Was haben Skilifte, Kantinen-Kaffeeautomaten und Linux-Terminals in Internet-Cafés gemeinsam? Man muss zahlen, um sie benutzen zu dürfen, und sie akzeptieren das gleiche Plastikgeld.
Der Betrieb von Surf-Terminals bedarf umfangreicher organisatorischer Maßnahmen. Werden die Geräte unbeaufsichtigt benutzt, zum Beispiel in einer Hotel-Lobby oder einem abgetrennten Internet-Caf?, muss das Abrechnungssystem unter anderem ausreichend einbruchsicher, möglichst wartungsarm und leicht zu benutzen sein.
Oft werden Münzautomaten eingesetzt, die mit einer Zeitschaltung gekoppelt sind. Problematisch sind bei ihnen die Gewichtsschwankungen der Euro-Münzen aus unterschiedlichen Prägeanstalten sowie das Wechseln in Kleingeld durch weitere Automaten oder eine Aufsichtsperson. Zudem muss regelmäßig geleert werden – und es besteht die Gefahr des Diebstahls.
Berührungslose Abrechnung
Elektronische Zahlungssysteme helfen hier weiter. Mit einer Kunden-Karte kann ein vorher geladenes Guthaben aufgebraucht werden, die Leerung der Automaten entfällt. Verblieben sind mechanische Probleme der Lesegeräte: Ob es Abrieb an den Kontakten, Verschmutzung der Karten oder ein Kind ist, das dem Leseschacht eine Cola spendiert, die Wartung ist aufwändig und teuer. Zudem muss man in eigene Chipkarten investieren, was beim Kunden auf Dauer einen regelrechten Kartenstapel für verschiedene Anwendungen ergibt.
Einen anderen Weg geht die Schweizer Firma Yess Network [1]. Die auf der CeBIT 2002 vorgestellten Legic Cards arbeiten mit einem Transponder-System, das Karten berührungslos ausliest und Beträge abbucht.
Herzstück der Transponder-Karten ist ein ASIC mit Platz für 256 oder 1024 Byte Daten sowie einer Antenne. Auf der anderen Seite sitzen die Schreib-Lese-Einheit mit einem Antennenfeld, dem Legic-Modul mit Sender, Empfänger und Auswertungselektronik sowie die Ansteuer-Elektronik für die Freischaltung des Rechners und die Abbuchung der eingenommenen Beträge.
Die Transponder-Karten enthalten keine eigene Energieversorgung, sondern verwenden einen Teil der abgestrahlten Leistung der Schreib-Lese-Einheit zur Stromgewinnung. Zudem wird aus dem Signal des Schreib-Lesers die Anfrage dekodiert und mit einem eigenen Signal beantwortet, die Sendefrequenz beider Systeme liegt bei 13,5 MHz.
Eingebaute Verschlüsselung
Nicht jedes Lesegerät darf auf den Speicher der Karte zugreifen. Über den ASIC lässt sich der Kartenspeicher partitionieren und mit verschiedenen Zugriffsschlüsseln versehen. Ein Leser bekommt nur Daten, für die er einen Authentifikations-Schlüssel besitzt. Der gesamte Datenaustausch zwischen Leser und Karte wird zudem mit nicht näher beschriebenen Verfahren verschlüsselt.
Die Partitionierung bewirkt, dass der Inhaber mit derselben Karte sowohl den Skilift als auch den Kaffeeautomaten in der Kantine bezahlen und am Abend im Internet-Caf? surfen kann. Auch lassen sich Benutzergruppen definieren: Gehört der Lift einer dem Hotel nahe stehenden Firma, muss der Gast die Karte nicht einmal für die Hotelnutzung und einmal für den Lift aufladen – beide Firmen buchen einfach einen unterschiedlichen Betrag von der gleichen Speicher-Partition ab.
