כרטיס מגנטי
כרטיס מגנטי הוא סוג של כרטיס שניתן לאחסן עליו נתונים על ידי שינוי המגנטיות של חלקיקים מגנטיים זעירים מבוססי ברזל המוטבעים על רצועה של חומר מגנטי על פני הכרטיס. הפס המגנטי ניתן לקריאה על ידי העברה של הכרטיס על פני הראש קריאה מגנטית. כרטיסים מגנטיים משמשים בדרך כלל בכרטיסי אשראי, כרטיסי נסיעה ועוד. הם עשויים גם להכיל תגי RFID, מכשיר transponder ו/ או שבב המשמשים בעיקר לבקרת גישה לאזורים רגישים וכאמצעי תשלום אלקטרוני.
הקלטה מגנטית על סרט פלדה פותחה בדנמרק סביב שנת 1900 לצורך הקלטת אודיו.[1] בשנות החמישים הומצא הקלטה מגנטית של נתוני מחשב דיגיטליים על קלטת פלסטיק מצופה תחמוצת ברזל. ב-1960, IBM השתמשה ברעיון הקלטת המגנטית כדי לפתח דרך אמינה להטמעת פסים מגנטיים על כרטיסי פלסטיק,[2] במסגרת חוזה למערכת אבטחה עבור ממשלת ארצות הברית. כמו כן נקבעו מספרי התקינה המגדירים את התכונות הפיזיות של הכרטיס, הגמישות, מיקום הפס המגנטי, המאפיינים המגנטיים, ותבניות הנתונים. הם גם מספקים את הסטנדרטים של כרטיסי פיננסיים, כולל הקצאת טווחי מספרים למוסדות המנפיקים כרטיסים שונים.
היסטוריה
עריכהאחסון מגנטי פותח במהלך מלחמת העולם השנייה ואחסון נתוני מחשב פותח בשנות ה-50.[2]
בשנת 1969 הגה פורסט פארי, מהנדס יבמ, רעיון לאבטחת חתיכת סרט מגנטי, מדיום האחסון השולט באותה תקופה, על בסיס כרטיס פלסטיק. עבודתו הראשונית למציאת דבק שיקבע את הסרט המגנטי לכרטיס כשלה כיוון שכל דבק שהוא ניסה הניב תוצאות בלתי מספקות. רצועת קלטת עוותו כך שלא ניתן היה לקרוא את הנתונים שהופיעו עליהם או שהתכונות של הדבק פגעו במגנטיות של הרצועות. לאחר יום מתסכל במעבדה, כשהוא מנסה למצוא את הדבק הנכון, הוא חזר הביתה עם כמה חתיכות של סרט מגנטי וכמה כרטיסי פלסטיק. כשהסביר לאשתו את מקור התסכול שלו היא הציעה לו להשתמש במגהץ כדי להמיס את הפס. הסתבר כי החום של המגהץ התאים בדיוק כדי לקבע את הסרט המגנטי לכרטיס.[3][4]
השימוש הראשון בכרטיסים מגנטיים
עריכהעיקר הפיתוח של כרטיסים מגנטים העשויים מפלסטיק החל בשנת 1969 ב-IBM Information Records Division (IRD) שבסיסה בדייטון ניו ג'רזי. בשנת 1970, הועבר גם השיווק אל ה-IRD כדי להתחיל מכירה ושיווק של הכרטיסים.[5] במשך כשנתיים פיתחו מהנדסי IBM IRD תהליך אמין להטבעה של פס מגנטי על כרטיסי פלסטיק באמצעות חום, ואת אופן הקידוד של הפס המגנטי המשתמש בטכנולוגיה של ברקוד אופטי.[6][7] השימושים הראשונים של הטכנולוגיה החדשה היו כרטיסי אשראי בנקאיים וכרטיסי זהות ששימשו בנקים, חברות ביטוח, בתי החולים ורבים אחרים. תוצאה נוספת של פרויקט זה הייתה כי IBM IRD ו-IBM Data Processing Division הכריזו ב-24 בפברואר 1971 על מרכז שירות כרטיסי האשראי המגנטי הראשון ועל מסלקת האשראי הראשונה.[5] תהליך הפיתוח והבניה בוצע באזור מאובטח במתקן של יבמ IRD בדייטון, ניו ג'רזי אשר נבנה במיוחד עבור הפרויקט. רמת האבטחה הגבוהה נדרשה בגלל הרגישות של הנתונים, שישמו לצורך זיהוי של כרטיסי זהות וכרטיסי אשראי.
