La tecnologia Near Field Communication (NFC) esiste da molto tempo, eppure non ha riscosso molto successo sul mercato. Ma questa situazione cambierà. NFC è ora a un punto di svolta perché i grandi produttori di cellulari, le società emittenti di carte di credito e le aziende che si occupano di elaborazione finanziaria hanno finalmente compreso come rendere sicuri i pagamenti tramite cellulare utilizzando metodologie crittografiche valide, in particolare la tokenization. La svolta riguarda l'integrazione delle autorità che emettono i token nel sistema di elaborazione delle carte di credito esistente, che consente l'implementazione della crittografia senza la riprogettazione importante del sistema di pagamenti. Ciò comporterà un'esplosione esponenziale nel mercato dei pagamenti mobili ed è un perfetto esempio di come la sicurezza può consentire al mercato di avere successo. Non è difficile prevedere che la stessa dinamica di market-making alimenterà la crescita dell'Internet of Things (IoT) emergente.
Ironicamente, nonostante il nome, che letteralmente significa comunicazione in prossimità, NFC soffre di una crisi di identità. Come indica chiaramente il nome, NFC è una tecnologia di comunicazione che utilizza i campi elettromagnetici a corto raggio (ovvero onde radio). Quindi si potrebbe pensare che il nome indichi il suo funzionamento. Invece, come spesso succede, una tecnologia specifica si confonde con i modi in cui viene utilizzata. È successo con NFC.
Gli utilizzi di NFC possono venire descritti come condivisione, accoppiamento e transazioni. Le transazioni sono sicuramente alla base della tecnologia NFC. Ecco perché molte persone attualmente pensano che NFC sia un sistema di pagamenti. La verità è che NFC è solo una piccola parte del sistema di pagamento, precisamente la pipeline wireless che collega un dispositivo mobile o una smart card attrezzata al resto del sistema senza bisogno di un contatto elettrico fisico. Ciò consente di effettuare transazioni mediante il semplice spostamento di un terminale di pagamento. I sistemi di pagamento Apple Pay, Google Wallet, Visa Pay Wave, MasterCard Pay Pass, American Express Express Pay, Softcard (Isis) e altri possono utilizzare NFC e applicare i propri meccanismi di sicurezza. È importante ricordarsi che NFC non viene utilizzato solo per i pagamenti, ma i pagamenti sono quelli che rendono NFC parte della vita quotidiana di tutti. E la crescita sarà impressionante.
L'ubiquità mondiale degli smartphone si intreccia con la praticità di NFC e la sicurezza della tokenization. Secondo la reputabile azienda di ricerca IHS, questa combinazione aumenterà la crescita degli smartphone dotati di NFC a 1,2 miliardi entro il 2018, con un tasso di crescita annuale composto del 34%. Gli smartphone Android, che hanno un ruolo predominante nel mercato, rappresentano anche la maggior parte delle distribuzioni di smartphone NFC, con 254 milioni di unità spedite nel 2013. In altre parole Android costituisce il 93% di tutti i cellulari dotati di NFC. Entro il 2018, i telefoni Android NFC potrebbero raggiungere gli 844 milioni di unità. La quota scende al 75 percento a causa del coinvolgimento di altre aziende, in particolare del colosso Apple. Si può concludere che NFC sta chiaramente diventando una tecnologia predefinita nei telefoni.
Sicurezza NFC
Anche gli attuali sistemi di pagamento con carta garantiscono una gestione sicura delle transazioni. Ecco perché dobbiamo aspettare l'autorizzazione dell'azienda di elaborazione delle carte dopo che si è strisciata la carta in un negozio. Ma, come sa chiunque abbia ricevuto una chiamata dall'ufficio antifrode della società emittente della carta di credito, il sistema non è molto sicuro, perlopiù perché utilizziamo la nostra carta di fronte a commessi e camerieri che possono vedere il numero, la data di scadenza e il codice di sicurezza. Inoltre i numeri delle carte e i dati personali sono in possesso di sistemi non sicuri di decine di aziende al dettaglio (si pensi al caso di Target and Home Depot). Tuttavia il concetto più sconcertante è che la tecnologia delle carte a banda magnetica risale all'era dei nastri con otto tracce e della moquette a pelo lungo. La striscia magnetica è una tecnologia così poco sicura che nel 2013 negli Stati Uniti, dove si utilizza prevalentemente la banda magnetica, si è registrato il 47 percento delle frodi globali, in occasione dell'elaborazione del solo 24 percento dei pagamenti.
Chiaramente è giunto davvero il momento che venga introdotto un sistema di protezione delle transazioni finanziarie personali a livello mondiale e la tokenization sembra proprio la soluzione.
