Wechselspiel Vom Smartphone-Design zum POS-Terminal

Die Entwicklung eines anspruchsvollen und sicheren Point-of-Sale-Terminals (PoS) kann zu einer echten Herausforderung werden. Abgesehen von den Sicherheits-aspekten und den einschlägigen Standards sind vor allem die hohen Kosten für die Entwicklung neuer Funktionen problematisch. Doch PoS-Equipment mit einer Vielzahl wertsteigernder Features lässt sich zu niedrigen Kosten realisieren, wenn man auf Entwicklungen aus der Mobiltelefon-Industrie zurückgreift.

Bezahlterminals haben zunehmend mehr Fähigkeiten und können beispielsweise Transaktionen ausführen, Lagerbestände verwalten, geschäftliche und soziale Applikationen verarbeiten, Werbung und neue Serviceleistungen bereitstellen und für ein anwenderfreundliches Nutzererlebnis sorgen. Merkmale dieses Fortschritts sind farbige Touchscreens, hochwertige Audiofunktionen und aufwendige Betriebssysteme wie Android. Zugleich sind für elektronische Finanztransaktionen mehrere Kommunikationsoptionen wie WLAN, GPRS oder 3G gefragt, bei gleichzeitig geringer Stromaufnahme.

Je komplexer PoS-Terminals allerdings werden, umso steiler schießen die Entwicklungskosten in die Höhe, und das Risiko einer verspäteten Markteinführung steigt. Steigende Entwicklungskosten sind ein genereller Trend: So basiert beispielsweise jede neue Smartphone-Familie auf einer jeweils neuen, extrem kostspieligen Applikationsprozessor-Generation.

Die verkauften Stückzahlen auf dem Mobiltelefon-Markt (420 Millionen im Jahr 2011) sind jedoch so hoch, dass sich die enormen Investitionen für die Entwicklung eines neuen High-End-Mikrocontrollers hier ohne weiteres rechtfertigen lassen. Zu diesen Investitionen sind die Lizenzgebühren für den Core ebenso zu rechnen wie die Kosten der Maskensätze für hochkarätige Prozesstechnologien und für die Entwicklung analoger Funktionsblöcke, um nur einige zu nennen.

Entwicklungskosten senken

Dagegen schlagen höhere Entwicklungskosten bei Bezahlterminals aufgrund der deutlich niedrigeren Stückzahlen (etwa 15 Millionen verkaufte Geräte pro Jahr laut Schätzungen des Nilson-Reports) erheblich stärker auf den Endverkaufspreis durch. Beim Equipment für elektronische Finanztransaktionen kommen jedoch weitere Restriktionen bezüglich der Sicherheit und der erforderlichen Sicherheitszertifizierung hinzu, die sowohl die Hard- als auch die Software betreffen.

In diesem Kontext ist unter Hardware alles bis zum Prozessor herab mit der Unterstützung für sämtliche Manipulationsschutz-Mechanismen zu verstehen. Sichere Single-Chip-Mikrocontroller sind ein dominierender Trend bei den PoS-Architekturen. Mikrocontroller dieser Art bilden das Herzstück eines Bezahlterminals. Sie enthalten den Prozessorkern, verarbeiten das Betriebssystem und werden ebenfalls für die Display- und Kommunikationsfunktionen genutzt.

Abgesehen davon unterstützen sie die kritischsten Sicherheitsfunktionen wie etwa die Erkennung von Manipulationsversuchen, die sichere Schlüsselspeicherung mit der Fähigkeit zur augenblicklichen Zerstörung des Schlüssels sowie kryptografische Berechnungen mit entsprechenden Abwehrmaßnahmen. Allgemeine Funktionen eines Embedded-Geräts mit Sicherheitsfunktionen zu kombinieren mag hinsichtlich der Material- und Produktionskosten vorteilhaft sein. Dennoch ist diese Kombilösung nicht unbedingt geeignet, die strengen Entwicklungsanforderungen und Restriktionen von High-End-Geräten zu erfüllen.

Was die Software betrifft, bringt das Migrieren eines Betriebssystems mitsamt seinen Applikationen auf einen neuen Prozessor einen immensen Arbeitsaufwand mit sich. Sicherheitsrelevante Software ist nicht fertig lieferbar und weist oft große Hardwareabhängigkeiten auf. Nicht zuletzt wäre hier eine komplette Neuzertifizierung nötig, wodurch sich das Migrieren noch schwieriger gestalten würde.