Auch für Autorisierungs-Zwecke, beispielsweise als Zimmer- oder Hotel-Schlüssel, taugt das Transponder-System: Jedem ASIC wird bei der Produktion eine Seriennummer einprogammiert, die sich nachträglich weder verändern noch löschen lässt. Zudem sind die Transponder-Karten nicht für jedermann zu beziehen, Hersteller Legic [2] liefert nur an geprüfte Lizenznehmer und Integratoren.
Systeme mit Legic-Transpondern sind schon weit verbreitet, man findet sie zum Beispiel in Kaffeeautomaten der Münchner Firma Automaten Seitz, an Skiliften oder Tiefgaragen-Einfahrten. Die Transponder gibt es als Schlüssel, Schlüsselanhänger, Karten oder Uhren.
Fertige Lösung mit Floppy-Anschluss
Beim Legic-Card-System von Yess Network handelt es sich um eine fertig integrierte Abrechnungslösung für Internet-Terminals auf Basis der verbreiteten Legic-Transponder. Die rund 1000 Euro teure Platine (siehe Abbildung 1) enthält neben dem Legic-Chip links einen Mikrocontroller, der die Abbuchung der Beträge vornimmt, die noch verbleibende Zeit im Display anzeigt und einen Kontakt schließt.
Die Steuersoftware unseres Testsystems war noch im Entwicklungsstadium, so blockierte die Lese-Einheit bei zu schnellem Vorbeiführen der Karte hin und wieder und musste neu gestartet werden. Auch ist derzeit keine Umprogrammierung von Zeitintervall oder Abrechnungsbetrag möglich, dazu müsste die Firmware des Lesers verändert werden. Die Rechner-Anbindung erfolgt über Pin 26 des Floppy-Anschlusses auf dem Mainboard. Über diesen Pin zeigt ein Diskettenlaufwerk an, dass es nach einer Neukalibrierung Sektor 0 wieder erreicht hat. Diese Methode verbietet allerdings den Anschluss von Laufwerken.
Für den Betrieb unter Linux hatte Yess Network eine Anpassung des Kernel-Floppy-Moduls und die Programmierung eines Daemons zur Auswertung des Signals an SuSE in Auftrag gegeben, umgesetzt wurde es vom Entwickler Simon Pogarcic. Kernel-Modul und Daemon stehen selbstverständlich unter GPL.
Abbildung 1: Yess hat das Legic-Modul (links, gesockelt) aus Sender, Empfänger und Dekoder mit einem Mikrocontroller gekoppelt. Das LCD-Display zeigt die noch verbleibende Zeit bis zum Abschalten von Tastatur und Maus.
Kernel-Patch erforderlich
Ist das gepatchte Floppy-Modul mit dem Parameter »fdctrigger=1« oder »fdctrigger=2« versehen, werden die Laufwerke immer wieder neu initialisiert, ist dabei Pin 26 gegen Masse kurzgeschlossen, liefert der Treiber das Signal SIGIO. Der zugehörige Daemon »fdct« überwacht »/dev/fd0« und kann auf das Signal hin eine Aktion auslösen.
Das Floppy-Modul verfügt über neue IOCTL-Requests: einer schaltet »AUX_ IRQ« (aus »asm/keyboard.h«) ab, ein anderer schaltet wieder ein und löst zudem einen Keyboard-Reset aus. Dahinter versteckt sich eine pfiffige Blockade des PS/2-Anschlusses: Wird der IRQ abgeschaltet, sind Maus und Tastatur gesperrt. Erst die erneute IRQ-Freigabe und ein anschließender Keyboard-Reset gibt beide Eingabegeräte wieder frei.
So pfiffig die Methode ist, so begrenzt ist ihre Anwendbarkeit. Das Kernel-Modul ist derzeit nur für Version 2.2.18 verfügbar und die Blockade der Tastatur funktioniert nur mit PS/2-Geräten. Auch Interrupt-Sharing ist kritisch, da Interrupt 12 bei Blockade der Tastatur komplett abgeschaltet wird. Auch ist darauf zu achten, dass kein anderer Prozess den IRQ wieder aktiviert.
