, das ist eine recht neue Technologie Ich war State of the Art, aber trotzdem ist es relativ neu Und die Workflows und die Abläufe vom chipbasierten Zahlen wird eigentlich nur auf das Kontaktlose übertragen und das war es schon Also ich werde nicht in zu großes Detail einstechen, das war das 26. CCC Da hatte sich solche Zahlungen angeschaut und auf dem niedrigsten Level der Protokolle nachgeforscht, was für Elemente da involviert sind Für uns ist es wichtig, uns anzuschauen, wer da alles beteiligt ist in so einer Transaktion Das ist nicht nur so bei einer Kontaktlosen Transaktion, sondern auch bei Chipkarten Transaktion Da sind immer die gleichen Leute beteiligt Also du hast natürlich dich selbst, der was kaufen möchte, mit einer Kreditkarte Die Karte wurde links unten, die von der Bank überreicht Und das wird die Ausstelle genannt, weil die Bank dir die Karte ausgestellt hat Und der Händler, der hat einen Laden und der möchte Kreditkartenzahlungen empfangen Aber nur das Terminal zu haben, das bringt ihm noch nichts Er braucht auch einen Händler-Account in seiner eigenen Bank, wo das ganze Geld dann drauf kommt Und das nennt wir hier den Erwerber Also wir haben die zwei Seiten und die beiden Seiten müssen zusammengebracht werden Also wir wissen, was wir nutzen, ist ein Netzwerk, Bezahlungsnetzwerke Z.B. Visa, Mastercard, American Express, welches eben gibt Und die verbinden die Ausstelle und die Händler Als wir wissen, wer da eigentlich beteiligt ist, gucken wir uns mal an, was für Schritte man durchläuft Bevor man so eine Transaktion machen kann, braucht man natürlich die Karte Also das ist der Kartenausstellungsprozess Und der Händler braucht natürlich auch sein Terminal, wo das angemeldet wird, konfiguriert wird, installiert wird Und es wird eingestellt, welche Karten akzeptiert werden dürfen Und jetzt sind wir in einem Punkt, wo wir wirklich eine Transaktion machen möchten Und das geht in drei Phasen voran Also erstmal hält man seine Karte dahin, dann macht das Terminal selber was Guckt, ob das alles in Ordnung ist, evaluiert es Und danach wird es online gehen und im Netzwerk zu dem Aussteller in der Karte reden Und schauen, ob du genug Geld dafür hast Und wenn das okay ist und alles in Ordnung ist, dann wird die Zahlung genehmigt Wenn man noch einen separaten Teil, der aber für uns nicht so wichtig ist Nämlich die Auflösung der Zahlung, also dass am Ende des Geld übertragen wird Aber das ist für uns nicht relevant Also stelle dich mal vor, ihr lauft in einen Laden und zahlt mit eurer Karte Und der Betrag wird euch im Terminal angezeigt Und du als Käufer hebst deine Karte auf das Terminal Und in dieser Phase merkt ihr das Terminal okay, ich habe eine Kontakte aus der Karte Und weiß ungefähr, was das für eine Karte ist, ist eine Visa-Karte, Master-Karte Was sonst was Zuerst, bevor er weitermacht Aktiviert er einen speziellen Kernel Ein Kernel, das ist eine Implementierung von einem Payment Workflow Also zum Beispiel hat Visa einen anderen Ablauf, wie mit der Karte gesprochen wird, als Master-Karte Das war alles viel einfacher bei einer Chip-Transaktion, weil es nur ein Kernel war Mittlerweile haben wir sieben oder acht Kernel und jeder hat eben seine eigene Funktionen Nachdem der Kernel geladen wurde, handelt der Kernel die Transaktion Also die Kommunikation zwischen der Karte und dem Terminal Jetzt kommt der nächste Schritt, wo das Terminal die Karte fragt, nach einigen Daten, die es dafür braucht Zum Beispiel die Account-Daten, wie Ablaufdatum, ID Das ist wichtig, um es nachher der Bank zu sagen Weiterhin kriegt man eine Signatur, die jedes Mal generiert werden Und das erlaubt dem Terminal zu überprüfen, ob das eine echte Zahlungskarte ist Und die Karte erzeugt aber auch einen Kryptogramm, also einen kryptografischen Hash Was nachher dem Aussteller erlaubt zu überprüfen, ob die Transaktion jetzt gerade aktuell ist Und man nicht einfach nur eine alte wieder zahlen möchte Danach kann man jetzt die Karte wegnehmen Und das ist schon der große Unterschied Bei einer Kontakttransaktion muss die Karte so lange drin stecken, bis die Transaktion fertig ist Und hier kannst du sie schon wegnehmen Und du tust sie nicht aus, versehen, halb rausziehen und das wird abgebrochen und so weiter Also es ist viel angenehmer zu nutzen Das nächste, was wir uns angucken, ist, was einem Terminal passiert An dieser Stelle macht nur das Terminal irgendwas Wir gucken als erstes an, ob diese Karte vielleicht gar nicht angenommen werden soll an dieser Stelle Zum Beispiel, weil die Karte nur in einem ganz bestimmten Heimatland sein soll Aber es könnte auch sein, dass es eine Karte ist, die nur an einem Geldautomaten funktionieren soll Und nicht bei Händlern verstehen soll und solche funktionieren sollen Und sowas müssen wir eben zuerst ausschließen Im nächsten Schritt verifiziert der Terminal die Authentität der Karte Dafür gibt es eine öffentliche Schlüsselausdauschinfrastruktur mit einem Schüssel-Gut-Zertifikat Und darunter haben wir eine Certifying Authority vom Herausteller der Karte Und dann gibt es natürlich Zertifikate, die