Apple описала свой новый платежный сервис Apple Pay, который, как планируется, станет первым шагом к достижению цели компании по замене бумажника, как «легкий, безопасный и конфиденциальный». Apple Pay включает несколько различных функций, которые предлагают клиентам гораздо большую безопасность по сравнению с традиционной кредитной картой, в том числе номера учетных записей устройств, которые заменяют номера кредитных карт, динамические коды безопасности для каждой транзакции и биометрическую верификацию платежей с использованием Touch ID.

Накануне выпуска Apple Pay, Йони Хейслер из TUAW подробно рассмотрел функции безопасности, встроенные в платежный сервис, описывая способы защиты Apple информации о клиентах.

Хотя Apple Pay построен на существующей NFC-технологии, исследование Хейслера предполагает, что это первая реализация спецификации токенизации EMVCo — нового фреймворка безопасности, разработанного для новых платежных методов. По словам бывшего руководителя кредитных карт Тома Нойеса, эта спецификация является «самой безопасной платежной схемой на планете».

Как ранее предполагалось, Apple Pay использует «токен», который компания называет Номером учетной записи устройства, для замены существующего номера кредитной карты пользователя на iPhone. Случайное 16-значное число, Номер учетной записи устройства гарантирует, что ни один продавец не сможет получить номер кредитной карты пользователя, защищая потребителей от утечек безопасности в розничной торговле, как указывает TUAW, поскольку токены — это случайные числа, которые не могут быть расшифрованы обратно в номер кредитной карты.

Номера учетных записей устройств, или токены, связаны с динамически генерируемым кодом одноразового использования, который заменяет CCV кредитной карты при каждой транзакции.

Предоставляя дополнительный уровень безопасности, iPhone с Apple Pay во время каждой транзакции также отправляет динамически сгенерированный CVV по цепочке вместе с криптограммой. CVV — это трехзначная строка, расположенная на обратной стороне вашей кредитной карты, и в случае Apple Pay это динамическая строка, сгенерированная алгоритмически и привязанная непосредственно к токену. Сама криптограмма «уникально идентифицирует устройство», которое создало токен, и, согласно спецификации EMV Payment, вероятно, состоит из зашифрованных данных, полученных от токена, самого устройства и данных транзакции. Однако стоит отметить, что точные компоненты криптограммы Apple Pay публично не известны.

Как отметил Хейслер, Номер учетной записи устройства не может быть использован в транзакции без сопровождающей криптограммы одноразового использования, которая подтверждает, что «токен в пути был получен с используемого устройства». Криптограммы также содержат информацию о транзакции, такую как идентификатор продавца и сумма списания средств.

Транзакция, включающая Номер учетной записи устройства и сопровождающую криптограмму, далее проверяется с помощью Touch ID, который фактически заменяет небезопасные методы проверки, такие как пароли и PIN-коды.

По словам руководителя отдела кредитных карт, который разговаривал с TUAW, транзакции с токенами в реализации Apple «представляют собой новый и значительно более высокий стандарт безопасности для электронных платежей».

Объем безопасности, встроенный в предоставление токенов и поддержку транзакций, является новым стандартом, который, как я думаю, определенно изменит модели мошенничества в будущем.

Ожидается, что Apple Pay будет запущен в октябре благодаря обновлению iOS 8. Подсказки о Apple Pay уже были обнаружены в бета-версии iOS 8.1, которая была выпущена для разработчиков в понедельник. Полный обзор безопасности Apple Pay от TUAW, охватывающий токены, Touch ID и многое другое, определенно стоит прочитать.