✨Thẻ thông minh không tiếp xúc
Thẻ thông minh không tiếp xúc (hay thẻ thông minh phi tiếp xúc) là một dạng thiết bị chứng nhận không tiếp xúc có kích thước chỉ tương đương với thẻ tín dụng. Vi mạch nhúng bên trong nó có thể lưu trữ (và đôi khi là xử lý) dữ liệu và giao tiếp với một thiết bị đầu cuối thông qua NFC. Một số nơi thường sử dụng công nghệ này bao gồm vé giao thông công cộng, thẻ ngân hàng và hộ chiếu.
Có hai loại thẻ thông minh không tiếp xúc chính. Các loại thẻ nhớ bao gồm các bộ phận lưu trữ điện tĩnh, và có thể thêm một số logic bảo mật cụ thể. Thẻ thông minh không tiếp xúc có chứa một RFID chỉ đọc có tên gọi là CSN (Card Serial Number) hoặc UID, và một vi mạch ghi lại được có thể ghi chép qua sóng vô tuyến.
Tổng quan
phải|nhỏ|190x190px|So sánh kích thước của một con chip với một đồng xu Canada Thẻ thông minh không tiếp xúc có một số đặc trưng sau:
- Kích thước thường tương đương với một tấm thẻ tín dụng. Định dạng ID-1 của tiêu chuẩn ISO/IEC 7810 định nghĩa kích thước này là 85,60 × 53,98 × 0,76 mm (3,370 × 2,125 × 0,030 in).
- Bao gồm một hệ thống bảo mật với các tính năng chống truy cập trái phép (ví dụ như bộ xử lý mật mã, hệ thống tập tin bảo mật, các đặc điểm có thể đọc được bởi con người) và có khả năng cung cấp các dịch vụ bảo mật (ví dụ như giữ bí mật thông tin trong bộ nhớ).
- Tài sản được quản lý thông qua hệ thống hoặc ứng dụng quản trị trung tâm, có nhiệm vụ nhận hoặc trao đổi thông tin với thẻ, ví dụ như khóa thẻ hay cập nhật dữ liệu.
- Dữ liệu thẻ có thể truyền qua sóng vô tuyến tới hệ thống quản trị trung tâm thông qua các thiết bị đọc-viết, ví dụ như máy quẹt thẻ, bộ đọc thẻ kiểm soát ra vào tại cửa, máy đọc vé, ATM, thiết bị đọc thẻ kết nối qua USB, v.v.
Lợi ích
Thẻ thông minh không tiếp xúc có thể dùng cho việc nhận dạng, xác thực và lưu trữ dữ liệu. Chúng cũng là giải pháp giúp các giao dịch kinh doanh được thực hiện linh hoạt, bảo mật và chuẩn mực, đòi hỏi tối thiểu can thiệp từ con người.
Lịch sử
Thẻ thông minh không tiếp xúc được sử dụng lần đầu tiên cho hệ thống vé điện tử vào năm 1995 tại Seoul, Hàn Quốc.
Kể từ đó, các loại thẻ thông minh với giao diện không tiếp xúc càng ngày càng được sử dụng phổ biến cho các hệ thống thanh toán và thẻ vé, như ở các hệ thống giao thông công cộng. Trên thế giới, công nghệ thu phí không tiếp xúc đang được ứng dụng hiệu quả trong giao thông công cộng. Nhiều tiêu chuẩn xuất hiện còn mang tính cục bộ và không tương thích lẫn nhau, tuy nhiên tiêu chuẩn thẻ MIFARE Classic từ Philips cũng đã chiếm thị phần lớn tại Hoa Kỳ và châu Âu.
Gần đây, Visa và MasterCard đã đồng thuận thiết lập tiêu chuẩn thanh toán chung theo dạng "open loop" trên mạng lưới của mình, với hàng triệu tấm thẻ đã được triển khai tại Hoa Kỳ, châu Âu và trên toàn thế giới.