auf der Karte drauf sind, selber drauf sind Und wenn wir Daten lesen, wenn wir diese signierten Daten bekommen Und öffentliche Schlüsselinfrastruktur benutzen, kann das Terminal gucken, ob die Zertifikate, die von der Karte erstellt wurden, sind Ob das von einer Identität erzeugt wurde, die irgendwann mal unterschrieben wurde, also signiert wurde Und dann gibt es natürlich als Letztes die Verifikation des Kunden Wenn man in den Supermarkt geht, dann fragt man manchmal nach einer Unterschrift oder einem Pin Wenn man Kontaktlos bezahlt, dann unter einer gewissen Schwelle muss man das nicht machen Aber man geht trotzdem durch diese Phase durch Sehr wahrscheinlich, insbesondere bei zahnungslosen Sachen Sollte man eigentlich nochmal online gehen und gucken, ob es diesen Account wirklich gibt Und ob da auch das Geld drauf ist, was ich von ihnen bekomme Und dann fängt das Terminal an, eine Reihe von Transaktionen und Hubs zu machen Zum Beispiel die Accountdaten zu schicken und das Kryptogramm an die tatsächliche Bank, die das Geld anfragt Und die anfragende Bank schickt es dann an das globale Payment-Bezahlungsnetzwerk Und aufgrund der Nummer auf der Kreditkarte kann man den tatsächlichen Hersteller finden Und dann kriegt der Aussteller sozusagen diese Daten und das Kryptogramm Und kann dann verifizieren, dass das eine tatsächliche Transaktion gemacht von der Karte, die er ausgestellt hat Und dann kann er überprüfen, ob das Geld tatsächlich da ist und kann hoffentlich die Transaktion bestätigen Und dann geht es natürlich vom unteren Ende zurück zum Terminal als erfolgreich angenommen Und du kannst dein Zeug bekommen und den Laden verlassen Okay, das ist ungefähr was an einer ganzen Transaktion passiert als Einheit Jetzt rede ich ein bisschen über die Daten, die da ausgetauscht werden Ich denke, das ist sehr interessant, um zu sehen, was da auf deiner Kreditkarte drauf gespeichert wird Zum Beispiel, also ich kann euch wieder diesen Talk von vorhin empfehlen, da gibt es weitere Informationen Aber was du im Wesentlich kriegst, sind Account-Informationen Zum Beispiel die Kreditkartennummer, die Account-Nummer Man kriegt auch noch ein anderes Daten-Element, was normalerweise da drauf sein würde Wenn man normale Netzwerke hat, es gibt nämlich auch noch Netzwerke, die nur diese Sachen übertragen Und damit es sozusagen abwärtskompetibel ist, gibt es das immer noch Außerdem kriegt man auch das Ablaufdatum Man kriegt Verifikationsinformationen auf der Karte, welche Verifikationsmöglichkeiten sollen unterstützt werden Hat das Terminal einen Pin-Pad, werden wir Unterschriften akzeptieren, sowas halt Und dann kriegt man auch noch eine Referenz auf die Certified Authority des Karten-PKI Man kriegt den öffentlichen Schlüssel der Karte selbst und die signierten Daten, ob die Transaktion gültig ist Man hat auch noch andere Daten neben den Karten-Informationen Man kriegt Geld und Menge, was man da zahlungshöhe Das ist natürlich sehr wichtige Informationen in der Transaktion Und dann gibt es noch Datum und Uhrzeit und das Kryptogramm, was dem Ausstelle der Karte erlaubt zu verifizieren, dass es tatsächlich ein Inhaber dieser Karte war Und das wird alles in einer Transaktion genutzt Das Format, das Protokoll, was genutzt wird für die Kommunikation zwischen der Karte und dem Terminal ist ISO 7, 8, 1, 6 Das spricht normalerweise zwischen Kartenbläser, jeden Kartenbläser und einer der Chipkarte Und die Payload ist ISO 8583, da kann man sozusagen noch mehr oder weniger Daten dazu machen Und wir werden dann gleich nochmal über die Kommunikation zwischen dem Terminal und dem Erwerber oder Einheiten danach sprechen Das sind dann meistens die ISO 8583, Entschuldigung, ich habe mich vorhin vermarktet Das ist ein Bitmap-basiertes Format Da gibt es ganz seltsame Bitmap-Kombinationen und es macht wirklich keinen Spaß, das auseinanderzunehmen Wenn man da eine gültige Nachricht schicken möchte, das rettet einem Schmerzen Okay, wenn wir das vergleichen, näher fehlt Kommunikation mit dem üblichen ICC Warum soll ich das machen, was ist der Vorteil? Normalerweise hat man viel schneller an Transaktionszeiten Es gibt Zeitgrenzen, wie schnell eine Karte in einem Terminal interagieren muss in der ersten Interaktionsphase Also kannst dann die Karte sofort danach wegnehmen und das geht mir normalerweise innerhalb von einer Sekunde Man kriegt außerdem noch Vorteile bezüglich der Verifikationsmethoden und Limit-Krenzen Sie haben neu entdeckt, was wir schon kannten, ein No-CVM Also man muss keine Unterschrift oder PIN nachweisen, wenn das unter einer gewissen Summe bleibt Am Ende war es wahrscheinlich einfach dazu eingeführt, dass es für dich als Kunde einfacher wird, diese kontaktlose Zahlung zu benutzen Aber wir haben natürlich die Abwärtskompallibilität und deswegen müssen wir zwei Operationsmodi vorhalten Also wir haben die EMV-Methode, die sozusagen ICC upgraded, dass wir NFC benutzen können Und dann gibt es noch die Sachen, die wir aus der alten Tage in den Staaten kennen und in anderen Ländern Dort werden andere Informationen übertragen