YTV / HSY / HSL matkakorttisysteemin tarkastelu
Projektin tavoittet
Sisältö päivitetty viimeksi 23.5.2009 :)
Tavoitteena olisi selvittää korttisysteemin toimintaperjaatteet. Minkälaisia kortteja käytetään? Miten niitä muokataan? Mitkä tiedot ovat kortilla? Onko "arvo/kausi" kortilla vai palvelimella? Onko erillistä "offline"-tilaa? Mitä salauksia käytetään? Minkälaisia laitteita tarvitaan korttien lukemiseen ja kirjottamiseen? Selvittää käytettäviä standareja. Selvittää salausmenetelmät. Selvittää käyttötaajudet. Tutkia antennia. Selvittää onko piiri WROM, R/O tai R/W. jne..
Matkakorttisysteemi
Päivittäin matkakorttia käytetään n. 1,2 miljoona kertaa, kortteja tätä varten on noin miljoona kappaletta. Kortinlukijoita on yli 3000 sekä 100 käsilukijaa tarkastajille.
Järjestelmän on toimittanut Eterra Oy, ajoneuvojärjestelmän laitetoimituksista vastaa Buscom Oy ja korteista Idesco Oy.
Matkakortti
YTV käyttää tällä hetkellä Idescon valmistamia matkakortteja. Käytössä olevalla ratkaisulla ei ole mitään standardia.
YTV on uusimassa tekniikkaansa 2009 kesällä. Korttivalinnassa päädyttiin NXP Semiconductorsin Mifare Desfiren 4Kbytes korttiin. MIFARE DESFire kortissa noudatetaan ISO/IEC 14443 -standardia. Korttiin päädyttiin sen ISO-standarin takia koska systeemiä ollaan avaamassa myös kolmansille osapuolille. 4Kbytes-kortti valittiin sen 128-bittisen AES-salauksen takia. Eniten käytetty rfid-kortti 1Kbytes Mifare Desfire -kortti on jo hakkeroitu.
Tämänhetkisten matkakorttien ID:t ovat luultavasti muotoa: F2430011101XXXXXXXx jossa x on jokin luku. Kortit ovat luultavasti siis otettu käyttöön numerojärjestyksessä.
| Vuonna 2001/02 käyttöön otettu kortti | Kesällä 2009 käyttöön otettava kortti | |
|---|---|---|
| Kuva |  |
 |
| Tekniikka | MIFARE tai I-CODE | MIFARE |
| Valmistaja | Idesco | NPX Semiconductors |
| Malli | 1kByte CARD, MIFARE 4kByte CARD tai I-CODE CARD | MIFARE DESFire |
| Standardi | Kortti ei ole standardoitu mutta luultavasti lähellä ISO 14444 (RFID) | ISO/IEC 14443 (1-4) Type A |
| Käyttätaajuus | 13,56 MHz | 13.56 MHz |
| Muisti | 512bit, 8kbit tai ? | 4Kbytes |
| Suojaus | IP67 | 128-bit AES |
MISFARE DESFire
MISFARE DESFire evoluutio
- 2002 - MIFARE DESFire introduced, microprocessor based product.
- 2004 - MIFARE DESFire SAM introduced, secure infrastructure counterpart of MIFARE DESFire.
- 2006 - MIFARE DESFire EV1 is announced as the first product to support 128-bit AES
Lukulaite
Lukulaite on Buscomin valmistama laite joka sekä lukee että kirjoittaa matkakortin. Laite on suuniteltu kestämään ilkivaltaa.
| Kortinlukija | Tarkastajien lukija | |
|---|---|---|
| Kuva |  |
 |
| Tekniikka | RFID ja contact card | RFID ja contact card |
| Toimittaja | Buscom Oy | Buscom Oy |
| Malli | PR200 | ITE200 |
| Standardi | ISO 14443 ja ISO 7816 (contact card) | Luultavasti samat kuin PR200 |
| Toiminnot | Luku ja kirjoitus | Luultavasti samat kuin PR200 |
| Muuta | - | Pystyy tulostamaan. Esim. lippuja |
Matkakortin lataaminen
"Rautakirjan uuteen myymäläjärjestelmään tehdyllä selainpohjaisella ohjelmistolla hoidetaan Matkakorttijärjestelmän etäluettavien korttien myynti ja lataus sekä ohjaus- ja tilitystietojen välitys Rautakirjan ja YTV:n välillä."
"Matkakortin voi ladata asuinkunnasta riippumatta kaikissa YTV:n seutulippualueen R-kioskeissa ja muissa matkakorttitunnuksella merkityissä kioskeissa, matkakortin palvelupisteissä, automaateissa, VR:n lipunmyyntipisteissä, Kampin Matkakeskuksessa ja Stockmannin tavarataloissa."