Insgesamt können sich also beträchtliche Herausforderungen für die Entwickler von Bezahlterminals ergeben. Sie haben die Wahl, entweder weiter auf existierende sichere Mikrocontroller zu setzen und dabei Gefahr zu laufen, sich an eine schon bald obsolete Technologie zu binden, oder die Entwicklung eines neuen Mikrocontrollers zu finanzieren. Letzteres bürdet den Unternehmen Kosten für die Migration und erneute Zertifizierung der Software auf, mit den Folgen einer sehr fraglichen Wirtschaftlichkeit.

Gibt es überhaupt eine Möglichkeit, PoS-Equipment mit einer großen Funktionsvielfalt zu bezahlbaren Kosten zu entwickeln? Kann man sich die von der Mobiltelefon-Industrie geleistete Vorarbeit zunutze machen und die für diesen Markt entwickelte Hard- und Softwaretechnik wiederverwenden? Die Antwort auf diese Fragen ist ein klares »Ja«, wie nachfolgend deutlich werden soll.

Dank des Booms auf dem Smartphone-Sektor ist die Vielzahl der auch für andere Anwendungen wie Bezahlterminals verfügbaren Hard- und Softwareblöcke enorm. Schließlich haben die Halbleiteranbieter eine umfangreiche Palette an Mikrocontrollern und System-on-Chip-Bausteinen (SoCs) im Programm, die das Design vielfältigster Feature-Ausstattungen für Geräte mit integrierten Multimediafunktionen ermöglichen.

Nicht nur gibt es für Mikrocontroller Betriebssysteme wie Android, Entwicklern steht zudem die Möglichkeit offen, fertige Smartphone-Referenzdesigns zuzukaufen. Es erscheint durchaus folgerichtig, dass sich ein PoS-Terminal-Anbieter für diese Lösung entscheidet und ein existierendes Referenzdesign um Sicherheitsfunktionen speziell für Finanzterminals ergänzt. Dieses Nachrüsten der Sicherheitsfunktionen ist allerdings keineswegs trivial, sofern der Entwickler die Systemarchitektur nicht sorgfältig berücksichtigt.

Zu den entscheidenden Herausforderungen beim Nachrüsten der Sicherheit gehört das Display, denn der »PCI PIN Transaction Security«-Standard (PCI-PTS) verlangt die vollständige Kontrolle über das Display. Ohne diese entstünde nämlich das typische Sicherheitsrisiko, dass Betrüger mittels einer Schadapplikation die Kontrolle übernehmen und in Besitz des PIN-Codes des Anwenders gelangen könnten.

Laut PCI-PTS-Standard muss die Firmware derartige Szenarien sicher verhindern. Bei Smartphones existiert diese Forderung nicht, und so kann das nachträgliche Implementieren dieser Kontrolle tiefgreifende Modifikationen am Betriebssystem und den Applikationen erfordern. Der damit einhergehende, beträchtliche Entwicklungsaufwand kann die Vorteile eines fertigen Referenzdesigns teils wieder zunichtemachen.

Sicherheitsprozessor übernimmt das Display

Als Gegenmaßnahme gegen diese Bedrohung propagiert Maxim Integrated einen zusätzlichen Sicherheitsprozessor, der die Kontrolle über das Display übernehmen kann (Bild 1).

Dazu ist er sowohl mit dem TFT-Busausgang des Hauptprozessors als auch mit dem TFT-Buseingang des Panels verbunden und hat überdies die volle Kontrolle über das numerische Tastenfeld.

Dieser Sicherheitsprozessor unterstützt zwei Betriebsarten: den »Trusted Mode« und den »Normal Mode«.

In der normalen Betriebsart (Bild 2) fungiert er schlicht als Weiterleitungssystem - das Tastenfeld ist deaktiviert und der Zusatzprozessor gibt die Daten auf dem TFT-Bus vom Hauptprozessor unverändert an das TFT-Panel weiter. Sollte eine nicht autorisierte Applikation versuchen, per Display den PIN-Code abzufragen, bleibt dies wegen des gesperrten Tastenfelds ohne Folgen.