Thẻ thông minh cũng đang được ứng dụng trong nhận dạng cá nhân và cấp giấy phép ở cả các cấp độ vùng, quốc gia và quốc tế. Các mẫu thẻ căn cước, giấy phép lái xe hay thẻ bệnh nhân thông minh đang ngày càng trở nên phổ biến. Tại Malaysia, mẫu thẻ căn cước quốc gia MyKad bao gồm 8 ứng dụng khác nhau và đã được triển khai tới 18 triệu người dùng. Thẻ thông minh không tiếp xúc còn được tích hợp trong hộ chiếu sinh trắc học ICAO nhằm nâng cao bảo mật.
Trong đại dịch COVID-19, nhu cầu và lượng sử dụng các loại thẻ tín dụng và ghi nợ không tiếp xúc có xu hướng tăng, mặc dù tiền mặt hay tiền xu thường an toàn và công nghệ này cũng không làm giảm việc lây truyền virus.
Thiết bị đọc
Các thiết bị đọc thẻ thông minh không tiếp xúc sử dụng sóng vô tuyến để giao tiếp, đọc và ghi dữ liệu trên thẻ. Khi dùng để thanh toán điện tử, chúng thường được đặt gần bàn phím nhập mã PIN, máy tính tiền và các điểm thanh toán khác. Khi được dùng trong hệ thống giao thông công cộng, chúng thường được đặt trên hộp thu tiền, máy bán vé, cổng xoay và sân ga dưới dạng thiết bị đơn lẻ. Khi dùng cho mục đích kiểm soát an ninh, thiết bị đọc thường được đặt ở cạnh cửa ra vào.
Công nghệ
nhỏ|Sơ đồ thẻ thông minh RF Thẻ thông minh không tiếp xúc là loại thẻ có chip giao tiếp với bộ đọc thẻ thông qua một công nghệ cảm ứng điện từ tương tự như RFID (với tốc độ truyền dữ liệu 106 tới 848 kbit/s). Những chiếc thẻ này chỉ cần đặt ở khoảng cách gần với ăng ten để hoàn thành giao dịch. Chúng thường được sử dụng khi các giao dịch phải được xử lý nhanh chóng hoặc trong trạng thái rảnh tay, ví dụ như trên hệ thống giao thông công cộng, hành khách có thể quẹt thẻ mà không cần phải rút ra khỏi ví.
Tiêu chuẩn cho giao tiếp thẻ thông minh không tiếp xúc là ISO/IEC 14443. Tiêu chuẩn này định nghĩa hai loại thẻ không tiếp xúc ("A" và "B") và cho phép giao tiếp ở khoảng cách lên tới . Một số đề xuất về việc bổ sung vào ISO/IEC 14443 các loại thẻ C, D, E, F và G đã bị Tổ chức Tiêu chuẩn hóa Quốc tế bác bỏ. Một tiêu chuẩn thay thế khác cho thẻ thông minh không tiếp xúc là ISO/IEC 15693, cho phép giao tiếp ở khoảng cách lên tới .
Một số loại thẻ thông minh không tiếp xúc được sử dụng rộng rãi bao gồm Upass tại Seoul (1996), thẻ Touch 'n Go tại Malaysia (1997), thẻ Octopus tại Hồng Kông, Thẻ Giao thông Công cộng tại Thượng Hải (1999), thẻ Navigo tại Paris, thẻ Suica của Đường sắt Nhật Bản (2001), EZ-Link tại Singapore, EasyCard tại Đài Loan, thẻ Clipper tại Khu vực Vịnh San Francisco (2002), thẻ Oyster tại London, Thẻ Giao thông Thị chính tại Bắc Kinh (2003), T-money tại Hàn Quốc, thẻ Presto tại Nam Ontario, More Card tại Ấn Độ, thẻ Rav-Kav tại Israel (2008), thẻ Myki tại Melbourne và thẻ Opal tại Sydney.