Prototyp Internet-Terminal
Yess Network stellte dem Linux-Magazin den Prototyp eines Internet-Terminals mit Legic-Card-System zur Verfügung. Unter dem handgearbeiteten Gehäuse (in Abbildung 2 wurde die Front abgenommen) verbirgt sich ein Industrie-Mainboard von MSC mit Celeron 900 MHz und 64 MByte RAM. Erweiterungskarten gibt es nicht, auf dem Mainboard sind Grafik, serielle und parallele Schnittstellen, PS/2, Ethernet und USB integriert. Als Display kommt ein handelsübliches 15-Zoll-TFT mit 1024 mal 768 Pixeln zum Einsatz, das aus seinem Originalgehäuse ausgebaut wurde. Die Stromversorgung des Ganzen erfolgt über das PC-Netzteil.
Das Testgerät lief unter SuSE 7.1 mit Kernel 2.2.18 mit manueller Paketauswahl, als Window-Manager setzt Yess auf den sehr Windows-ähnlichen Qvwm [3]. X wird mittels »su – guest startx« aus einem der Init-Skripte aufgerufen. Damit bleibt der Init-Prozess beim Hochfahren kurz vor dem Ende hängen, ein Text-Login ist nicht möglich. Standardmäßig wird Netscape gestartet, zudem steht noch ein XTerm zur Verfügung. Das Legic-Card-System war so eingerichtet, dass nach dem Einschalten des Terminals ein Guthaben von drei Minuten für Tastatur und Maus freigab – um falls nötig in den Boot-Vorgang eingreifen zu können.
Abbildung 2: Der geöffnete Prototyp eines Internet-Terminals, der auf Linux-Basis arbeitet. Vorn rechts ist das Legic-Card-System, links das Antennenfeld mit einer Legic-Transponderkarte zu sehen.
Sicherheitslücken
In der Praxis zeigte der Daemon »fdct« noch deutliche Schwächen: War während der Initialisierung kein Guthaben auf dem Legic-Card-System verzeichnet, wurden Tastatur und Maus permanent freigegeben. Dieser Zustand lässt sich beispielsweise auch durch das Anhalten des Bootvorgangs mit der [Pause]-Taste oder durch Reboot des Systems kurz vor Ablauf des Guthabens leicht erreichen.
Auch muss noch an der weiteren Absicherung des Systems gearbeitet werden: So war zum Beispiel der Lilo nicht mit einem Passwort abgesichert, für den Gastbenutzer gab’s ein leeres Passwort und der SSH-Daemon war freigegeben.
Fazit
Das Legic-Card-System von Yess Network bietet viele Lösungsmöglichkeiten für Zahlungs- und Zugangs-Probleme aller Art. Das System ist noch ausbaufähig – die Übermittlung der Karten-ID oder die Übertragung von Karteninhalten zum Anwendungsprogramm eröffnet weitere Anwendungsbereiche, zurzeit denkt Yess über eine Erweiterung nach.
Die drahtlose Transponder-Technik erlaubt einen wartungsarmen Einsatz, die eingebaute Verschlüsselung sorgt für Fälschungs- und Datensicherheit. Allerdings muss die Linux-Einbindung noch überarbeitet werden, um die Möglichkeiten der Hardware auszunutzen. Weiterer Nachholbedarf besteht bei der Systemabsicherung. Fehlendes Lilo-Passwort, leeres Benutzerpasswort und frei geschalteter SSH-Daemon erleichtern einem Angreifer den Zugang erheblich.
Der Preis von rund 1000 Euro für das Legic-Card-System und vier bis fünf Euro pro Transponder-Karte erscheint sehr hoch, insbesondere SIM-Karten-Systeme sind für wesentlich weniger Geld zu haben.
Yess Legic Card System |
|
Hersteller: Yess Network [www.yess-network.ch] Beschreibung: Berührungsloses Abrechnungssystem auf Transponder-Basis für Legic-Karten Preis: ca. 1000 Euro |
Infos |
|
[1] Yess Network: [www.yess-network.ch] [2] Legic Identsystems AG: [www.legic.com] [3] Homepage von Qvwm: [www.qvwm.org] |
