È possibile utilizzare Mifare Classic 1k per i pagamenti micro in modo sicuro?
Ho in mente un sistema da utilizzare in una sala giochi arcade. Stai ricevendo una carta dal cassiere e puoi ricaricarla ad esempio con 100 punti (sono scritti sulla carta non nel database e solo usando l'ID). Quindi puoi andare su ciascuna macchina, scansionare la carta sul lettore e i tuoi punti saranno diminuiti, e i punti rimasti saranno visualizzati sul display LCD.
Quindi ogni volta che si scansiona la carta, scrive nuovi dati e ne controlla l'integrità.
È possibile essere completamente a prova di proiettile e non può essere copiato su un hardware personalizzato?
Creerò l'hardware per accettare pagamenti sui giochi arcade e software / hardware per le operazioni di ricarica.
Stavo pensando a una soluzione in cui salverò un hash (con qualche seme segreto) dell'ID univoco della carta, e l'ammontare dei punti correnti e lo salverò nella eeprom della carta (con una certa quantità di punti). Posso avvolgerlo all'interno di un blocco AES o 3DES per maggiore sicurezza. Conserverò le chiavi e l'hashing nell'hardware, quindi sarà abbastanza sicuro.
Le mie preoccupazioni sono:
- Cosa succede se qualcuno prenderà la carta durante l'operazione di scrittura?
- Qualcuno potrà copiare la carta su qualche tipo di emulatore con il suo identificatore univoco e il contenuto di eeprom?
- Forse c'è un'altra routine da usare, meglio di "leggere, scrivere, controllare" e accendere il gioco?
- Ho scoperto che lo standard Mifare DesFire è per soluzioni di micropagamenti, ma le carte sono più costose, probabilmente anche l'hardware. Tuttavia, forse qualcuno ha qualche esperienza e non è così spaventoso come sembra?
- Qualcuno ha raccomandazioni sull'hardware per Mifare, ovviamente.
Molto apprezzato qualsiasi input.