פיתוחי קידוד הברקוד
עריכהמהנדסי IRD פיתחו תהליך אמין של הטבעה חמה של הפס המגנטי על כרטיסי הפלסטיק. הפס המגנטי קודד עם רצועת נתונים יחידה בעזרת תבנית הברקוד האופטית של Delta Delta C[6][7] שפותחה על ידי החטיבה לפיתוח מערכות IBM.[6] קבוצת יבמ התמודדה עם RCA, ליטון-צלווגר וחברות אחרות שעבדו עם איגוד הסוחרים הקמעונאיים הלאומית האמריקנית NRMA לפיתוח ברקוד אופטי סטנדרטי שישמש בתעשייה הקמעונאית. NRMA רצתה קוד אופטי קריא שניתן להדפיס על גבי מוצרים ואריזות המאפשר לרוכשים "להעביר" את המוצרים במהירות בקופות הרושמות/ קופות האלקטרוניות החדשות שפותחו. הקוד אמור היה לשמש גם לייצור ובקרת מלאי של מוצרים. מבין שלל ברקודים אופטיים שהוגשו ל-NRMA על ידי יבמ וחברות אחרות, NRMA בחרה לבסוף בגרסה המאוחרת יותר של הברקוד של יבמ המכונה פורמט הברקוד האופטי Delta Distance D. קוד ה-Delta Distance C היה גרסה קודמת יותר של קוד המוצר האוניברסלי (UPC). קוד ה-UPC נבחר בשנת 1973 על ידי NRMA כסטנדרט שלו והפך לתקן העולמי שכולנו מכירים כיום כקוד המוצר האחיד של UPC.[8]
כרטיסים פיננסיים
עריכהבכל כרטיס מגנטי מוטבעים עד שלוש רצועות המכונים רצועות 1, 2 ו-3. כאשר ברצועה השלישית כמעט ולא נעשה שימוש על ידי הרשתות הגדולות בעולם, ולעיתים קרובות הוא אפילו לא מוטבע פיזית בכרטיס על מנת ליצור פס מגנטי צר יותר. קוראי כרטיסים בנקודת מכירה קוראים כמעט תמיד רק רצועה אחת, ומשתמשים ברצועה השנייה רק במקרה שהרצועה הראשונה אינה קריאה. המידע המינימלי הנדרש להשלמת עסקה קיים בכל אחד מהרצועות. לרצועה 1 צפיפות סיביות גבוהה יותר (210 סיביות לאינץ' לעומת 75) והיא הרצועה היחידה שעשויה להכיל טקסט אלפביתי, ומכאן שהיא הרצועה היחידה שמכילה את שם בעל הכרטיס.
רצועה 1 נכתבת עם קוד המכונה DEC SIXBIT בתוספת זוגיות משונה. המידע על רצועה 1 בכרטיסים פיננסיים מקודד בכמה פורמטים: A השמורה לשימוש קנייני של מנפיק הכרטיסים; B, המתואר להלן; C-M, ששומרים לשימוש על ידי ועדת המשנה של ANSI X3B10 ו-N-Z, הזמין לשימושם של מנפיקי כרטיסים:
רצועה 1
עריכהפורמט B:
- תו התחלה - תו אחד (בדרך כלל '%').
- קוד פורמט = "B" - תו אחד (אלפא בלבד).
- מספר חשבון ראשי (PAN) - עד 19 תווים. בדרך כלל, אך לא תמיד, תואם למספר כרטיס האשראי המודפס בקדמת הכרטיס.
- מפריד שדה - דמות אחת (בדרך כלל '^').
- שם - 2 עד 26 תווים.
- מפריד שדה - דמות אחת (בדרך כלל '^').
- תאריך תפוגה - ארבעה תווים בצורה YYMM.
- קוד שירות - שלושה תווים.
- נתונים על פי שיקול דעת - עשוי לכלול מחוון מפתח לאימות קוד סודי (PVKI, תו אחד), ערך אימות לקוד הסודי (PVV, 4 תווים), ערך אימות כרטיס או קוד אימות כרטיס (CVV או CVC, שלושה או ארבעה תווים).
- תו סיום - תו אחת (בדרך כלל '?').
- בדיקת יתירות לאורך (LRC) - תו יחיד המחושב על בסיס יתר הנתונים ומשמש לבדיקת תקינות קריאת הנתונים.
רצועה 2
עריכהפורמט זה פותח על ידי ענף הבנקאות (ABA). רצועה זו נכתבת בתוכנית של 5 סיביות (4 סיביות נתונים + 1) המאפשרת שישה עשר תווים אפשריים: הספרות 0–9, בתוספת ששת התווים : ; < = > ?
. הבחירה בסימני פיסוק עשויה להיראות מוזרה, אך למעשה שישה עשר הסיביות האלו ממפות את הטווח 0x30 עד 0x3f ב-ASCII, המגדיר את תווי הספרות ותוספת ששת הסמלים. פורמט הנתונים הוא כדלקמן:
- תו התחלה - דמות אחת (בדרך כלל).
- מספר חשבון ראשי (PAN) - עד 19 תווים. בדרך כלל, אך לא תמיד, תואם למספר כרטיס האשראי המודפס בקדמת הכרטיס.
- מפריד שדה - תו אחד (בדרך כלל).
- תאריך תפוגה - ארבעה תווים בצורה YYMM.