Uskon että olisi kiinostavaa nuuskia lataamisprosessia rfid-lukijalla. Monilippuautomaatissa ei ole päällenäkyvää tietoa systeemin valmistajasta, kummiskin sirukorttilukijan kohdalla lukee DioneX. Uskon kummiskin ettei DioneX ole valmistanut koko lippuautomaattia vaan pelkästään sirukortinlukijan.
YTV
Matkakortin seuranta, MBnet:in jutusta
"Vuonna 2001 otettiin pääkaupunkiseudulla käyttöön matkakortti, joka korvaa Helsingin, Espoon, Vantaan ja Kauniaisten joukkoliikenteen pahviset liput. Matkakortti näytetään kortinlukijalle aina, kun liikennevälineeseen noustaan. Kansalaisten keskuudessa tämä herätti epäilyksiä siitä, että liikkumistamme seurataan."
"Matkakortin masinoinut pääkaupunkiseudun yhteistyövaltuuskunta eli YTV keräsikin aluksi atk-järjestelmällään matkoista tietoa, joka oli yhdistettävissä yksittäisiin henkilöihin. Näin oli periaatteessa mahdollista selvittää missä yksittäinen ihminen oli liikkunut bussilla, metrolla, raitiovaunulla, junalla tai lautalla. Tiedot tallentuivat YTV:n henkilörekisteriin useiksi kuukausiksi."
"Kun tietosuojavaltuutettu Reijo Aarnio vaati YTV:ltä selvitystä asiasta, syntyi kiista, joka lopulta ratkesi helmikuussa 2003 YTV:n ilmoittaessa, ettei se enää kerää minkäänlaisia matkustustietoja asiakasrekisteriinsä. Lisätietoja matkakortista saat osoitteesta"
Otoksia ytv:n matkaehdoista
-
"Henkilöllisyyden osoittaminen
Henkilökohtaista matkakorttia voi käyttää vain matkakortin omistaja, jonka on pyynnöstä esitettävä tarkastajalle luotettava selvitys henkilöllisyydestään ..." -
"Kortin käyttöikä
Matkakortin käyttöikä on 10 vuotta ostohetkestä alkaen, mutta enintään kortin vaihtoon asti. Nykyisten matkakorttien vaihto uuden sukupolven matkakortteihin alkaa vuoden 2009 aikana. Vaihdon yhteydessä vanhan kortin tiedot siirretään uuteen korttiin. Matkakortin vaihtamisesta uuden sukupolven kortiksi ei peritä asiakkaalta korttimaksua.
Asiakasryhmän voimassaoloaikaa tai kausilippua ei voi ladata kortin käyttöiän päättymisen jälkeiselle ajalle. Kortin vaihtokauden jälkeen vanha kortti ei kelpaa kortinlukijalla, ..." -
"Tietosuoja
Matkakorttijärjestelmän asiakasrekisteriin kerätään asiakkaan yksilöintitiedot ja ne lataus- ja lipunmyyntitapahtumat, joita YTV tarvitsee hoitaessaan matkakorttijärjestelmän asiakaspalvelua ja kuluttajansuojaa. Asiakasrekisteriin kerättävät tiedot on lueteltu yksityiskohtaisesti ..."
Linkkejä
Artikkeleita
- YTV:n etäluettavat matkakortit Rautakirjan pk-seudun kioskeihin
- Satelliittipaikannus avittaa YTV:n uusia matkakortteja
- Hackers Find a Way to Crack Popular Smartcard in Minutes (pcworld)
- YTV:n matkakortin operointi ulkoistuu 8 miljoonalla (tekniikka & talous)
- Hakkerit ajelivat Lontoon metrolla ilmaiseksi (digitoday)
- Alert over security as researchers show Oyster card can be cracked with laptop (timesonline)
- Oyster card: fears over Mifare security (telegraph.co.uk)
- Kohtalomme on tietokoneiden käsissä, Mitä rekisterit tietävät sinusta? (MBnet)
Oppaat/info
- YTV:n kokouksen pöytäkirja (PDF)
- YTV:n matkakorttiopas (ytv)
- Wikipedia matkakortti (wikipedia)
- ISO/IEC 14443 standardi (wikipedia)
- ISO/IEC 14443 standardi (wg8)
- Lari Koskisen insinöörityö: RFID-tekniikka ja sen sovellukset (PDF)
- VVT:n raportti: RFID-tekniikan hyödyntäminen asiakkuuden hallinassa (PDF)
- AES (Wikipedia)
- Buscom Oy
- Idesco products