Forum: Offtopic Chipkarten beschreiben/lesen für Rabattkarten (Guthabenkarte)

Ja, prinzipiell gibt es für diesen Zweck, z.B. auch als Kopierkarten 
oder Kundenkarten in manchen Videotheken passwortgeschützte 
Speicherkarten in Kreditkartenform, Smartcards eben - und passende 
Lesegeräte diverser Hersteller, zum Beispiel Towitoko oder SCM PC-Card, 
um nur zwei Beispiele zu nennen. Allerdings muß man wahrscheinlich eine 
spezifische Applikationssoftware für diesen Zweck selbst schreiben.

Kennt ihr dafür Anbieter ?

Dennis Terpe schrieb:
> Das sollte natürlich auch sicher sein und nicht das sich dort jeder easy
> am pc setzen kann und das Guthaben auf der Karte zu Hause aufladen kann.

Wenn man im Laden eine entsprechende Software auf einem PC benutzt
die eine vorgelegte Karte wie ein Schlüssel registriert, kann man
das nicht manipulieren, denn gezählt wird ja auf dem PC und nicht
auf der Karte. Es kommt halt ja drauf an wie oft der Kunde bezahlt
hat und die Info muss er nicht mit nach Haus nehmen. Also muss man
nur die Kundendaten auf der Karte kodieren und auf dem PC wieder
dekodieren. Der Rest ist eine kleine Datenbank. Sollte für einen
Informatiker, z.B. Student ein Klacks sein. Lesegerät müsste es
bei Conrad geben.

Dennis Terpe schrieb:
> Nun dachte ich mir könnte es doch sicher ein recht kostengünstig
> (biss ca 500 €) alternative per Chipkarte und USB schreib/lesegerät
> geben. Das sollte natürlich auch sicher sein und nicht das sich
> dort jeder easy am pc setzen kann und das Guthaben auf der Karte
> zu Hause aufladen kann.

Solange es um EIN Geschäft geht, ist die Lösung einfach:
Der Kunde bekommt eine RFID-Transponderkarte auf der nichts weiter 
gespeichert ist als die Seriennummer der RFID-Karte.

Die komplette Guthabenverwaltung läuft über das Kassensystem. Also wenn 
Guthaben auf die RFID-Karte draufgebucht werden soll, so wird dies nur 
in der Datenbank des Geschäfts gemacht. Wenn etwas abgebucht wird, genau 
so.

Und die Karte enthält als einzige codierte Information die Seriennummer 
der Karte.

Ich würde dringend empfehlen Karten zu verwenden, die nur einen einmal 
bei der Herstellung erstellten, asymmetrischen kryptographischen 
Schlüssel enthalten. Der private Teil des Schlüssels kann nicht 
ausgelesen werden, nur der öffentliche.

Den öffentlichen Teil des Schlüssels verwendet Ihr dann in einer 
Datenbank auf Eurem PC um dort den Wert zu speichern. Der Wert selber 
steht nie auf der Karte, die Karte stellt nur sicher daß sie nicht 
kopiert werden kann.

Bei Verwendung der Karte sendet die Software auf dem Rechner einen 
Zufallswert an die Karte, die Karte signiert den dann mit dem privaten 
Schlüssel und schickt ihn zurück. Jetzt kann die Software auf dem 
Rechner mit dem öffentlichen Schlüssel prüfen ob das wirklich die 
richtige Karte war. So kann niemand seine Karte so manipulieren daß er 
die selben Daten wie die von jemandem anderen hat.

Ansonsten ist Manipulation Tür und Tor geöffnet. Diese ganzen 
Kopierkarten, Mensakarten etc. die den Wert auf der Karte speichern sind 
mehr oder weniger einfach zu knacken. Schau mal z.B. nach dem 
Mifare-Hack.

Schau mal nach Smartcards mit PKCS#11-Schnittstelle oder Atmel CryptoRF. 
Allerdings sind diese Karten/Tokens leider nicht ganz umsonst.

Wenn es eine billigere Lösung sein soll: dann nehmt eine reine 
I2C-Speicherkarte mit 1K EEPROM oder so. Knallt den ganzen Speicher mit 
Zufallszahlen voll und merkt Euch die in der Datenbank und vergleicht 
das bei der Verwendung. So kann man zwar die Karten kopieren, aber es 
ist sehr unwahrscheinlich daß man den exakten Zufallswert von jemanden 
anderem erraten kann.

Jürgen S. schrieb:
> Der Kunde bekommt eine RFID-Transponderkarte auf der nichts weiter
> gespeichert ist als die Seriennummer der RFID-Karte.