Also jetzt haben wir gesehen, wie eine kontaktlose Zahlung gemacht wird, welche Schritte durchgangen werden, was wir dafür brauchen an Daten Jetzt wollen wir darüber reden, wie wir wirklich ein Handy, eine Karte simulieren lassen Nicht jeder sollte einfach in der Lage sein, das zu machen Ich will nur meine Karte auf meinem Handy haben und es war es Und es gibt zwei verschiedene Arten, wie man das machen kann Die erste davon ist das Securelement, ein sicheres Bauteil Das ist ein Endclave, ein Trissur, die einmal die Informationen bekommt und nur verifiziert herausgibt Und eine normale Karte ist eigentlich ein Securelement Aber heutzutage haben wir auch Handys mit sowas Also wenn wir uns für das anschauen mit Securelements Was muss er tun, um dem Sicherheits-Element die Informationen zu geben? Der Smartphone, mit diesem Securelement, was irgendwann diese Informationen bekommt, das braucht, um diese Karte zu emulieren Wir haben diesen sogenannten Trusted Service Manager, also den vertrauenswürdigen Serviceverwalter Und das ist auch eine Einheit, die normalerweise deine Karte initialisiert Und es besitzt die ganzen Keys, mit denen man diese Trissur verwalten kann Und diese Entität ist diesmal auch wieder zu deinem Handy verlinkt Und hat die Möglichkeit da Informationen reinzuladen In der Vergangenheit haben wir schon gesehen, dass SIM-Karten solche Securelements haben Und da war aber dein Netzwerkverwalter, dein ISP, dieser Trusted Service Manager Jetzt haben wir neuen Versuchen mit dem Handy, mit einem Teilnehmer, diesem Trusted Service Manager Und davon gibt es aber nicht nur einen, sondern es gibt einige Und der, der dein Handy initialisiert ist, nicht unbedingt der gleiche, der auch deine Kreditkarte initialisiert Wie es normalerweise der Fall gewesen wäre Das sind eben die beiden Spiele, die hier wichtig sind Wenn wir uns anschauen, wie man die Daten in das Sicherheitselement reinbekommt Also wenn du eine Transaktion machen möchtest, dann musst du schon davor drin haben Aber die meisten von euch haben wahrscheinlich schon eine Karte Also das hier passiert vor der ersten Transaktion Und danach kannst du so viel machen, wie du möchtest Und dann können wir uns anschauen, wie das abläuft Also das so, dass du als Benutzer deine Kreditkartenummer ins Smartphone eingibst Oder ins QR-Code abliest Und die App auf deinem Smartphone redet dann mit dem Trusted Service Manager Kriegt die Information, hey ich möchte jetzt mein Handy mit dieser Karte ausstatten Und der Trusted Service Manager hat eine Verbindung zu deiner ausstellenden Bank Also du sagst dann, ich möchte meine Karte zu diesem speziellen Handy hinzufügen Und das erste, was der Ausgeber dann macht, ist erredet mit dir als dem Besitzer der Karte Und fragt, hey da möchte jemand deine Karte verwenden Auf dein Handy, bist es wirklich du, willst du das machen, ist okay Und solange du nix machst, also du musst es wirklich bestätigen, passiert erst mal nichts Und wenn du es beschädigst, dann kriegt der Trusted Service Manager diese kryptografischen Schlüssel Die dann in das Sicherheitselement eingefügt werden, was dann in deinem Handy geschieht Und von dann an kann dein Handy diese Karte emulieren Und damit eine Transaktion ausführen an einem kontaktlosen Kreditkart Am Anfang habe ich über Cloning geredet, aber das ist nicht wirklich das Gleiche Was wir eigentlich machen, ist wir erzeugende weitere Karte, die diesem Sicherheitselement hinzugefügt wird Und dieses Sicherheitselement muss unterscheiden, das Terminal muss unterscheiden Machen wir eine Transaktion mit der Karte oder mit dem Handy, dass wie diese Information bestückt ist Und jetzt haben wir auch noch ein Handy im Spiel, nicht nur die dumme Karte, sondern diese schwarze Magie in der Hand Das hat auch andere Sensoren, zum Beispiel die Metrische Und auch die richtige Person hoffentlich, die das Smartphone benutzt Also hat man quasi eine weitere Verifikationsmethode hinzugefügt Also die On-Device, also auf dem Gerät Verifikation Und die von euch, die schon mal Apple Pay benutzt haben Das ist der Moment, wenn du deinen Home-Button mit deinem Finger begrüßen musst, um deinen Fingerabdruck zu lesen Das ist quasi eine Sicherheitsmaßnahme von dem Gerät, dass die richtige Person das Handy benutzt Wenn wir über die Daten reden, die in dem Securelement sind Dann ist es quasi das gleiche, als wärst du, also das Handy, eine NFC-Karte, eine Chipkarte, die von deiner Bank auskändigt wurde Aber das Wichtigste enthält es auch symmetrische und asymmetrische Kies, die benötigt werden, um diese signierten Daten und Kryptogramme zu erstellen Das ist der Teil, der den gleichen Sicherheitslevel herstellt, wie wenn man eine Karte verwenden würde Das bringt dich auf den gleichen Sicherheitslevel, weil es die gleiche Verifikationsmethoden benutzt Also sowohl auf dem Terminal als auch auf dem Bank-Ebene Das ist eine Möglichkeit, wie man das machen kann Aber nicht jeder hat ein Smartphone mit einem Sicherheits-Element in sich, was auch noch von allen Herstellern, Ausstellern unterstützt wird, vertraut wird Und deswegen