Jenom BLBEC (tím nemyslím běžné "BFU", ale banky) může udržovat současný systém platebních karet v době, kdy je velmi dobře zvládnutá technologie elektronického podpisu (teoreticky neexportovatelným) soukromým klíčem uloženým na kartě. Před deseti lety jsem programoval čipové karty a už tehdy to byla klasika, žádný výzkum nebo ultramoderní hypertechnologie.
Když strčím kartu do nedůvěryhodné čtečky a zadám PIN, riskuji, že jsem teď jednou poslal jinam jiné množství peněz nebo že mi to kartu zablokuje. Lumpárny končí s vytažením karty. Když platím sdělením údajů ke kartě, vydávám se na milost a nemilost napořád. Rizika jsou pro platícího, příjemce i banku (rizika banky a příjemce tak či onak stejně nakonec zaplatí klient nebo daňový poplatník). Jinak karty považuji za paskvil, je to jakýsi duplicitní platební styk. Kdyby mezibankovní převody fungovaly tak, jak by měly (max. pár vteřin a nikoli dnů), tak by byly karty úplně zbytečné.
Když opomenu historický kontext (karta znamenala materializaci faktu, že banka někomu přiznala úvěr), tak karta představuje fakticky jednoduchou přednastavenou formu souhlasu s inkasem (ať už z běžného nebo úvěrového účtu).
Běžný bezhotovostní platební styk nepředstavuje plnohodnotnou alternativu, protože je s ním zkrátka více práce.
A co se týče té nedůvěryhodné čtečky: já jsem se ptal, jestli se BFU odváží do ní tu kartu strčit a PIN zadat. Tj. jestli BFU bude mít Vaši bezmeznou důvěru v neexportovatelnost privátního klíče. Která mimochodem zřejmě tak bezmezná není, protože v prvním postu píšete o teoretické neexportovatelnosti.
S kterou v současné době běžnou formou to porovnáváte?
Podle mne autorizace transakcí bez fyzické přítomnosti jednorázovým heslem zaslaným přes SMS přináší poměrně vysokou míru bezpečnosti.
Podle mne v některých ohledech dokonce vyšší než to, co navrhujete Vy: správně vyřešená dvoukanálová autorizace v podstatě eliminuje ohrožení spočívající v tom, že Váš vlastní počítač bude kompromitován, protože můžete srovnat údaje, které vidíte na počítači a údaje v SMS. Pokud budete spoléhat jen na soukromý klíč na kartě a PIN, jste svému počítači vydán na milost a nemilost.
Samozřejmě, pokud "zabezpečení" spočívá jen v tom, že část textu opisujete z přední strany karty a část ze zadní, o žádné zabezpečení nejde. Ale zase je to komfortní. A spousta BFU ten komfort oceňuje, zejména když ví, že v rámci neautorizovaných transakcí nesou ztrátu jen do 150 EUR (= zbytek jde k tíži banky).
... a klávesnici, abyste PIN zadával přímo na kartě a ne na počítači.
Kromě ceny bych se obával i mechanické zranitelnosti takového zařízení, pokud by mělo být natolik tenké, aby se dalo nosit v peněžence. Míval jsem několik kalkulaček o rozměrech (ovšem asi 5x tlustší) kreditní karty, ale žádná neměla velkou životnost.
Ale tím se dostáváme daleko od původní otázky, která zněla, jestli řešení s certifikátem a čipovou kartou má až o tolik větší přidanou hodnotu oproti platbě platební kartou se sekundární autorizací jednorázovým heslem zaslaným přes sms.
Ano, máte pravdu, pro dosažení (teoreticky) 100% bezpečnosti by musela karta zobrazit, co a kam posílá a PIN by se musel vyťukávat přímo na kartě. (Což je nereálné.) Mně by plně uspokojila varianta, kdyby se PIN vyťukával na čtečce, částka by se zobrazovala na čtečce a karta by podepisovala soukromým klíčem, který by z ní bylo tak těžké vymlátit, jako z rozumě nakonfigurovaných dnešních čipových karet. I to by byl velký krok vpřed. Drogy, šlapky, ilegální windows nebo zbraně od pašeráků bych tímhle způsobem neplatil (což by mi až tak nevadilo :-) ), ale placení v jakémkoli aspoň trochu normálním obchodě by už o strach nebylo.
Velmi zjednodušeně máte samozřejmě pravdu. Ďábel je ovšem v detailu. Aby se Vaše představa s platebními příkazy vyrovnala dnešním platebním kartám,
(1) musela by se vybudovat infrastruktura, která by nejen umožnila klientovi autorizovat platbu, ale také by informovala obchodníka, že peníze už přišly. A všechno by muselo být ďábelsky rychlé, abyste nezdržoval na kase. Místo toho, že u karet řešíte v reálném čase jen autorizaci, že platba může proběhnout, muselo by v reálném čase proběhnout (i) předání pokynu z terminálu Vaší bance, (ii) vygenerování a předání platby do clearingového centra, (iii) předání platby bance obchodníka a zaúčtování na účet obchodníka a (iv) informování obchodníka že platba proběhla. Tuto potřebu v současné době eliminuje karetní asociace, která prostřednictvím složité struktury smluv garantuje, že peníze přijdou, byť za několik dnů.
(2) tuhle infrastrukturu byste musel protáhnout i do zahraničí, tj. takhle ďábelsky rychlý (a unifikovaný) by musel být i zahraniční platební styk.
(3) musel byste vyřešit situace, kdy core systém Vaší nebo obchodníkovy banky nebo clearingové centrum bude off-line, ať už z důvodu poruchy, nebo nějakých výpočtů "konce dne/měsíce/roku". V současné době se to řeší tím, že v systému jsou na řadě úrovní různé stand-by limity, které umožní autorizaci i v případě, kdy některý článek autorizačního řetězce vypadne.
(4) stejně by z pohledu uživatele bylo žádoucí, aby tento mechanismus platebního styku byl nezávislý na mechanismu, kterým autorizuje stávající platební styk, protože jinak by hrozilo, že se zablokováním kompromitované karty či ztrátou karty odřízne od běžného platebního styku.
V rozvojových zemích takhle "ďábelsky rychlou" infrastrukturu mají (konkrétně třeba i Indii), takže to vybudovat lze. Důvod, proč to tam mají, je ten, že se tam lidi tak často podvádí, že jinak než "z ruky do ruky" se nic neprodává. A takto rychlé bankovní operace ten prodej "z ruky do ruky" simulují.
A proto se podle indické centrální banky v Indii 60% bezhotovostních plateb realizuje papírovými instrumenty jako jsou šeky?
http://www.rbi.org.in/scripts/PaymentSystems_UM.aspx
Jinak jsem se na uvedeném odkazu dočetl, že v Indii vypořádání plateb probíhá v hodinových intervalech a okamžité vypořádání je pouze pro platby od 200 000 rupií výš (kurzový ekvivalent asi 70 000 Kč, ovšem při přepočtu podle parity kupní síly spíš tak 130 000 Kč).
Při těchto omezeních je samozřejmě mnohem snažší vybudovat robustní infrastrukturu, i proto, že při této velikosti transakcí jsou snesitelné náklady, které by při běžných transakcích snesitelné nebyly.
Jenomže tato omezení současně znamenají, že nejde o použitelný ekvivalent karetních plateb.
Jinak já netvrdím, že je nemožné takto ďábelsky rychlou infrastrukturu mít. Ale je to drahé, což je poměrně významná komplikace.