- קוד שירות - שלוש ספרות. הספרה הראשונה מציינת את כללי ההחלפה, השנייה מציינת עיבוד הרשאות והשלישית מפרטת את מגוון השירותים.
- נתונים על פי שיקול דעת - כמו במסלול הראשון.
- תו סיום - תו אחד (בדרך כלל).
- בדיקת יתירות לאורך (LRC) - תו יחיד המחושב על בסיס יתר הנתונים ומשמש לבדיקת תקינות קריאת הנתונים.
ערכי קוד שירות הנפוצים בכרטיסים פיננסיים:
ספרה ראשונה
- 1: עסקאות בינלאומיות.
- 2: עסקאות בינלאומיות, השתמש ב-IC (שבב) במידת האפשר.
- 5: עסקאות לאומיות למעט בהסכם דו צדדי.
- 6: עסקאות לאומיות למעט במסגרת הסכם דו צדדי, השתמש ב-IC (שבב) ככל שניתן
- 7: ללא עסקאות אלא בהסכם דו צדדי (לולאה סגורה).
- 9: בדיקה.
ספרה שנייה
- 0: רגיל.
- 2: צור קשר עם מנפיק הכרטיס באמצעים מקוונים.
- 4: צור קשר עם מנפיק הכרטיס באמצעים מקוונים למעט במסגרת הסכם דו צדדי.
ספרה שלישית
- 0: אין מגבלות, נדרש קוד סודי.
- 1: אין מגבלות.
- 2: טובין ושירותים בלבד (ללא מזומן).
- 3: כספומט בלבד, נדרש קוד סודי.
- 4: מזומן בלבד.
- 5: טובין ושירותים בלבד (ללא מזומן), נדרש קוד סודי.
- 6: ללא הגבלות, השתמש בקוד הסודי ככל האפשר.
- 7: טובין ושירותים בלבד (ללא מזומן), השתמש בקוד הסודי ככל האפשר.
סוגי כרטיסים אחרים
עריכהכרטיסים חכמים הם דור חדש יותר של כרטיסים המכילים מעגל משולב. כרטיסים אלו מאפשרים קשר בעזרת נקודות מתכת על הכרטיס המאפשרים חיבור חשמלי של הכרטיס לקורא, וכרטיסים ללא מגע המשתמשים בשדה מגנטי או בתדר רדיו (RFID) לקריאת קרבה.
כרטיסים היברידיים הכוללים פס מגנטי בנוסף לשבב - שילוב זה נפוץ במיוחד בכרטיס חיוב, כרטיסים אלו מתאימים גם למסופי תשלום שאינם כוללים תואמים לכרטיסים חכמים.
כרטיסים עם שלוש התכונות: פס מגנטי, שבב חכם ושבב RFID הופכים נפוצים כיוון שהשילוב של כל התכונות מאפשר פעולות רבות יותר.[9]
חולשות
עריכהDEF CON 24
עריכהבמהלך DEF CON 24, הציג ווסטון הקר אפשרות לשכפול של מפתחות מלונות ומערכות מכירה. בהרצאה, הקר תיאר את אופן הפעולה של כרטיסים מגנטיים והשתמש בתוכנות זיוף,[10] וארדואינו כדי להשיג גישה לחדרי מלון באמצעות כרטיסי החדרים של אנשי שירות העוברים לידו. הקר טוען שהוא השתמש במפתחות ניהול ממערכות קופה במערכות אחרות, בעזרתם סיפק גישה לכל מערכת עם קורא פס מגנטי, והעניק גישה לניהול פקודות מיוחדות.
ראו גם
עריכהקישורים חיצוניים
עריכההערות שוליים
עריכה- ^ "AES Historical Committee". www.aes.org.
- ^ 1 2 Jerome Svigals, The long life and imminent death of the mag-stripe card, IEEE Spectrum, June 2012, p. 71
- ^ "IBM100 - Click on "View all icons". Click on 8th row from the bottom titled "Magnetic Stripe Technology"". 2011-02-03. נבדק ב-2011-02-03.
- ^ "Article on Forrest Parry, pages 3-4" (PDF). אורכב מ-המקור (PDF) ב-2011-10-27. נבדק ב-2011-11-29.
- ^ 1 2 "IBM Archives: DPD chronology - page 4". 03.ibm.com. נבדק ב-2015-10-25.
- ^ 1 2 3 "Who Made That Universal Product Code". The New York Times. נבדק ב-2015-10-25.
- ^ 1 2 "IBM100 - UPC". 03.ibm.com. נבדק ב-2015-10-25.
- ^ "Retail Identification History Museum History of the UPC". Idhistory.com. נבדק ב-2015-10-25.
- ^ "ID Card Supply Now Offers Triple-Secure ID Cards With Magnetic Strip, RFID and Smart Chip - Press Release". Digital Journal. 2014-07-09. נבדק ב-2015-10-25.
- ^ "Samy Kamkar: MagSpoof - credit card/magstripe spoofer". samy.pl. נבדק ב-2016-12-02.