Je souhaite mettre au point un système de payement avec des cartes RFID ou un technologie du même style. Le système servirait pour payer à une machine automatique.
La carte se rechargerait via une borne spécialement prévue à cet effet.
Je souhaiterais cependant savoir:
- Est-il possible de stocker des informations autre qu'un ID dans une carte RFID? Est-il envisageable de stocker le solde restant de la carte?
- Si oui. Est-ce sur comme méthode? Je crains que quelqu'un de malin en électronique ne falsifie facilement sa carte en se rajoutant du crédit.
Je ne sais pas ce que sont les cartes paywave. Je chercherai un peu plus.
En fait, je pensais à l’éventualité de stocker le solde sur un serveur et que chaque carte ait un Id. Et un programme pour aller chercher l'info sur le serveur.
Niveau informatique, je pense que c'est dans mes cordes mais en électronique...
En fait, les cartes MIFARE ne te dispensent pas de conserver les soldes côté serveur. Par contre, ça te permet de vérifier que la carte avec laquelle le retrait est fait est la carte d'origine. Quelqu'un créant une fausse carte ne pourra pas t'envoyer l'id d'une vraie carte pour voler le crédit de quelqu'un d'autre. En fait, l'id devient inutile, puisque le simple fait que la carte puisse chiffrer les données avec la bonne clef permet de garantir que c'est la carte attendue (sauf si la clef privée est compromise, mais, normalement, personne ne l'a, et les clefs sont assez grosses pour ne pas être cassées avec les moyens de calcul dont on dispose actuellement).
De toute façon, la solution avec le serveur m'arrange:
- Plus de sécurité
- Suivi des achats en reprenant aussi la machine qui a été utilisée
- Possibilité de recharger la carte sans lecteur RFID (en ligne par exemple)
Ceci dit, je ne comprend pas pourquoi tu dis que l'ID est inutile. Il faut tout de même bien identifié la carte pour en récupérer le solde, non?
Je ne trouve rien sur le fait de créer une interface entre le lecteur RFID et un ordinateur mais je continue mes recherches. A noter qu'un ordinateur contrôlerait plusieurs lecteurs. Le but est de réduire le coût même si cela m'expose à un plus grand risque: plus de machines en pannes si un ordinateur tombe en panne... A noter qu'un site de vente contient une 20ène de machines.
Ceci dit, je ne comprend pas pourquoi tu dis que l'ID est inutile. Il faut tout de même bien identifié la carte pour en récupérer le solde, non?
Si tu as juste un id, peut tricher en donnant l'ID de quelqu'un d'autre, et faire payer quelqu'un d'autre à sa place. Si on a des cartes avec du chiffrement asymétrique, la clef publique de la carte est son id, il n'est plus nécessaire de rajouter un id dans les données stockées sur la carte.
Possible. De toute façon, j'opte vraiment pour le serveur. Les possibilités sont plus grandes et la sécurité reste un point essentiel dans la réalisation de ma solution.
J'en suis maintenant à chercher des cartes dont on ne peut modifier l'ID. J'imagine aussi de définir moi même les ID et un code de sécurité qui sera dérivé de l'ID. Ainsi, à la lecture de la carte, si l'ID ne correspond pas au code de sécurité, c'est que c'est une fausse. Ceci dit, je n'y connais rien en chiffrement.
Et aussi trouver une interface électronique et informatique.
Sincèrement, si vous avez des liens, des trucs et astuces, etc. Je suis preneur. Je m'y connais en programmation mais en électronique, je suis une bille...
Ceci dit, je ne comprend pas pourquoi tu dis que l'ID est inutile. Il faut tout de même bien identifié la carte pour en récupérer le solde, non?
Si tu as juste un id, peut tricher en donnant l'ID de quelqu'un d'autre, et faire payer quelqu'un d'autre à sa place. Si on a des cartes avec du chiffrement asymétrique, la clef publique de la carte est son id, il n'est plus nécessaire de rajouter un id dans les données stockées sur la carte.
Oui mais un quelconque faussaire peut changer la clef publique, non?
Ton serveur connais la clef publique, donc on ne peut pas utiliser une fausse clef, et si une carte essaye d'utiliser la clef publique d'une autre carte, elle ne pourra pas émettre de communications, puisqu'elle doit les chiffrer avec la clef privée (qu'elle n'a pas) pour les authentifier.
Je suis désolé mais je ne comprends pas... Je viens de lire le tutoriel sur le chiffrement mais ça ne m'aide pas.
En fait, dans ce que tu me décris, je ne comprend pas ce que va contenir la carte...
Selon moi, la carte devrait juste contenir l'ID chiffré. Ensuite l'ordinateur déchiffrera cet ID pour avoir le vrai ID et faire la requête sur le serveur.