Da reichen aber keine einfachen, fortlaufenden Seriennummern. Die müssen 
so lang und unterschiedlich sein, daß ich nicht einfach aus meiner Karte 
und den von 2 oder 3 Bekannten auf ein Muster schließen kann und damit 
dann gültige Seriennummern von anderen Kunden erraten kann. Sonst könnte 
ich auf Kosten anderer einkaufen gehen.

Wenn ich das machen müsste, würde ich ein QC Code oder Strichcode 
nehmen, wie das heute üblich ist bei Kundenkarten.

Der Name des Kunden ist dann auf dem PC in der Datenbank gespeichert, 
bei verdacht kann der per Ausweis geprüft werden.

Kostet wenig: Nur ein Etikettendrucker.
Software dürfte für sowas ziemlich einfach machbar sein, am einfachsten 
reicht sogar ein Spreadsheet...


mfg Andreas

Danke erstmal für die rege Beteiligung !


Sind die Seriennummern bei i2c bus Chipkarten den so ähnlich das man 
unterzunahme von 3 Karten auf den Seriennummern verlauf kommen kann ?



Wäre das auch so möglich ? ich denke das sollte die billigste Lösung 
sein ohne Chipkartenschreibgerät.

- Atmel AT24C02 i²C Bus Chipkarte (bin der Meinung gelesen zu haben 
das diese relativ sicher sein sollen, also die Atmel)
- 0815 Chipkartenlesegerät am PC angeschlossen.
- Personalisierte Software, mit Kundenname, Adresse, Foto (zb aus dem 
PAS eingescannt).
Die Software liest die Seriennummer der Chipkarte und ordnet sie einem 
Kunden zu.

Nun mag man zwar die Chipkarte Kopieren können jedoch hat man mit der 
Software noch den Foto/Kunden Daten vergleich.
Den der Kunde wird immer Persönlich bedient (kleiner Laden halt).

Ist das so möglich und einigermaßen sicher ?
Und was würde die Software so kosten, zb bei einem Informatikstudenten ?

Andreas B. schrieb:
> Wenn ich das machen müsste, würde ich ein QC Code oder Strichcode
> nehmen, wie das heute üblich ist bei Kundenkarten.
>
> Der Name des Kunden ist dann auf dem PC in der Datenbank gespeichert,
> bei verdacht kann der per Ausweis geprüft werden.
>
> Kostet wenig: Nur ein Etikettendrucker.
> Software dürfte für sowas ziemlich einfach machbar sein, am einfachsten
> reicht sogar ein Spreadsheet...
>
>
> mfg Andreas

Wäre das so nicht noch viel leichter zu manipulieren als meine 
Vorgehensweise ?

Ob man nun einen QR-Code oder den Inhalt einer beschreibbaren I2C Karte 
manipuliert, ist eigentlich egal. Relevant ist die Länge des codierten 
bzw. gespeicherten Schlüssels. Denn eine Manipulation müsste ja einen 
anderen gültigen Schlüssel "treffen". Je länger der Schlüssel, desto 
unwahrscheinlicher ist dieser Treffer. Insbesondere, da man nur einen 
Versuch hat - denn dann fällt die Manipulation ja auf ;-) Gerd E. hat 
das ja oben schonmal erläutert.

Von daher ist der Sicherheitsnachteil gegenüber read-only-karten in 
diesem Fall mMn eher zu vernachlässigen.

Die Umsetzung ist relativ simpel - insbesondere da (wenn ich mich nicht 
verlesen habe) eine etwaige Software lediglich Kundendaten und Guthaben 
aus einer Datenbank lesen und anzeigen soll (d.h. keine Schnittstelle zu 
sonstiger Software?)
Eine genaue Kostenabschätzung erfordert eine etwas detailliertere 
Anforderungsanalyse - aber der Arbeitsaufwand hierfür scheint sich ja 
wirklich im kleinen Rahmen zu bewegen. Bei Interesse kannst du dich 
gerne mal per PN bei mir melden (Informatikstudent^^) - ich habe vor ein 
paar Jahren nach dem o.g. Prinzip mal eine Software für ein 
Standalone-Prepaidkarten-Bezahlsystem für eine mehrtägige Veranstaltung 
entwickelt.

Übrigens: I2C-Chipkartenlese/-schreibgeräte kosten nicht die Welt. Bei 
meinem eben erwähnten Projekt kam einer für 30€ zum Einsatz, und eine 
Karte kostet nichtmal einen Euro.

Pascal P. schrieb:


ich habe Dir mal eine PN geschickt^^