gibt es noch eine andere Möglichkeit, um ein Smartphone in die Lage zu versetzen, als Karten-Provider zu agieren Und das heißt Host-Karte-Emulation Wir haben also irgendein Smartphone auf der einen Seite Also es muss natürlich ein Nahfit-Kommunikation haben, also NFC, aber ansonsten keine weiteren Anforderungen Und dann das traditionelle Bezahlungsnetzwerk Und die Ausstelle dahinter Was hier passiert ist, dass dein Telefon nicht länger diese kriptografischen, die gültigen kriptografischen Keys-Schlüssel bekommt, sondern nur noch einmal Schlüssel bekommt Also im Prinzip ein buchvoller Schlüssel, die man dann für ein paar Transaktionen benutzen kann Aber die man dann nicht für wiederholte Transaktionen benutzen kann Wie mit dem Sicherheits-Element möchte man eine Transaktion machen, mit diesen neuen Informationen, die angeboten wurden Also diese Host-Karte-Emulation muss natürlich stattfinden, bevor die Transaktion stattfindet Und im Gegensatz zum Sicherheits-Element bekommt man aber nur Informationen, die man ein paar Mal benutzen kann Also man braucht eine dauerhafte Netzwerktransaktion, um immer wieder Transaktionen auszuführen So sieht das am Ende aus, man gibt die Kreditkarteninformationen das Handy ein, man kann sie scannen oder man tippt sie ein, wie auch immer Das geht direkt an die Zahlungsnetzwerke, da gibt es keinen vertrauenswürdigen Service-Manager mehr da Und dann, abhängig von der Möglichkeit die man benutzt, wird entweder das Bezahlungsnetzwerk selber diese Einmal-Schlüssel generieren Die diese Zahlung ermöglichen oder sie fragen, schicken das weiter an den Hersteller der Karte Und die generieren dann diese Einmal-Schlüssel, diese begrenzten Schlüssel Und die werden dann wieder nach oben durchgegeben bis zu deinem Telefon Aber die Daten, die du erhältst, sind nicht wirklich in einem Sicherheits-Element gespeichert, sondern in den Anwendungsdaten deiner Anwendung Also wenn man die beiden Methoden miteinander funktioniert, hce, also hce gegenüber se, dann sieht man einen Vorteil von hce Man braucht kein wirklich sicheres Umgebung, aber wenn du es hast, kannst du es trotzdem benutzen Also man kann auch zum Beispiel seine einmaligen Schlüssel in dieser Sicherheitsumgebung packen Man bekommt aber natürlich nur ein paar Schlüssel, die man sozusagen in der App gespeichert hat, die man dann immer mal wieder erneuern muss Und das ist dann auch der Haken Was passiert eigentlich, wenn dein Telefon keinen Empfang hat und du möchtest ein paar Transaktionen machen Wenn du deine begrenzte Anzahl von Schlüsseln verwendet hast, um Kryptogramme für Transaktionen zu zeigen, dann hast du keine Schlüssel mehr Also du musst zumindest immer mal wieder ein Netzwerk-Connect-Verbindung haben, um neue Anzahl von Schlüsseln zu erhalten, die du dann verfügbar hast Man kann hce auch als einen großen Zug der Industrie sehen, dass das Bezahlungsnetzwerk bietet jetzt STKs an, damit App-Entwickler solche Sachen entwickeln Um die Netzwerk-Kommunikation irgendwie aufzubauen und vorgefertigte Schrittstellen zu erstellen, die man benutzen kann Also jede Transaktion über ihre Netzwerke bringt den Geld, also wollen sie mehr Leute dort hinverlagern Und hier siehst du natürlich den Einfluss Den Sicherheits-Element können sie nicht modifizieren, aber sie können die Entwickler beeinflussen, ihre Infrastruktur zu verwenden Jetzt wissen wir also, wie wir Daten auf ein Terminal bekommen und auf ein Smartphone bekommen Wir haben diese Daten auf dem Telefon und können also eine echte Karte simulieren Aber am Ende möchte ich meine Kreditkarten-Daten nicht irgendwie in irgendeiner Anwendung von irgendeinem App-Entwickler geschrieben rumliegen haben Von irgendwelchen Bankerleuten Da gibt es noch eine weitere Sache, es gibt Account-Data-Tokenisation, also Tokenisierung Man platziert sozusagen, man ersetzt eine Kreditkarten-Nummer mit einem Token, mit derselben Länge wahrscheinlich, wegen Abwärtskomplitibilität Das kann dann sozusagen in deiner App-Daten gespeichert werden, anstatt der Kreditkarten-Information Also neue Funktionen, neue Mitspieler, den Token-Service-Probeiter, also der Service, der sozusagen das Mapping zwischen deiner echte Kartennummer und dem Token zusammenbastelt Und das dann voneinander, ineinander umwandelt und dann hat man den Token, beküstert den Token-Anfrager, der dann neue Token vom Service-Probeiter anfragt Neue Zeichen Oder entsprechend fragt, ob der Token-Service-Probeiter um Übersetzung fragt von dem einen zum anderen und umgekehrt Das passiert zum Glück in derselben Phase, in dem man auch HCE oder SE machen würde Also man konvertiert die Kreditkarten-Nummer in einen Token, bevor die Transaktion losgeht Und dann sieht das hier so aus, man hat das Telefon, das kennt die Kreditkarte, die man benutzen möchte Das geht dann an den Token-Anfrager, das könnte Apple oder Google sein zum Beispiel Und sie fügen Informationen dazu, wo du bist, deine Kreditkarten-Historie, zum Beispiel vom iTunes Und dann sprechen sie mit einem Token-Service-Probeiter und geben ihm die Kartennummer und die Informationen, wie sie dich