Quale crittografia (se presente) viene utilizzata sulle carte di credito elettroniche?

7

Per curiosità: in che modo le carte di debito / credito elettroniche Visa / Master Card con microchip autenticano una transazione?

Sono stupidi da conservare per una chiave che viene semplicemente letta da un lettore o che in qualche modo firmano i dettagli della transazione richiesta usando una chiave interna che non viene mai rivelata? (Quest'ultima è la mia ipotesi su come dovrebbe essere fatto, ma non sono sicuro che si possa aspettare che il chip abbia una potenza di calcolo sufficiente)

    
posta lampak 28.08.2011 - 18:59
fonte

2 risposte

6

Le carte EMV e le smart card in genere dispongono infatti di una chiave privata incorporata e di una potenza sufficiente per eseguire la crittografia matematica necessaria per firmare una transazione senza rivelare il segreto.

link
link

    
risposta data 28.08.2011 - 19:39
fonte
5

Ecco un documento interessante sulla sicurezza delle smart card (in carte di debito) utilizzate per la sicurezza bancaria online nel Regno Unito nell'ambito del regime CAP.

link

Ecco un link dal Regno Unito con i dettagli su chip e sistemi pin: link

We demonstrate a middleperson attack on EMV which lets criminals use stolen chip and PIN cards without knowing the PIN.

Our technical paper Chip and PIN is Broken explains how. It has been causing quite a stir as it has circulated the banking industry privately for over 2 months, and it has been accepted for the IEEE Symposium on Security and Privacy, the top conference in computer security. (See also our FAQ and the press release.)

The flaw is that when you put a card into a terminal, a negotiation takes place about how the cardholder should be authenticated: using a PIN, using a signature or not at all. This particular subprotocol is not authenticated, so you can trick the card into thinking it’s doing a chip-and-signature transaction while the terminal thinks it’s chip-and-PIN. The upshot is that you can buy stuff using a stolen card and a PIN of 0000 (or anything you want). We did so, on camera, using various journalists’ cards. The transactions went through fine and the receipts say “Verified by PIN”.

Ed ecco un altro (meno rilevante) in cui un fornitore di benzina / gas nel Regno Unito ha smesso temporaneamente di usare chip e pin in tutti i 600 punti vendita quando hanno capito che c'era un problema con i dispositivi di input pin "a prova di manomissione".

link

Le smartcard di solito hanno un ripiego di un magstripe, che è un vettore di attacco per alcuni criminali.

    
risposta data 28.08.2011 - 20:09
fonte

Leggi altre domande sui tag