Worum geht es beim VDV-Barcode mobile+?

Immer wenn heute ein Fahrgast ein Ticket für den ÖPNV mit seinem Smartphone kauft, erhält er dieses als 2D-Barcode. Der Ticketkauf via App ist besonders für den Gelegenheitskunden ein attraktiver Zugang zum ÖPNV. Für das Verkehrsunternehmen, das die Kontrolle der Tickets durchführen muss, bedeutet ein 2D-Barcode aber einen höheren Kontrollaufwand. Denn neben dem Scannen des Tickets muss zusätzlich ein ID-Medium des Fahrgastes geprüft werden. Nur so kann das Ticket eindeutig der Person zugeordnet werden, die gerade damit fährt.

Das ist deshalb notwendig, weil der 2D-Barcode heute über keinen Kopierschutz verfügt. Jeder könnte sich also ein Handyticket kaufen, via Screenshot kopieren und an alle seine Freunde schicken. Die Kontrollgeräte können zwar erkennen, ob ein Ticket manipuliert wurde, aber eine unveränderte Kopie wird als echt und damit als gültiges Ticket erkannt. Wird bei einer Kontrolle das ID-Medium nicht mit geprüft, kann sich der Kontrolleur nicht sicher sein, ob es sich um ein legal gekauftes Ticket handelt oder um eine von unzähligen Kopien.
Aufgrund der wachsenden Beliebtheit von Handytickets im ÖPNV entsteht durch den heutigen 2D-Barcode eine Angriffsmöglichkeit auf die Einnahmen der Verkehrsunternehmen.
Die Lösung, um die Tickets zu schützen und die Einnahmesicherung zu gewährleisten, ist der VDV-Barcode mobile+.

 

 

Was ist der VDV-Barcode mobile+

Im Grunde handelt es sich um die Weiterentwicklung des bestehenden VDV-Barcodes. Heute werden standardkonforme VDV-Barcodes durch Sicherheitszertifikate signiert. Diese dienen der Authentifizierung, so dass der Kontrolleur sicher sein kann, dass das geprüfte Handyticket nicht manipuliert wurde. Im Zuge der Weiterentwicklung erhält der VDV-Barcode nun durch ein dynamisches Sicherheitselement einen Kopierschutz. Dies ist zum Beispiel ein Zeitstempel, der sich im Intervall einiger Sekunden erneuert. Wird das Ticket dann kopiert und verschickt, bleibt das dynamische Element stehen und aktualisiert sich nicht mehr. Bei der Kontrolle einer Kopie wird dann sofort angezeigt, dass es sich um ein ungültiges Ticket handelt. Durch das dynamische Element gibt es beim VDV-Barcode mobile+ allerdings eine Einschränkung gegenüber dem bestehenden VDVBarcode:
Während der VDV-Barcode auch für Papiertickets einsetzbar ist, kann der VDV-Barcode mobile+ nur auf digitalen Medien eingesetzt werden, die über eine optische Ausgabe, also ein Display, verfügen.

 

 

Für wen ist der VDV-Barcode mobile+ wichtig?

Für alle Unternehmen, die Handytickets herausgeben, schnell kontrollieren müssen und Kopien und Manipulationen von 2D-Barcodes verhindern wollen. Also alle, die ihre Ticketeinnahmen im Vertriebsweg Handyticket sichern möchten.

Hier sollte auch kein Unterschied zwischen hochpreisigen Tarifprodukten wie Monatskarten oder Jahres-Abos und Einzeltickets gemacht werden. Schließlich sind 365 Einzeltickets auch eine Jahreskarte und der VDV-Barcode mobile+ ermöglicht es, tarifproduktunabhängig, die häufigsten Angriffsszenarien der 2D-Barcode-Fälschungen auszuschalten.