kennen Und die sprechen dann mit dem Bezahlungsnetzwerk Und von dort geht es dann an den Aussteller und der Aussteller kann dann sagen, okay, dieser Account existiert, der ist gültig Das ist okay, wir können das als Token annehmen und das geht dann wieder hoch an den Token-Anbieter Und der speichert sozusagen deine Nummer, generiert das Token und gibt es weiter an den Requestern, an deinen Telefon Und dann hast du ein Telefon, das im Prinzip ein Token kennt, die Kreditkarte ist gar nicht wirklich wichtig Man kann einfach dieses Token für die Transaktionen verwenden Okay, warum würdest du Tokenisierung benutzen? Ich meine, ja, okay, Sicherheitsvorteile Die Account-Nummer wird nicht mehr benutzt außerhalb der Bezahlungsnetzwerke Und man kann natürlich den Rahmen dieser Token limitieren, also man kann zum Beispiel sagen, dieser Token wurde von Apple angefragt Das kann dann nur zum Beispiel über NFC passiert werden Und andere Möglichkeiten kann man dann ausschließen, weil das Token nicht dafür gemacht war Die Token können außerdem individuell zurückgerufen werden, also wenn man zum Beispiel zwei Geräte hat Und man die Kreditkarte auf zwei Geräte lädt, dann wird das zwei verschiedene Token auf den unterschiedlichen Geräten bekommen Also wenn dann ein Gerät kompromittiert wird, dann kannst du den einen Token zurücknehmen und den anderen nicht Und die tatsächliche Kreditkartennummer wird dann nicht kompromittiert, weil das Gerät das nicht kennt Das ist wie ein zusätzlichen Faktor, eine zwei-Faktor Autorisierung Man kann das eine die ganze Zeit manipulieren, ohne das andere zu beeinflussen Der andere Vorteil ist, du kannst diesen Token nicht nur für Bezahlungen benutzen, sondern auch im Onlinehandel zum Beispiel bei Amazon im Animation-Kontext verwenden Okay, jetzt wissen wir also wie wir ein Handy benutzen können, um eine Karte zu emulieren und auch wie das alles sicher macht Aber jetzt wollen wir wissen wie man Apple Pay und Android Pay, wie das funktioniert Um zusammenzufassen oder kurz zu halten, Apple Pay benutzt das sichere Element auf dem iPhone und hat zusätzlich noch die Account-Arten-Tokenisierung Wenn man sich Android Pay anschaut, ist es ein bisschen einfacher, man hat nämlich keinen Sicherheits-Element, weil es so viele Geräte gibt Und deswegen müssen sie Hostcard-Emulierungen machen, und die haben aber auch die Account-Daten-Tokenisierung Wenn man sich jetzt eine Transaktion anschaut, was für Daten werden ausgetauscht Nehmen wir mal an, wir haben schon die initialen Schritte gemacht, indem das Handy initialisiert wurde Wir haben das Handy ans Terminal geladen, die Daten wurden gelesen und jetzt sind wir in der Online-Phase Und statt dass wir die Karte-Nummer haben, haben wir jetzt dieses Token und das Kryptogramm, was ex-speziell für diese Transaktion erstellt wurde Das geht dann zu dem Aquarium Und jetzt gibt es aber noch einen extra Schritt, und zwar sieht er nämlich, dass es eine Token ist und zwar keine Karte-Nummer Also wird er zuerst diesen Token-Manager fragen und fragt ihn, ob er bitte diese Token in die Karte-Nummer besetzen kann Und das passiert aber innerhalb von einem Kreditkarten-Netzwerk Aber die Informationen im Netzwerk sind sowieso Klartext Und jetzt weiß man also, dass es eine Visa-Karte, Visa-Transaktion und das gehört zu dieser, zum Beispiel der Sparkasse in Berlin Und dann werden diese Daten der Bank gegeben und die Bank kann dann ganz normal schauen, ob die Karte valide ist, ist genug Geld vorhanden Es ist Kryptogramm valide, sagen wir ok, machen wir weiter Und das ist, was es ausmacht bei der, bei Apple Pay mit dem Securelement In diesem Szenario würden Google und Apple die Rolle spielen, würden keine Rolle spielen Sobald diese Daten-Elemente provisieniert sind und die sehen danach auch nicht mehr diese Account-Daten und Transaktionen Ok, jetzt haben wir gesehen Apple Pay und Apple Pay, die haben verschiedene Sicherheiten Aber was kommt danach? Also als erstes möchte ich in Deutschland erstmal in der Lage sein, Apple Pay zu benutzen Meine Freunde in Amerika benutzen es täglich und ich sitze einfach noch hier und kann vielleicht Google Pay benutzen Aber wenn euch umschaut, was für andere Dinge passieren Es gibt sowas wie Issure-Grade, also ein ausstellerwärtiges HC Wir sagen, wir brauchen keinen Talkmanager, das können wir selber machen Das mache ich mit meiner eigenen App und gebe das so den Kunden Weil am Ende bin ich derjenige der das verifiziert Das führt auch dazu, dass diese Aussteller Karten ausgeben können, die aber kartenlos sind Die ja nur, nur dein Handy die Karte involieren lassen, ohne dass sie dir eine physische Karte zu sind Allerdings sind Banken da ein bisschen langsam voranzutreiben Deswegen gibt es auch andere Spieler, die da schneller waren Also es gibt neuere Arten, die die Karte und das Thermal komplett entfernen Was nur ein QR-Code verwendet, unten ein QR-Rider auf dem Handy vom Händler Und eine andere Sache, also natürlich das gute alte bleibt immer gleich Aber dieses neue Netzwerk führt dazu, dass man seine Karte in Deutschland, in Spanien, in