web-dev-qa-db-fra.com

Quel cryptage (le cas échéant) est utilisé sur les cartes de crédit électroniques?

Hors de curiosité: comment les cartes de débit/de carte de carte maître/carte maîtres-cartes de carte maître avec des microchips authentifient-elles une transaction?

Sont-ils un stockage stupide pour une clé qui est simplement lue par un lecteur ou signent-ils en quelque sorte les détails de la transaction demandés à l'aide d'une clé interne qui n'est jamais révélée? (Ce dernier est mon devin que cela devrait être fait mais je ne sais pas si vous pouvez vous attendre à ce que la puce ait suffisamment de puissance de calcul)

encryptionsmartcard
7
lampak

Voici un article intéressant sur la sécurité des cartes à puce (dans les cartes de débit) utilisées pour la sécurité des services bancaires en ligne au Royaume-Uni sous le programme CAP.

http://www.cl.cam.ac.uk/~sjm217/papers/fc09optimisis.pdf

Voici un lien du Royaume-Uni avec de beaux détails sur la puce et les systèmes PIN: http://www.lightbluetouchpaper.org/2010/02/11/Chip-and-pin-is-Broken/

Nous démontrons une attaque de MiddlePerson sur EMV qui permet aux criminels d'utiliser la puce volée et PIN Cartes sans connaître le code PIN.

Notre puce de papier technique et PIN est cassée explique comment. Cela a causé une certaine remous, car elle a diffusé l'industrie bancaire en privé depuis plus de 2 mois et a été accepté pour le symposium IEEE sur Sécurité et confidentialité, la haute conférence en matière de sécurité informatique. (Voir aussi notre FAQ et le communiqué de presse.)

La faille est que lorsque vous mettez une carte dans un terminal, une négociation a lieu sur la manière dont le titulaire de la carte doit être authentifié: à l'aide d'une broche, en utilisant une signature ou non du tout. Ce sous-déprotocole particulier n'est pas authentifié, vous pouvez donc astuce la carte dans la pensée de faire une transaction de puce-et-signature tandis que le terminal pense qu'il est à la pépin de puce. Le résultat est que vous pouvez acheter des objets à l'aide d'une carte volée et d'un PIN de 0000 de 0000 (ou tout ce que vous voulez). Nous l'avons fait, à la caméra, en utilisant diverses cartes de journalistes. Les transactions ont traversé Bien et les recettes disent "Vérifié par PIN".

Et voici une autre (moins pertinente) une fois qu'un fournisseur d'essence/gaz au Royaume-Uni arrêté temporairement à l'aide de la puce et de la goupille dans les 600 de leurs points de vente lorsqu'ils réalisaient qu'il y avait un problème avec les périphériques d'entrée de broche "Preuve inviolable".

http://www.lightbluetouchpaper.org/2006/05/10/Le-Mythical-Tamper-proof-pin-pad/

Les cartes à puce ont généralement une fuite à une magristrie, qui est un vecteur d'attaque pour certains criminels.

5
DanBeale