Một công nghệ không tiếp xúc có liên quan là RFID (nhận dạng tần số vô tuyến). Trong một số trường hợp nhất định, nó có thể sử dụng cho các ứng dụng tương tự như với thẻ thông minh không tiếp xúc, ví dụ như thu phí điện tử. Các thiết bị RFID thường không chứa bộ nhớ ghi được hay khả năng xử lý vi mạch như thẻ thông minh không tiếp xúc.
Một số loại thẻ trang bị cả hai giao diện không tiếp xúc và có tiếp xúc trên một tấm thẻ duy nhất với một số bộ phận lưu trữ và xử lý chung. Một ví dụ của loại thẻ này là mẫu thẻ giao thông đa dụng tại Porto có tên gọi là Andante, trong dó sử dụng một con chip ở cả chế độ có tiếp xúc và không tiếp xúc (ISO/IEC 14443 type B).
Giống như thẻ thông minh có tiếp xúc, thẻ thông minh không tiếp xúc không có chứa pin. Thay vào đó, chúng sử dụng một cuộn cảm tích hợp, ứng dụng nguyên lý liên kết cảm ứng cộng hưởng để thu một lượng tín hiệu điện từ phát ra, biến đổi nó, và dùng nó để cấp năng lượng cho các bộ phận điện tử của thẻ.
Giao thức truyền thông
Ứng dụng
Giao thông
nhỏ|Lớp phủ nhựa (phải) chứa IC và ăng ten bên trong mẫu thẻ thông minh không tiếp xúc bằng giấy được sử dụng trong giao thông công cộng tại Singapore (trái) Kể từ khi mẫu thẻ giao thông tại Seoul bắt đầu được sử dụng, nhiều thành phố cũng đã chuyển sang áp dụng thẻ thông minh không tiếp xúc làm phương tiện thanh toán phí trong hệ thống thu soát vé tự động.
Trong một số trường hợp, các mẫu thẻ này ngoài sản phẩm phí giao thông công cộng ra còn bao gồm một ví điện tử, có thể sử dụng cho các giao dịch thanh toán giá trị thấp.
Thẻ ngân hàng không tiếp xúc
Bắt đầu từ khoảng năm 2005, một ứng dụng phổ biến của công nghệ này chính là các loại thẻ tín dụng và ghi nợ thanh toán không tiếp xúc. Một số ví dụ nổi bật bao gồm:
- ExpressPay – American Express
- MasterCard Contactless (trước đây là PayPass) – MasterCard
- Visa Contactless (trước đây là payWave) – Visa
- QuickPass – UnionPay
- JCB Contactless (trước đây là J/Speedy), QUICPay (không tương thích với EMV Contactless/ISO/IEC 14443) – JCB
- RuPay Contactless - RuPay
- Zip – Discover
Quá trình triển khai bắt đầu vào năm 2005 tại Hoa Kỳ, và 2006 tại một số nơi ở châu Âu và châu Á (Singapore). Tại Hoa Kỳ, các giao dịch không tiếp xúc (không yêu cầu PIN) hỗ trợ khoảng giá trị ~$5–$100.
Nói chung, có hai loại thẻ ngân hàng không tiếp xúc: dữ liệu dải từ (MSD) và EMV không tiếp xúc.
Thẻ MSD không tiếp xúc sử dụng giao diện không tiếp xúc để truyền dữ liệu ở dạng tương tự như các mẫu thẻ dải từ trước đây. Chúng chỉ được phân phối tại Hoa Kỳ. Quá trình thanh toán diễn ra theo cách tương tự như thẻ dải từ, không yêu cầu nhập PIN và thường là ở chế độ ngoại tuyến (tùy vào tham số của thiết bị đầu cuối). Mức độ bảo mật của giao dịch thẻ MSD không tiếp xúc tốt hơn so với thẻ dải từ, do con chip trong thẻ có khả năng tạo mật mã để hệ thống của đơn vị cung cấp thẻ xác nhận.