Ostacoli all'adozione di NFC
L'ostacolo principale all'adozione di NFC è stato un insieme di istituzioni che guadagnano grandi cifre di denaro che cercano gelosamente di ottenere la loro quota iniqua dell'enorme mercato di elaborazione dei pagamenti. Tra gli operatori figurano le megabanche (ovvero quelle che sono troppo grandi per fallire), i colossi delle carte di credito (che addebitano commissioni enormi che ai vecchi tempi erano considerati tassi da usuraio), le potenti società di elaborazione delle carte di credito, i principali produttori di cellulari, gli sviluppatori di ecosistemi software, le numerose agenzie governative internazionali e molti altri. Le macchinazioni tra questi gruppi lascerebbero a bocca aperta Niccolò Machiavelli, Charles Darwin e la famiglia Borgia (ma questo è un argomento per un altro articolo). Con così tanti attori potenti che provengono da direzioni diverse, il panorama dei pagamenti mobili è diventato balcanizzato, ritardando la diffusione della tecnologia NFC. Ciò sta per cambiare grazie alla tokenization e ai telefoni cellulari.
Tokenization
La tokenization è una funzione crittografica fondamentale, che si basa su un principio della crittografia semplice, ma importante, ovvero mantenere segreti i segreti. Il numero della carta di credito è un esempio perfetto di qualcosa che si desidera mantenere segreto. E se si potesse nasconderlo e sostituirlo con qualcosa completamente inutile per le parti malintenzionate? Questo concetto è molto importante soprattutto quando si utilizza un telefono cellulare come carta di credito, perché i cellulari sono stati creati precisamente per trasmettere le informazioni nell'atmosfera. I telefoni contengono più canali di comunicazione, ciascuno dei quali può essere attaccato, ad esempio NFC, Wi-Fi, cellulare, USB, GPS e Bluetooth. È facile capire quale sia il problema. Come si proteggono le informazioni segrete, sensibili come gli ID digitali, le password, le informazioni del conto della carta di credito e i segreti finanziari quando si usano i dispositivi più comunicativi mai inventati? Con la tokenization. Non sarà facile.
Come indicato, l'intera idea dietro la tokenization è quella di mantenere segrete le informazioni segrete. A questo scopo è necessario nasconderle in una posizione sicura e utilizzare un identificatore sostitutivo. Il modo migliore per nascondere le informazioni su un dispositivo mobile è dentro un circuito integrato con meccanismi di protezione hardware incorporati. In un cellulare dotato di NFC, tale hardware si chiama "elemento sicuro" (che è sicuramente un nome descrittivo). Con la tokenization, le informazioni dell'utente vengono nascoste con la crittografia in modo che ricordino i dati originali e possono essere utilizzate per completare una transazione sicura, ma solo con parti specificate nel sistema che possono collegare in modo sicuro le informazioni al numero della carta di credito. Per utilizzare le parole di un megadirigente di VISA, "la tokenization rimuove dal flusso il numero effettivo del conto della carta".
Per ogni singola transazione, il processo di tokenization sostituisce il numero del conto con una rappresentazione numerica univoca che ha la proprietà di non potere essere utilizzata per ricostruire il numero del conto segreto. La matematica che rende ciò possibile è in gran parte basata sulle funzioni di hash e firma con gli algoritmi crittografici quali SHA, AES, ECC, RSA o altri.
Ogni transazione viene randomizzata con un numero casuale diverso. Si tenga presente che il segreto archiviato nel dispositivo mobile probabilmente non sarà neanche il vero numero della carta. È molto probabile che il segreto archiviato nel telefono sia un "numero di conto del dispositivo" univoco assegnato da un fornitore di servizi token. Il vero numero della carta verrà conservato in modo sicuro dal fornitore di servizi token. (Il numero di conto del dispositivo è probabilmente ciò che la specifica di tokenization definisce "token di pagamento".) Poiché ciascuna transazione utilizza un valore casuale, non esiste una correlazione tra il valore di una transazione e un altro. Per definizione sono diversi nella massima misura consentita. Quindi il segreto non può essere derivato dall'autore di un attacco che analizza le transazioni successive.
Casualità, segreti e matematica
Le tre metodologie crittografiche importanti che verranno utilizzate nei pagamenti mobili d'ora in avanti sono 1) randomizzazione, 2) segreti archiviati in hardware sicuro e 3) funzioni matematiche crittografiche unidirezionali irreversibili. Queste tre metodologie costituiranno la vera sicurezza nell'universo digitale, come facevano i guardiani, le pistole e i cani prima dell'era informatica. Se si utilizzano queste metodologie e la tokenization per rimuovere il numero della carta dal flusso, significa che i pagamenti mobili basati su NFC saranno più sicuri della strisciata di una carta di credito. Per parafrasare le parole di un dirigente di un'importante società emittente di carte di credito, la tokenization sarà il più grande cambiamento nelle reti di pagamento negli ultimi 15 o 20 anni e rappresenterà il punto di svolta che consentirà a NFC di diventare finalmente la tecnologia dominante. Non è facile non essere d'accordo.
Il resto della storia di NFC
A parte i pagamenti, NFC può essere utilizzato per un'ampia gamma di applicazioni, alcune delle quali sono indicate di seguito.
