Как EMV шифрует бесконтактную транзакцию?
Я пытаюсь выяснить, какой тип шифрования рекомендует стандарт EMV для передачи платежной информации через NFC. Я просмотрел спецификацию, но не могу найти подсказки по этой теме. Однако я знаю, что производитель карт предоставляет некоторые технологии шифрования на своих картах, которые частично были скомпрометированы. Кто-нибудь знает, зашифрован ли он вообще (надеюсь на это) и если да, то с помощью какой технологии?
2 ответа
Связь между картой и бесконтактным считывателем не зашифрована. Вы можете легко подслушивать и записывать обмениваемые APDU, я делаю это почти ежедневно, используя бесконтактный шпион ( Fime SmartSpy).
Но записи диалога недостаточно для клонирования карты. Вы получите доступ к некоторой информации (например, номер карты, эквивалентные данные track2), но:
- вы пропустите информацию, необходимую для создания карты с магнитной полосой
- у вас не будет CVV (число, написанное за карточкой), необходимого для совершения онлайн-покупок.
- Вы также не сможете "воспроизвести" транзакцию, поскольку данные транзакции включают в себя два непредсказуемых числа, сгенерированных терминалом и картой, которые являются уникальными для каждой транзакции и подписаны картой.
Закрытый ключ / сертификат, используемый картой для подписания транзакции, никогда не передается во время транзакции и недоступен. Это тот закрытый ключ / сертификат, который защищен и зашифрован на карте (я не знаю деталей механизмов безопасности).
Карты, безопасность которых была нарушена, являются некоторыми основными картами MiFare. Эти карты не используются для платежных приложений.
Простой ответ: транзакции EMV не шифруются по NFC.
В частности, типичная бесконтактная EMV-транзакция работает следующим образом (очень упрощенная, требуется больше команд, но этого должно быть достаточно, чтобы получить обзор):
- Выберите платежное приложение EMV.
- Прочитайте данные карты. Данные карты передаются в виде открытого текста.
- Отправьте данные транзакции (сумма для авторизации, дата / время транзакции, ...) открытым текстом на карту.
- Карта генерирует цифровую подпись по транзакции на основе своего секретного ключа (то есть криптографии).
- Терминал и / или серверная часть проверяют цифровую подпись карты на данных транзакции.
Btw. статья, на которую вы ссылались ("Алгебраические атаки на потоковый шифр Crypto-1 в картах MiFare Classic и Oyster"), совершенно не связана с платежными картами EMV. Статья посвящена слабым сторонам карт MIFARE Classic. В отличие от платежных карт EMV, карты MIFARE Classic - это простые бесконтактные карты памяти с некоторой логикой шифрования и аутентификации.