Alle Verkehrsunternehmen und -verbünde - dies gilt übrigens weltweit -, die ihren Fahrgästen einen offenen ÖPV ohne Zugangsbarrieren bieten, haben durch den VDV-Barcode mobile+ die Möglichkeit, die Kontrolle von Handytickets schnell und sicher zu gewährleisten. Die Signatur bestätigt die Echtheit des Tickets und das dynamische Element koppelt das Ticket an das Smartphone des Fahrgastes. Die Kontrolle eines weiteren ID-Mediums entfällt.

 

 

 

 

Wie funktioniert der VDV-Barcode mobile+ genau?

Um das beschriebene Sicherheitsniveau zu gewährleisten, besteht der VDV Barcode mobile+ aus mehreren Merkmalen. Zuerst muss die App des Verkehrsunternehmens oder -verbundes um einen softwarebasierten Sicherheitskern erweitert werden. Dieser ist in der Spezifikation des VDV-Barcode mobile+ beschrieben und bereits heute Teil der VDV-Kernapplikation. Dieser Sicherheitskern erfüllt zwei Funktionen: Zum einen verbindet er die App des Verkehrsunternehmens mit dem Smartphone des Kunden. Dadurch lässt sich die App nicht als Ganzes, inklusive der darin abgelegten Tickets, kopieren und auf anderen Smartphones starten. Zusätzlich nimmt der Sicherheitskern das Zertifikat mit dem kryptografischen Schlüssel auf, um die sicheren Tickets erstellen zu können.

Um das Zertifikat in den Sicherheitskern zu transferieren, wird ein „Mobile Ticketing Crypto Service“, oder kurz Motics, benötigt. Dieser arbeitet wie ein virtueller Chipkartenhersteller und stellt die Verbindung zwischen dem Sicherheitsmanagement von (((eTicket Deutschland und dem Sicherheitskern auf dem Smartphone des Fahrgastes her.

Für den VDV-Barcode mobile+ wurden spezielle Kurzzeitzertifikate entwickelt, die begrenzte Laufzeiten von jeweils 3 Monaten haben, statt fünf Jahre wie bei den Chipkartenzertifikaten. Damit der VDV-Barcode mobile+ schnell kontrolliert werden kann, benötigt die Kontrollinfrastruktur ein Softwareupdate. Die Infrastruktur muss neben dem Zertifikat auch das dynamische Element
entschlüsseln können. Da es sich aber um die Weiterentwicklung des bestehenden VDV-Barcodes handelt, ist der VDV-Barcode mobile+ abwärtskompatibel und kann auch von der bestehenden Kontrollinfrastruktur gelesen werden. Allerdings ohne die Möglichkeit, das dynamische Element zu prüfen. Es wird wieder ein zusätzliches ID-Medium erforderlich. Mittelfristig soll der VDV-Barcode mobile+ um ein richtiges Challenge-Response-Verfahren erweitert werden und damit dasselbe Sicherheitsniveau wie die Chipkarte erreichen. Hierzu muss zwischen Smartphone und Kontrollterminal eine direkte Kommunikation hergestellt werden. Dies wird zukünftig sowohl über Bluetooth als auch über NFC möglich werden.

 

 

Wie kann ich den VDV-Barcode mobile+ nutzen?

Die Spezifikationen des VDV-Barcode mobile+ sind seit Mai 2018 Teil der VDV-Kernapplikation. Sobald der Motics aufgebaut ist und seinen Betrieb aufnimmt, können kopiergeschützte und signierte Handytickets ausgegeben werden. Um möglichst schnell die gesicherten Tickets ausgeben zu können, empfehlen wir, sich zeitnah mit den Anpassungen der eigenen App und Kontrollinfrastruktur zu befassen und eine geschätzte Stückzahl der benötigten Kurzzeitzertifikate an den VDV eTicket Service zu melden.

Ähnlich wie bei der gemeinsamen Beschaffung der Chipkarten organisiert der VDV eTicket Service die Ausschreibung eines Motics und die Bündelung des Bedarfs für die ÖPNV-Branche.

 

 

Gibt es diese Informationen zum Download?

Hier! Diese Informationen stammen aus der Broschüre "VDV-Barcode mobile+" des VDV eTicket Service und sind hier als PDF zum Download hinterlegt.

Download