Thẻ EMV không tiếp xúc có hai giao diện (có tiếp xúc và không tiếp xúc) và hoạt động như một chiếc thẻ EMV bình thường thông qua giao diện có tiếp xúc. Giao diện không tiếp xúc cũng cung cấp dữ liệu ở dạng tương tự như giao dịch EMV có tiếp xúc, nhưng thường bị hạn chế một số chức năng (ví dụ, nhà phát hành thẻ thường không cho phép tăng số dư qua giao diện không tiếp xúc, mà yêu cầu người dùng phải đưa thẻ vào thiết bị sử dụng giao diện có tiếp xúc). Thẻ EMV có thể lưu một "số dư ngoại tuyến" trong chip, tương tự như ví điện tử trong các loại thẻ thông minh cho giao thông công cộng.
Nhận dạng
Một ứng dụng đang ngày càng được sử dụng phổ biến là thẻ căn cước số. Trong trường hợp này, thẻ được sử dụng cho mục đích xác thực danh tính. Phổ biến nhất là sử dụng thẻ kết hợp với một PKI. Thẻ thông minh sẽ lưu trữ một chứng nhận số mã hóa được cấp bởi PKI cùng với bất cứ thông tin liên quan hoặc cần thiết nào về chủ thẻ. Một số ví dụ bao gồm Thẻ Truy cập chung (CAC) của Bộ Quốc phòng Hoa Kỳ (DoD), và nhiều mẫu thẻ thông minh được các chính phủ sử dụng làm thẻ căn cước cho công dân của mình. Khi kết hợp với thông tin sinh trắc học, thẻ thông minh có thể cung cấp khả năng xác thực hai hoặc ba yếu tố. Thẻ thông minh không phải lúc nào cũng là công nghệ nâng cao quyền riêng tư, bởi thông tin trong chiếc thẻ mà chủ thẻ luôn mang theo có thể bị sử dụng để gây hại cho chính họ. Chủ thẻ còn có thể sử dụng các loại thẻ thông minh không tiếp xúc có thể được đọc mà không cần bỏ ra khỏi ví hay quần áo để việc xác thực tiện lợi hơn.
Khác
Chính phủ Malaysia sử dụng công nghệ thẻ thông minh trong mẫu thẻ căn cước của tất cả công dân và thường trú nhân Malaysia. Thông tin cá nhân trong thẻ thông minh (có tên gọi là MyKad) có thể được đọc bằng các lệnh APDU đặc biệt.
Bảo mật
Thẻ thông minh đã được quảng bá là phù hợp cho các tác vụ nhận dạng cá nhân, nhờ thiết kế chống truy cập trái phép. Vi mạch nhúng bên trong thẻ thường triển khai một số thuật toán mật mã. Tuy nhiên, vẫn có một số cách thức để phục hồi một vài trạng thái bên trong của thuật toán này.
Phân tích năng lượng vi sai
Phân tích năng lượng vi sai là thuật ngữ để chỉ việc đo khoảng thời gian và dòng điện chính xác cần thiết cho một thao tác mã hóa hoặc giải mã nhất định. Phương pháp này thường được sử dụng nhiều nhất cho các thuật toán khóa công khai như RSA để suy đoán ra khóa riêng tư trên vi mạch, mặc dù một số cách triển khai mật mã đối xứng cũng dễ chịu nguy hiểm trước các cuộc tấn công phân thích thời gian hoặc năng lượng.
Tháo rời vật lý
Thẻ thông minh có thể bị tháo rời bằng cách sử dụng acid, chất ăn mòn, hoặc các kỹ thuật khác để có thể truy cập trực tiếp vào bộ vi xử lý trên vi mạch của thẻ. Mặc dù việc áp dụng những kỹ thuật như vậy luôn tạo rủi ro khá lớn làm hư hại vĩnh viễn con chip trên thẻ, chúng lại cho phép trích xuất được lượng thông tin chi tiết hơn nhiều (ví dụ như chụp ảnh chi tiết các bộ phận phần cứng mã hóa).