La carte va contenir le bloc de chiffrement asymétrique (celui là, il est fondu dans la puce) et le programme de dialogue avec le serveur. pour établir une communication, la carte donne sa clef publique, le serveur donne sa clef publique, la carte envoie des données chiffrées avec sa clef privée et la clef publique du serveur, le serveur déchiffre avec sa clef privée (que lui seul connait, donc il est le seul à connaitre le contenu du message) et avec la clef publique de la carte (la carte étant la seule à avoir sa clef privée, elle est la seule à pouvoir chiffrer son message de tel sorte qu'il soit déchiffrable avec sa clef publique). Le serveur reçoit donc une demande de paiement de la par d'une carte qu'il peut authentifier grâce à la clef publique de la carte, consulter le solde, valider ou non le paiement. (dans ton architecture, le lecteur et le serveur sont séparés, il faut donc en plus adopter le même protocole entre le lecteur et le serveur)
Avec ta solution, ta carte contient un ID chiffré, je lis l'ID chiffré je le copie sur une autre carte, je remet la carte dans le portefeuille de sont propriétaire, et je peux maintenant faire des achats avec le compte de la carte que j'ai subtilisée 10s. Ou sinon j'écoute le réseau et j'intercepte les ID chiffrés à la volée. Bon, après, il faut voir à quoi est destiné ton système. Si c'est des cartes de photocopieuse, c'est surement pas la peine de s'embêter plus que ça. Ce que je propose, ci-avant, c'est le genre de système qu'on utilise pour les distributeurs automatiques bancaires.
J'avoue que je ne sais pas me représenter ce que tu expliques. Je ne comprend pas bien. Si jamais tu as un lien ou quelque chose expliquant les notions, je suis preneur.
Je vais de mon côté continuer les recherches.
Il ne s'agit pas d'un guichet de banque, loin de là. Ce n'est pas très critique comme application mais le problème, si on ne prévoit pas dès le début, c'est que le jour où la faille est découverte, la faillite ne sera sans doute pas loin. En effet, je n'imagine pas changer tous les lecteurs ou les cartes.
Finalement après réflexion, la solution avec la carte en stand-alone est encore possible. Ceci dit, ça ne résout en rien mon problème de sécurité.
Je viens de voir la question. Je trouve que dire que la sécurité est plus grande sur un serveur est discutable...
Par exemple si ton serveur tombe ou si tu te fais pirater tes données sont potentiellement perdu. Cependant si les données sont dans une carte chaque propriétaire de sa carte est responsable enfin c'est mon point de vu après tu peux faire une duplication et une synchro...
Seconde question pourquoi n'utilise tu pas le TAG Mifare pour identifier les cartes?
Seconde question pourquoi n'utilise tu pas le TAG Mifare pour identifier les cartes?
C'est moi qui ait proposé le Mifare, comme solution aux problématiques de sécurité. Ce n'est pas encore la solution retenue : 2pax.cruz n'a pas été formé à la cryptographie, du coup, la solution n'a rien d'intuitif pour lui.
Je viens de voir la question. Je trouve que dire que la sécurité est plus grande sur un serveur est discutable...
Par exemple si ton serveur tombe ou si tu te fais pirater tes données sont potentiellement perdu. Cependant si les données sont dans une carte chaque propriétaire de sa carte est responsable enfin c'est mon point de vu après tu peux faire une duplication et une synchro...
Seconde question pourquoi n'utilise tu pas le TAG Mifare pour identifier les cartes?
Je pensais en effet à un système de duplication et back-up. Mais la solution avec serveur coûte plus cher...
J'étais séduit par l'idée de pouvoir recharger les cartes en ligne mais j'avoue que vu le service dont il s'agit, ce sera anecdotique. J'aimais aussi l'idée de voir quelle machine a été utlisée combien de fois. Mais avec une carte standalone, ça reste possible via la solution suivante:
- Une carte avec un Id spécial. Si cette carte est scannée, la carte électronique affiche le nombre d'utilisation sur l'écran. A la pression du bouton, il réinitialise le compteur et clear l'écran
Je vous remercie en tout cas pour votre aide! Ce n'est sans doute pas la dernière question que je poserai.
Je vais faire un prototype avec Aduino et je devrai sans doute revenir vers vous
En fait, les cartes MIFARE ne te dispensent pas de conserver les soldes côté serveur. Par contre, ça te permet de vérifier que la carte avec laquelle le retrait est fait est la carte d'origine. Quelqu'un créant une fausse carte ne pourra pas t'envoyer l'id d'une vraie carte pour voler le crédit de quelqu'un d'autre. En fait, l'id devient inutile, puisque le simple fait que la carte puisse chiffrer les données avec la bonne clef permet de garantir que c'est la carte attendue (sauf si la clef privée est compromise, mais, normalement, personne ne l'a, et les clefs sont assez grosses pour ne pas être cassées avec les moyens de calcul dont on dispose actuellement).
Je permet de réciter un de tes vieux messages. Je viens de relire le thread.
Pourquoi dis-tu que la carte mifare ne dispense pas de stocker le solde sur un serveur? Je pensais que la carte contiendrait le crédit...
- est ce qu'utiliser des cartes avec une puce peut changer quelque chose ?
- ou puis je acheter ce genre de système? Je ne trouve rien qui me semble fiable... Et peu de sites sont clairs et affichent les prix...
merci encore!
Payement avec carte RFID ou similaire
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Retrouvez moi sur mon blog et ma chaine Youtube !
Retrouvez moi sur mon blog et ma chaine Youtube !
Retrouvez moi sur mon blog et ma chaine Youtube !