Amerika, in Island überall verenden kann Das wird sie nicht über Nacht verändern, weil einfach zu viele Spieler involviert sind Und jeder hat sein eigenes Ziel, also in den nächsten Jahren werden wir wahrscheinlich schon noch alternative Methoden sehen Aber werden immer noch Kreditkarten sehen, genauso wie Handys die Karten involvieren Um das zu enden möchte ich noch sagen, ich arbeite in dem Bereich Und ich muss sagen, es ist ein ziemlich langsamer Prozess, der viel alten Code verwendet Und das ist aber ein Platz für Leute, wirklich was zu verändern und zu verbessern Und das ist warum ich da in diesem Bereich reingekommen bin Und damit möchte ich euch allen danken und ja, danke Okay, wer Fragen hat, stellt euch die Mikrofone, hier ist noch die Möglichkeit für Fragen Haben wir eine Frage aus dem Internet? Scheint nicht so zu sein Okay, da gibt es Fragen Ja, vielen Dank für diese Einblicke, ihr habt gesagt, dass der Token-Anforderung Daten hat wie die Kredithistorie und so was Kannst du mal erklären, warum das nötig ist, wofür wird das verwendet? Ja, am Ende diese Informationen, wenn du z.B. über Apple Pay redest, dann wird dir eine Kombination verwendet Apple hat eine Geschichte von, wenn du ein längerer Nutzer dieser Karte bist, wie verlässlich du bist Dann kann man das benutzen, um sicherzustellen, dass eine zweite Karte an die richtigen Personen ausgestellt wird Das ist am Ende übrigens die wahrscheinlichste Angriffsvariante für Apple Pay, dass sie jemand deine Karte benutzt Und eine zweite an sein und nicht dein Telefon verwendet Diese Informationen stellen sicher, dass die richtige Person eine zweite Karte auf ihr Telefon anfragt, also sozusagen ein Fingerabdruck Kein ganzer Fingerabdruck, oder ich würde es so nicht sagen, es ist erst später so benutzt Es geht erstmal darum, was du in der Vergangenheit getan hast und wie wahrscheinlich ist es, dass du das getan hast, die Anfrage gestellt hast Gibt es einen Unterschied als Kunde, wenn man das Sicherheitselement benutzt oder nur die Hauskarte emulierung? Gibt es einen anderen Maximalbetrag oder ist da ein weiterer Unterschied? Das kommt darauf an, was der Anbieter dieser HCE-Lösung anbietet, eigentlich sind sie auf dem selben Level Aber der, der einmal Schüssel ausgibt, der könnte sie limitieren Sie können zum Beispiel auch sagen, normalerweise kriegst du so viel Token, zum Beispiel 5 oder 10 Aber ja, wenn dein Telefon halt Ruhrzugriff und der kann darauf zu greifen, dann kann man das natürlich benutzen, um Transaktionen zu machen Aber das ist begrenzt auf die, die man erhalten hat Das ist warum man die Token limitiert, die man überhaupt bekommt für HCE, weil sie nicht so geschützt sind, als ob man ein Sicherheitselement benutzt Macht die Bank dann nicht verantwortlich oder was ist denn da los? Das ist eine interessante Frage, ich weiß es nicht, das ist wahrscheinlich eine Sache, die man von Fall zu Fall analysieren muss Okay, Mikro 6 Was ist denn, wenn mehrere Karten innerhalb vom Funkbereich sind, gibt es eine Kollisionserkennung oder gibt es einfach ein Fehler oder was, oder passiert einfach nichts? Ja, das wird erkannt Die Leute, die die kontaktlose Zahlung erfunden haben, die haben gesagt, okay, man präsentiert dann einfach eine Karte Und dann kriegt man sozusagen eine Fehlermeldung, hey, bitte zeig nur eine Karte, wahrscheinlich, um es leichter zu machen, um herauszufinden, welche Karte man benutzen soll und statt eine Nutzerschnittstelle zu bieten Also ich kann da nicht mein ganzes Geldbottel hinlegen Das kannst du schon machen, aber dann wird es nicht funktionieren Also wenn man zu dem Sicherheitselement geht, wo das professioniert wird, könntest du dann nochmal zurückgehen Also die unteren beiden Zeilen, das ist doch einfach noch jemand, der die Sicherheits, die die privaten Schlüssel hält Der Aussteller gibt an den Trust and Service Manager was zurück und dann an dein Telefon, ist sozusagen ein standardisierter Block, der die privaten Schlüssel für den semitischen und asymetischen Schlüssel enthalten Aber die sind verschlüsselt, oder? Ja, irgendwie schon, also vom Aussteller und Service-Provider und dann von dort zum Telefon Also da wird jetzt nicht irgendwie, die haben geteilte Schlüssel, die das auf beiden Seiten verschüsseln Also nur der Service-Provider kann das machen? Ja, nur der Service-Provider hat das Wissen darüber, wie und die Schlüssel, wie man im Securelement Daten ändern kann Und wer ist das? Im Fall von Apple, Apple Und in anderen Fällen? In anderen Sachen weiß ich nicht, wo man Securelements benutzt für kontaktlose Transaktionen Und im HC-Fall haben wir diese Einheiten nicht, aber das könnte natürlich sein, wenn es eine traditionelle Kreditkarte ist, dann würde es Yomalto sein Also die Hersteller der tatsächlichen Karten, die man von der Bank geschickt bekommt Und die Kies von dem Securelement sind aber diversifiziert? Ja genau, es gibt nicht nur einen Anbieter, der alle hat, sondern es gibt mehrere Einheiten, die alle ihren eigenen Zugriff auf die eigenen Karten haben Machen wir bitte weiter mit einer Internetfrage Die