EMV (Chip) Cards - Qual è il motivo per cui la chip card comunica direttamente al server di autorizzazione? E chiarimento di CDA in EMV

3

Ok capisco dalle mie ricerche che la Chip Card crea un AC Key (MasterKey + AccNumber) per comunicare in sicurezza con il server di autorizzazione (tasto 3DES per avere comunicazioni crittografate) ma non capisco quanto segue ..

  1. Qual è la differenza tra avere la carta di parlare al server direttamente e avere la carta dire al sistema di punto vendita i suoi dettagli e quindi comunicare con il server di autorizzazione (che può essere fatto da una striscia magnetica o carta di prossimità) ?

  2. Quali sono i vantaggi di questa procedura che hanno le carte EMV? e perché è necessario (se lo è)?

Un'altra domanda che ho è che non capisco Combined DDA / generate application cryptogram (CDA), i siti web e i report che ho trovato hanno dato solo una breve spiegazione di qualcuno che potrebbe indicarmi dove posso trovare di più (preferibilmente gli aspetti tecnici di come funziona e che tipo di crittografia utilizza ecc.)

    
posta Brandon Seet 21.03.2014 - 06:05
fonte

1 risposta

3

In risposta a:

What's the difference between having the card talk to the server directly and having the card tell the point of sale system its details and then communicating with the authorizing server (Which can be done by a magnetic strip or proximity card)?

La differenza è che la crittografia end-to-end (chiamata anche crittografia point-to-point o P2PE nel settore dei pagamenti) significa che chiunque tra la carta e l'emittente è tenuto all'oscuro dei dettagli sensibili del transazione (PAN ecc.).

Come per

What are the benefits of this procedure that EMV cards have then? and why is it necessary (if it is)?

Il vantaggio è che non è necessario fidarsi di nessuno tra la carta e l'emittente. Nel caso del malware POS, il vantaggio qui è ovvio. Ma questo ha anche dei vantaggi anche se non c'è alcun malware lungo il percorso tra la carta e l'emittente.

Se il commerciante non può vedere i dettagli della carta, il commerciante non può memorizzare i dettagli della carta. Se il commerciante non può memorizzare i dettagli della carta, limita l'ambito degli audit PCI-DSS e riduce il rischio per il commerciante. E per i processori che indirizzano le transazioni. E chiunque altro tra la carta e l'emittente.

La risposta alle PR da parte delle organizzazioni nel settore degli app è che rende tutto più sicuro per tutti. Una risposta più cinica è che il commerciante preferirebbe pagare un po 'di più ora per una soluzione P2PE per evitare costose indagini, multe e insediamenti in seguito.

La tua domanda e la mia risposta riguardano la crittografia delle informazioni sensibili tra la carta e l'emittente, ma il P2PE è qualcosa che nasce dalle schede EMV. È una misura di sicurezza extra resa possibile dalle schede EMV (e altri media "intelligenti"). Una carta mag-stripe è un mezzo stupido e non essere in grado di implementare P2PE è solo uno svantaggio.

Per quanto riguarda la tua domanda su DDA e CDA temo di non poter fornire una risposta migliore rispetto alle risposte semplificate che puoi trovare su Google ecc.

    
risposta data 10.07.2014 - 15:01
fonte

Leggi altre domande sui tag