Nghe lén giao tiếp NFC
Thẻ cần được đặt ở khoảng cách gần (≈10 cm hoặc 4″) để được cấp nguồn. Tuy nhiên, tần số vô tuyến có thể bị nghe lén ở khoảng cách vài mét.
Lo ngại
; Tỷ lệ sử dụng thất bại : Tấm thẻ nhựa chứa con chip thường có chất liệu dẻo dai; con chip càng lớn thì nguy cơ hỏng thẻ càng cao. Thẻ thông minh thường được để trong ví hoặc túi quần — môi trường khá khắc nghiệt cho vi mạch trong thẻ. Tuy nhiên, với các hệ thống ngân hàng lớn, chi phí kiểm soát thanh toán thất bại có thể được bù đắp nhờ giảm thiểu được tình trạng gian lận thẻ. Các loại bao đựng thẻ có thể được sử dụng để giúp cho thẻ không bị hư hại. ; Quyền riêng tư : Sử dụng thẻ thông minh cho giao thông công cộng tiềm ẩn rủi ro xâm phạm quyền riêng tư, bởi một hệ thống như vậy cho phép đơn vị vận hành, ngân hàng, và nhà chức trách theo dõi được chuyển động của người dùng thẻ. Lo ngại này cũng có thể áp dụng cho việc ngân hàng có thể theo dõi các giao dịch thanh toán của chủ thẻ. Thông tin này đã từng được sử dụng trong quá trình điều tra vụ đánh bom Myyrmanni tại Phần Lan năm 2002. ; Trộm cắp và giả mạo : Công nghệ không tiếp xúc không ngăn cản việc nhập mã PIN để xác thực người dùng, nhưng các giao dịch giá trị thấp (giao dịch mua hàng bằng thẻ tín dụng/ghi nợ ngân hàng hoặc thanh toán vé giao thông công cộng) thường không yêu cầu nhập PIN. Điều này khiến thẻ dễ bị trộm cắp hơn, hoặc bị kẻ gian giả mạo chủ thẻ để sử dụng. ; Sử dụng ở nước ngoài : Mạng dữ liệu trong nước có thể nhanh chóng chuyển thông tin giữa các thiết bị đầu cuối và hệ thống ngân hàng trung tâm, do đó giới hạn thanh toán không tiếp xúc có thể được giám sát và quản lý. Tuy nhiên, điều này có thể không thể thực hiện được khi sử dụng thẻ ở nước ngoài. ; Phát hiện khi có nhiều thẻ : Khi có hai hoặc nhiều thẻ không tiếp xúc ở khoảng cách gần nhau, hệ thống có thể gặp khó trong việc phân định thẻ nào là thẻ được sử dụng. Thiết bị đọc thẻ có thể trừ tiền sai thẻ hoặc từ chối cả hai. Vấn đề này thường chỉ xuất hiện khi nhà cung cấp dịch vụ sử dụng loại thẻ dùng để thanh toán để đơn giản hóa việc truy cập vào dịch vụ - ví dụ, người dùng có thể dùng một chiếc ví có chứa một tấm thẻ truy cập bãi đỗ xe, một tấm thẻ ra vào tòa nhà chung cư và nhiều loại thẻ thanh toán không tiếp xúc thường để quẹt khi ra vào bãi đỗ xe hoặc một cơ sở nào đó - khi đó hệ thống truy cập bãi đỗ có thể tự phát hiện loại thẻ tương ứng trong ví và mở rào chắn. Tuy nhiên, tại các cửa hàng bán lẻ, người mua được khuyên nên rút tấm thẻ không tiếp xúc cần sử dụng ra khỏi ví khi thanh toán. Điều này ít nhất có thể giúp chủ thẻ chủ động dùng chiếc thẻ mà họ muốn để thực hiện thanh toán. Việc phân biệt giao dịch thanh toán đơn lẻ với giao dịch đăng ký định kỳ cũng là một vấn đề khi thanh toán bằng thẻ.