Internet möchte wissen, sind die Codes statisch auf einem Gerät, die Codes, oder kann man die updaten oder wie funktioniert es? Die Einmarschlüssel, ah, Entschuldigung, wir reden über die Token Wenn der Token erst mal ausgestellt wird, dann sind sie statisch, bis man sagt, ich möchte eine andere Karte drauf machen Selbst mit derselben Karte würde man wahrscheinlich einen neuen Token bekommen, aber im Wesentlichen ist es statisch Ja, es würde ein Vorteil haben, wenn man das regelmäßig ändert, zum Beispiel Fingerabdruckmethoden zu entfernen Aber ich glaube, der große Vorteil dieser Sache, dass du überhaupt so haben, ist, dass man deine Kreditkartennummer verstecken kann Das war der erste Gedanke dabei Okay, Mikrofon 4 Das darüber geredet, du hast über Zahlungsnetzwerke wie Payment, wie San Mase geredet Sind es die gleichen Netzwerke dafür, oder sind es ähnlich oder andere? Ja, das sind sehr ähnlich, also die Chico Karte hat einen eigenen Kernel, der auf dem Termin laufen soll Und man hat nicht dieses globale Bezahlungsnetzwerk, man hat sozusagen ein lokales deutsches Netzwerk Was dann über unterschiedliche Service-Probeiter verbunden ist, aber der Ablauf ist ungefähr das gleiche Mikrofon 5, bitte Ich höre oft Ich höre auf das Risikomanagement, der für die Kartenhersteller ganz wichtig ist Und hast du da schon irgendwie Risiko gehört, dass wenn Sachen gestohlen wurden, Informationen gestohlen wurden, dass das was macht Ich denke, das muss man unterscheiden, es gibt Hersteller von Karten, Aussteller von Kattelkarten, insbesondere in Europa Die sind sehr darauf bedacht, die Daten zu testen als Risikomanagement Wenn IBM in den Statten angefangen hat, dann haben die Daten einfach gar nicht überprüft und jede Transaktion wurde angenommen Also ja, es passiert ab und zu Aber wenn die Tests richtig implementiert sind, dann sollte das hart schwer sein Okay, Mikrofon 3 Hallo? Ich glaube, du hast vergessen zu erwähnen, dass es noch eine Alternative gibt Man kann mit dem Handy bezahlen, weil manche Banken geben auch NFC-Sticker aus, dass man die benutzen kann, wenn es keine Verbindung gibt Ja, das stimmt, das geht, dass es gibt eine weitere Möglichkeit, die man benutzen kann In dem Fall brauchst du noch nicht mal ein Telefon, du kannst diesen Sticker überall draufkleben Und ja, das ist sozusagen wie so ein Schlüssel, das man mit sich rumträgt, das funktioniert auch Das hat auch schon in Deutschland funktioniert, wurde probiert Die Netzwerkbetreiber haben das probiert, aber es hat keine kritische Masse erreicht und das ist nie groß geworden Und vermutlich ist das jetzt der nächste Versuch, das in die Masse zu bekommen In Slowenien wird es von der Bank ausgestellt worden, man kann das benutzen Ja, das ist dann einfach eine Alternative zu den tatsächlichen Kreditkarten Okay, Mikrofon 1 Als ich meine letzte Karte bekommen habe, vor ein paar Jahren, vor dem ersten Mal, wo ich wirklich Kontaktlos bezahlen konnte Da konnte ich nicht mit der Karte bezahlen, ich musste die transferieren Gibt es einen technischen Grund? Ich glaube nicht, ich denke, das ist nur ein Test, ob alles okay ist und ob das Konto tatsächlich verfügbar ist Ansonsten könntest du diese Karte zum Beispiel unterhalb der zahlungslosen Karten benutzen, ohne jeden Pin Ich glaube, das ist einfach nur so wahr, es gibt keinen technischen Grund dafür Mikrofon 6, bitte Bei der Haustartemulation, wie limitieren die Schlüssel? Wird es automatisch gemacht oder braucht man eine Karthalter? Das passiert normalerweise hinter der Tür, du als Nutzer des Smartphones kriegst davon quasi gar nichts mit, das passiert also im Grunde im Hintergrund Und immer dann, wenn das Telefon die Anwendung sieht, dass sie keine Schlüssel mehr hat, dann fragt sie neu an Mikrofon 2, bitte Hi Könntest du noch mal erklären, warum die Banken so darauf beharren, dass man die Haustartemulation benutzt Ich verstehe, warum Google das benutzt, aber warum denn die Banken, die sind doch ziemlich mächtig und könnten das einfach so zwingen Warum machen sie das nicht? Von dem, was ich verstanden habe, ja, die Banken könnten mehr Druck drauf machen, aber du willst ja auch Hersteller haben, die das unterstützen Und wenn du zum Beispiel Android anguckst, da gibt es verschiedene Hersteller Vielleicht gibt es einen Hersteller, der dann Sicherheitselemente an das Telefon ran baut, aber du willst es ja auch in Märkten verkaufen Und in Deutschland hilft mir das nicht, wenn chinesische Hersteller das in den Smartphone integrieren Und ich weiß auch nicht genau, wie sehr ich so etwas vertrauen würde Das Sicherheitselement hat dieselben Möglichkeiten wie so eine Karte Also man braucht eine vertrauenswürdige Entität, das ist warum die Aussteller mehr auf Haustartemulierung basiert sind oder konzentriert sind Dann haben sie nicht so viele Anforderungen an irgendwelche Hersteller, die irgendwelche Sachen dazu fügen müssen Wenn du dann irgendwie Android 4 Plus hast, dann bist du schon dabei Gibt es noch Fragen aus dem Internet? Nein, dann bitte Mikrofon 4 Danke für den tollen Vortrag Ich frag mich, ob es