Worum geht es beim Motics?

Immer wenn heute ein Fahrgast ein Ticket für den ÖPNV mit seinem Smartphone kauft, erhält er dieses als 2D-Barcode. Der Ticketkauf via App ist besonders für den Gelegenheitskunden ein attraktiver Zugang zum ÖPNV. Für das Verkehrsunternehmen, das die Kontrolle der Tickets durchführen muss, bedeutet ein 2D-Barcode aber einen höheren Kontrollaufwand. Denn neben dem Scannen des Tickets muss zusätzlich ein ID-Medium des Fahrgastes geprüft werden. Nur so kann das Ticket eindeutig der Person zugeordnet werden, die gerade damit fährt.

Das ist deshalb notwendig, weil der 2D-Barcode nicht über einen Kopierschutz verfügt. Es könnte sich also jeder ein Handyticket kaufen, via Screenshot oder Screen-Recording kopieren und an alle seine Freunde schicken. Die Kontrollgeräte können zwar erkennen, ob ein Ticket manipuliert wurde, aber eine unveränderte Kopie wird als echt und damit als gültiges Ticket erkannt. Wird bei einer Kontrolle das ID-Medium nicht mit geprüft, kann sich der Kontrolleur nicht sicher sein, ob es sich um ein legal gekauftes Ticket handelt oder um eine von unzähligen Kopien. Aufgrund der wachsenden Beliebtheit von Handytickets im ÖPNV entsteht durch den heutigen 2D-Barcode eine Angriffsmöglichkeit auf die Einnahmen der Verkehrsunternehmen. Die Lösung, um die Tickets zu schützen und die Einnahmesicherung zu gewährleisten, ist der Motics.

Motics steht für „Mobile Ticketing Crypto Service“.

 

 

Was ist der Motics?

Der Moticsstellt eine Verbindung zwischen den bestehenden Sicherheitssystemen von (((eTicket Deutschland und dem Smartphone des Fahrgastes her. Er ermöglicht verschiedene Ausbaustufen, so dass Tickets über NFC, Bluetooth oder visuell als Barcodes geschützt werden können.

Visuelle Tickets werden als dynamische Barcodes bzw. als VDV-Barcode mobile+ ausgegeben und gesichert. Heute werden standardkonforme Barcodes durch Sicherheitszertifikate signiert. Diese dienen der Authentifizierung, so dass der Kontrolleur sicher sein kann, dass das geprüfte Handyticket nicht manipuliert wurde. Im Zuge der Weiterentwicklung erhält der VDV-Barcode nun durch ein dynamisches Sicherheitselement einen Kopierschutz. Dies ist zum Beispiel ein Zeitstempel, der sich im Intervall einiger Sekunden erneuert. Wird das Ticket dann kopiert und verschickt, bleibt das dynamische Element stehen und aktualisiert sich nicht mehr. Bei der Kontrolle einer Kopie wird dann sofort angezeigt, dass es sich um ein ungültiges Ticket handelt.

Wegen des dynamischen Elements kann der Motics – anders als der bestehende Barcode – jedoch nur auf digitalen Medien eingesetzt werden, die über eine optische Ausgabe, also ein Display, verfügen. Ein dynamisches Element auf einem Papierticket – das geht nicht.

 

 

 

 

Für wen ist der Motics wichtig?

Für alle Unternehmen, die Handytickets herausgeben, schnell kontrollieren müssen und Kopien und Manipulationen von 2D-Barcodes verhindern wollen. Also alle, die ihre Ticketeinnahmen im Vertriebsweg Handyticket sichern möchten.

Hier sollte auch kein Unterschied zwischen hochpreisigen Tarifprodukten wie Monatskarten oder Jahres-Abos und Einzeltickets gemacht werden. Schließlich sind 365 Einzeltickets auch eine Jahreskarte.
Der Motics ermöglicht es, tarifproduktunabhängig, die häufigsten Angriffsszenarien der 2D-Barcode-Welt auszuschalten.
Somit haben alle Verkehrsunternehmen und -verbünde weltweit die Möglichkeit, die Kontrolle von Handytickets schnell und sicher zu gewährleisten. Die Signatur bestätigt die Echtheit des Tickets und das dynamische Element sorgt dafür, dass statische Fälschungen - Kopien und Screenshots - auffallen. Die Kontrolle eines weiteren ID-Mediums entfällt.

 

 

Wie funktioniert der Motics genau?

Um das beschriebene Sicherheitsniveau zu gewährleisten, besteht der Motics aus mehreren Merkmalen. Zuerst muss die App des Verkehrsunternehmens oder -verbundes um eine Schnittstelle zu einer Secure Crypto Enviroment (SCE) erweitert werden. Diese SCE ist vergleichbar mit einem eigenen Tresor auf dem Smartphone des Fahrgastes.

Dieser Sicherheitskern erfüllt zwei Funktionen: zum einen verbindet er die App des Verkehrsunternehmens mit dem Smartphone des Kunden. Dadurch lässt sich die App nicht als Ganzes (inklusive der darin abgelegten Tickets) kopieren und auf anderen Smartphones starten.
Zusätzlich nimmt der Sicherheitskern das Zertifikat mit dem kryptografischen Schlüssel auf, um die sicheren Tickets erstellen zu können.

Der „Mobile Ticketing Crypto Service“ arbeitet wie ein virtueller Chipkartenhersteller und stellt die Verbindung zwischen dem Sicherheitsmanagement von (((eTicket Deutschland und dem Sicherheitskern auf dem Smartphone des Fahrgastes her.

Für den Motics wurden spezielle Kurzzeitzertifikate entwickelt, die begrenzte Laufzeiten von jeweils 3 Monaten haben, statt fünf Jahre wie bei den Chipkartenzertifikaten. Damit der Motics schnell kontrolliert werden kann, benötigt die Kontrollinfrastruktur ein kleines Softwareupdate. Die Infrastruktur muss neben dem Zertifikat auch das dynamische Element entschlüsseln können.

Da es sich aber um die Weiterentwicklung des bestehenden VDV-Barcodes handelt, ist der Motics abwärtskompatibel, sodass die bestehende Kontrollinfrastruktur nach dem Update auch weiterhin herkömmliche VDV-Barcodes lesen kann.

Der Motics lässt sich auch heute schon als vollwertiges Challenge-Response-Verfahren ohne optische Ausgabe eines Barcodes verwenden. Hierzu kommunizierten das Smartphone und das Kontrollgerät direkt via Funk bzw. NFC-Schnittstelle miteinander. Eine visuelle Prüfung entfällt vollständig.

 

 

Wie kann ich den Motics nutzen?

Die Spezifikationen des Motics sind seit Mai 2018 Teil der VDV-Kernapplikation. Anfang 2021 hat der VDV eTicket Service den Motics in Betrieb genommen. Seit diesem Zeitpunkt steht das System allen (((eTicket-Deutschland-Teilnehmern als Erweiterung der zentralen Sicherheitsinfrastruktur kostenfrei zu Verfügung. Voraussetzung zur Nutzung ist ein Teilnehmervertrag an (((eTicket Deutschland. Alle Unterlagen, SDK und Softwarebibliotheken für Verkehrsunternehmen, Verbünde und Hersteller liegen im ASM-Tool zum Download zu Verfügung.

Hier geht's zum ASM-Tool

Hier gibt es diese Infos zum Download

Fragen? Das sind die richtigen Ansprechpartner