-
Pagamento del parchimetro
-
Ottenimento di biglietti e carte di imbarco
-
Apertura di porte
-
Chiavi dell'auto
-
Download di informazioni (ad esempio, chioschi, poster intelligenti, ecc.)
-
Definizione delle impostazioni automobilistiche in cabina
-
Monitoraggio del materiale (ad esempio, bagagli, materiali
industriali)
-
Accoppiamento di dispositivi Bluetooth
-
Programmazione di prodotti di consumo
-
Condivisione di file
-
Spegnimento delle batterie dei telefoni (ad esempio, con un tocco
sul comodino)
-
Biglietti per il trasporto pubblico
-
Biglietti da visita elettronici
-
Hot spot personali
-
Impianti (ad esempio, tracciamento animali)
Borseggio elettronico
I sistemi sottoposti a tokenization descritti sopra sono stati progettati in base ai pagamenti. Tali tecniche non verranno necessariamente applicate ad altri modelli di utilizzo di NFC. Come nel caso di qualsiasi standard di comunicazione wireless, tra i comportamenti dannosi vi sono intercettazione, la corruzione, lo spoofing e l'assunzione di falsa identità. NFC è così. Quando la tecnologia NFC è uscita per la prima volta, le persone spesso credevano che le distanze molto brevi della comunicazione NFC definissero un livello significativo di sicurezza. Non è così: le distanze brevi non creano una sicurezza reale. Per sfatare questo mito una volta per tutte, i ricercatori della University of Surrey (Regno Unito) ha creato un piccolo ricevitore economico in grado di ascoltare di nascosto a una distanza compresa tra 20 e 90 centimetri. La ricezione era buona anche fino a una distanza di 45 centimetri, che importa perché i sistemi di pagamento non dovrebbero neanche trasferire i dati oltre i 10 cm da un lettore. Chiaramente la distanza non è affidabile. Solo le metodologie di sicurezza reali sono affidabili.
NFC ha infatti dimostrato di essere un modo semplice di introdursi in un sistema e viene visualizzato come un'altra superficie di attacco. Recentemente a un convegno di entusiasti di hacking, NFC è stato sfruttato per attaccare le piattaforme di due fornitori di servizi telefonici basati su Android importanti. Tutto questo riassume l'importanza di applicare le metodologie di sicurezza reali a tutte le applicazioni NFC, quindi NFC non diventa un borseggio elettronico "tocca e carica".
Per fornire una sicurezza totale, devono essere presenti tutti e tre i pilastri fondamentali. Questi sono la riservatezza, l'integrità e l'autenticazione. (Inoltre, come abbiamo visto con i pagamenti mobili, l'archiviazione dei segreti in hardware protetto è l'altro aspetto critico.)
-
La riservatezza consiste nel garantire che nessuno possa leggere il messaggio a eccezione del ricevitore previsto. Solitamente ciò viene realizzato con la crittografia e la decrittografia, che nascondono il messaggio da tutte le parti a eccezione del mittente e del destinatario.
-
L'integrità è anche detta integrità dei dati e garantisce che il messaggio ricevuto non sia stato alterato. A questo scopo utilizzare le funzioni crittografiche. Per le applicazioni simmetriche in questo caso solitamente si esegue l'hash dei dati con una chiave segreta e si invia il risultato di tale hash (detto Message Authentication Code o "MAC") insieme ai dati dall'altra parte, che svolge le stesse funzioni per creare il MAC e confrontare quindi entrambi i MAC per determinare se corrispondono. La verifica tramite firma è il meccanismo asimmetrico utilizzato per garantire l'integrità.
-
L'autenticità è la verifica che il mittente di un messaggio è chi dice di essere (ovvero è reale). Nei meccanismi di autenticazione simmetrici solitamente ciò viene eseguito con una sfida (spesso un numero casuale) che viene inviata all'altra parte per l'hash con una chiave segreta per creare una risposta MAC che viene quindi rinviata alla parte che ha inizializzato la sfida. Il lato della sfida esegue quindi gli stessi calcoli internamente per creare un MAC con gli stessi input e quindi confrontare i MAC da entrambi i lati per determinare se coincidono.
Poiché la specifica NFC lascia la sicurezza nelle mani del progettista, che cosa possono fare i progettisti per imporre una sicurezza forte? Una cosa ovvia è iniziare con l'archiviazione protetta di chiavi segrete. I dispositivi come i circuiti integrati CryptoAuthenticationTM di Atmel sono stati creati precisamente a questo scopo. Oltre a proteggere le chiavi segrete in hardware protetto, tali dispositivi forniscono motori crittografici in piccoli pacchetti facili da usare e vantaggiosi.
Ciò che ha dimostrato l'evoluzione del sistema dei pagamenti è che la sicurezza è obbligatoria, che l'archiviazione segreta sicura è fondamentale per la sicurezza e che è necessario adottare processi crittografici. Poiché sono ora disponibili dispositivi di sicurezza robusti, piccoli e vantaggiosi, NFC può essere davvero la tecnologia del presente da usare in futuro per tutti i modelli di utilizzo.