Es gelangen also keine Daten vom Tastenfeld an die Applikation.

In der sicheren Betriebsart (Trusted Mode, Bild 3) übernimmt der Sicherheitsprozessor die vollständige Kontrolle über den TFT-Bus, sodass nur authentifizierte Bilder wie die digitale Signatur-Verifikation angezeigt werden.

Daten, die der Hauptprozessor per TFT-Bus sendet, gelangen dagegen niemals ohne Umweg über den Sicherheitsprozessor zum Display, da der Eingang des TFT-Panels nicht mehr direkt mit dem TFT-Busausgang des Hauptprozessors verbunden ist. Das Tastenfeld ist in dieser Betriebsart freigegeben, sodass Anwender nach Aufforderung ihren PIN-Code eingeben können.

Für die gewünschten Zusatzfunktionen des PoS-Terminals hat die Existenz dieser beiden Betriebsarten einen enormen Vorteil, denn im normalen Modus verhält sich das Bezahlterminal beinahe wie ein Smartphone.

Es kann beispielsweise mithilfe des vorhandenen Media-Players ein Video abspielen, ohne dass der Entwickler die Hardware oder die Software gegenüber dem Smartphone-Referenzdesign abwandeln muss. In diesem Durchleitungsmodus lassen sich überdies beliebige Auflösungen, Farbtiefen und Frame-Raten nutzen.

Im Trusted-Mode dagegen führt das Bezahlterminal gängige Finanztransaktionen durch. Da diese Funktionen vollständig im zweiten Prozessor ablaufen, sind am vom Smartphone übernommenen Betriebssystem und den Applikationen keinerlei Modifikationen erforderlich.

Bewährte Sicherheitsfunktionen übernehmen

Für die Entwicklung einer PoS-Familie mit verbesserten Multimedia-Features wählt der Entwickler also als Ausgangspunkt ein Smartphone-Referenzdesign mit den neuesten Multimedia-Innovationen und fügt einfach einen Sicherheitsprozessor hinzu, der dieselbe Firmware wie die  vorige Generation benötigt. Weil sich die Sicherheitsfunktionen nicht ändern, gestaltet sich die Zertifizierung einfacher, schneller und kostengünstiger.

Gleichzeitig bringt das Endprodukt mit diesem Konzept alle von den Anwendern erwarteten modernen Multimedia-Features mit. Diese Strategie bedeutet jedoch keineswegs das Aus für das PoS-Equipment mit Ein-Prozessor-Architektur. Sie zeichnet lediglich einen Weg vor, der kurze Markteinführungszeiten und geringe Entwicklungskosten für Geräte der obersten Leistungsklasse verspricht, bei denen die PoS-Anbieter dem Trend der mit allen Features aufwartenden Smartphones folgen wollen.

Bei Geräten der unteren bis mittleren Leistungsklasse mit weniger komplexer Software und kaum Multimedia-Eigenschaften ist das Ein-Prozessor-Konzept mit integrierten Sicherheits-Features hingegen nach wie vor relevant. Gleiches gilt für Anwendungen mit kürzeren Produktzyklen. Lösungen von Maxim Integrated sind im Bereich der elektronischen Zahlungssysteme anerkannt.

Für seine sicheren Mikrocontroller bietet das Unternehmen eine breite Softwarepalette und die Vorab-Zertifizierung an. Der sichere Mikrocontroller »MAX32590« (JIBE) auf »ARM9«-Basis des Chipherstellers enthält alle Sicherheitsmechanismen für eine Zertifizierung gemäß PCI-PTS 3.1. Zur Verbesserung der Sicherheit sind in den Baustein außerdem anspruchsvolle Kryptoblöcke integriert, die moderne Abwehrmaßnahmen, Mechanismen zur Aufdeckung von Manipulationsversuchen sowie sichere Speicherfunktionen mit verbesserten Wipe-Mechanismen enthalten.

Weil der Flächenbedarf des MAX32590 inklusive Batteriepufferung laut Hersteller zu den geringsten auf dem Markt gehört, eignet sich der Baustein gut für mobile und portable PoS-Designs. Und eine Version des MAX32590 wird die beschriebene »Trusted«-Displaykontrolle bieten.

Über den Autor:

Christophe Tremlet ist Security Segment Manager bei Maxim Integrated.