Verantwortungsunterschiede gibt mit den neuen Abläufen Also wer am Ende verantwortlich ist, also mit dem Sicherheitselement oder der Haustartemulierung Wer ist am Ende verantwortlich, wenn da Betrug betrieben wird? Es gibt jetzt auch neue Mitspieler, zum Beispiel das Intervast-Service-Provider Der die Kryptokies hat dafür und so weiter Ja, also gesamt genommen ändert sich da gar nichts, das ist wie wenn du eine Gerätkarte benutzen würdest Ja, da ist jemand, der kann irgendwie Daten in dein Securelement reinpacken Aber das ist nicht anders als in der Vergangenheit, auch bei deiner physikalischen Karte Da mussten auch Zertifikate rein oder wie auch immer du das nennen möchtest Die Anforderungen waren da auch schon da, wenn es darum ging, deine Daten zu sichern Also am Ende ist es die gleiche Verbindlichkeit wie davor Du bist davon geschützt, außer wenn du einen Pin benutzt Aber am Ende kommt es auf die Bank an Die Bank wird das mit dir regeln Eine kurze Frage, gibt es so etwas wie eine Offline-kontaktlose Zahlung und wie verbreitest du es? Technisch ist das möglich, man kann das benutzen Aber das schiebt dann wirklich die Verantwortung Dann ignorierst du das Ergebnis der Transaktion, du akzeptierst es einfach Du musst unterscheiden zwischen den Fällen, wo man sagt, ich möchte definitiv strikt im Offline-Bereich arbeiten Und dann muss man die Transaktion beweisen Und heutzutage werden ungefähr alle Länder, mit denen ich gearbeitet habe Gibt es dieses Limit, wann man online gehen muss für eine Transaktion Also jeder Transaktion ist online autorisiert Okay, Mikrofon 5, ich glaube da ist noch jemand Hi, wie funktioniert die Pin-Verifikation? Wie ist es anders als bei einer Chip-Transaktion? Okay, wenn wir auf eine Chip-Transaktion angucken, dann haben wir drei Möglichkeiten einen Pin zu verifizieren Man kann das Offline testen, nur zwischen dem Terminal und der Karte Die haben zwei Möglichkeiten das zu verschlüssen oder im Klartext zu machen Das ist wie das Terminal mit der Karte kommuniziert und die Pin verifiziert Und dann gibt es die dritte Option Online-Pin Da wird der Pin auf dem Terminal verschlüsselt und dann mit der Autorisierung an die Bank geschickt und die Bank überprüft den Und wenn wir über Kontaktungserzahlungen bezahlen, dann gibt es nur die dritte Option Also wenn du einen Pin benutzt, dann geht der immer an den Hersteller der Karte um das zu testen Weil es keine Karte mehr gibt, mit der man das Offline verifizieren kann Mikrofon 3, bitte Meine Frage ist, wo Deutschland die Banken tun sie da irgendwie schwer, das zu akzeptieren und zu unterstützen Und der Grund sieht so aus, als müssten sie einen Teil der Gebühren abgeben Meine Frage ist also, woher weiß Apple über die Transaktion und welche Daten erhält Apple, wenn ich was bezahle Also ich will nicht, dass die da was darüber wissen Ja, das stimmt, am Ende sind sie das auch nicht Also um Apple Pay benutzen zu können, muss dein Hersteller in diesem System teilnehmen, eine Karte auszustellen Das bedeutet auch, dass sie ein Vereinbarung eingeben, dass ein gewisser Anteil dieser Transaktionen an Apple ausgezahlt wird Und das passiert sozusagen unabhängig von den einzelnen Transaktionen Die Hersteller geben dann sozusagen Informationen raus, wieviel sie erhalten haben Aber es gibt keine direkten Informationen zu weitergaben für jede einzelne Transaktion Und dann kriegt Apple dann ein bisschen was, das ist sozusagen ein Vertrag mit Vertrauen zwischen dem Aussteller der Karte und Apple Mikrofon 1, bitte Ich habe auch Angst um die Privatsphäre Ist es irgendwie anders bei Android Pay, kriegen die Transaktionsdaten? Das ist ähnlich, da gibt es auch Also auch Google kriegt keine Transaktionsdaten, die haben dieselben Zugriffen für solche Transaktionen Aber nachdem man das Tokenisieren angewandt hat, dann hat man einfach die Accountnummer Also theoretisch könnten sie mehr machen Aber ich weiß nicht 100% was sie genau speichern und was sie als Transaktion weiterleiten Aber ich würde erwarten, dass es gleich, also sehr ähnlich ist wie Apple Und das ist ein sehr sensibles Thema und wenn da was schief läuft, dann würde das große Wellen schlagen Die Zeit ist fast um, eine Frage gibt es glaube ich noch, Mikrofon 4 Hallo, danke für den Talk Aber ich glaube, du hast was vergessen Vielleicht habe ich es auch verpasst, aber du hast nie Number 26 erwähnt mit den QR-Codes Ja, ich würde sagen, dass es ziemlich ähnlich zu den alternativen Zahlungsmethoden, welche ich angebracht habe Das ist eine Möglichkeit, wo du keine Karte mehr hast Du nimmst einfach dein Telefon und das zeigt ein QR-Code an Und das Kassensystem scannt das dann und das beinhältet dann die Information, die Transaktion zu machen Ja, du hast recht, dass es eine mögliche Sache zu machen, zum Beispiel in Deutschland Aber ich wollte den Fokus darauf legen, einen Klonen der Karte oder Kartenzahlung mit dem Smartphone zu machen Anstatt die üblichen normalen Kreditkarten zu benutzen Deswegen habe ich darüber mehr geredet Okay, vielen Dank, Simon Soll ich noch mal für die Verspätung? Danke so much, ja Vielen Dank