Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Emulacja karty elektronicznej EMV
Michał GłuchowskiPraca dyplomowa inżynierska pod opieką prof. Zbigniewa Kotulskiego
Agenda
Co to jest EMV?Dlaczego warto się tym zajmować?Bezpieczeństwo EMVKarta tradycyjna a EMVCertyfikacja EMVNarzędzia testoweProjekt systemuImplementacjaRezultatyPlany na przyszłośćPytania
Co to jest EMV?
Standard systemów płatniczych opartych o karty elektroniczne ISO/IEC-7816
EMV = EuropayMastercardVisa
Aktywnie rozwijany od 1993 roku (pierwsza wersja standardu 1996)
Dlaczego EMV?
Rosnąca liczba nieuczciwych transakcji przy użyciu podrobionych kart („skimming”) Bezpieczeństwo zapewniane przez konstrukcję karty oraz kryptografięMała „elastyczność” kart z paskiem magnetycznym
„Liability shift” (od 01.2005)
Dlaczego EMV?
WieloaplikacyjnośćUwierzytelnienie karty
SDA (Static Data Authentication)DDA (Dynamic Data Authentication)CDA (Combined Dynamic Data Authentication/Cryptogram Generation)
Zarządzanie ryzykiem w karcieWeryfikacja PINu offlineWzajemnie uwierzytelnienie w przypadku transakcji online – szyfry symetryczneZdalne zarządzanie aplikacją w karcie
Bezpieczeństwo EMV – SDA
Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems
Bezpieczeństwo EMV – DDA
Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems
Transakcja tradycyjna a EMV
Transakcja dla karty z paskiem magnetycznym
Odczyt kartyRestrykcje akceptantaOnline / offline
Odczyt danychkarty
Restrykcje agentarozliczeniowego
w terminalu
Autoryzacjatransakcji
online / offline
Transakcja tradycyjna a EMV
Transakcja dla karty EMV
Bardziej skomplikowana, ale...
Dużo większa kontrola nadtransakcją przez wydawcęWiększe bezpieczeństwo
Inicjalizacja aplikacji
Odczyt rekordówaplikacji
Uwierzytelnieniedanych karty
Restrykcje wydawcy
Uwierzytelnienieposiadacza karty
Analiza ryzyka wterminalu
Analiza ryzyka wkarcie
Zakończenietransakcji
Autoryzacjatransakcji online
+uwierzytelnienie
wydawcy przez kartę
Restrykcje agentarozliczeniowego
w terminalu
Wykonianieskryptów wydawcy
Decyzjaonline /offline
Online
Offline
Certyfikacja EMV
Problemy z bezpieczeństwem wynikającym z niestosowaniem się do zaleceńZnaczne większe skomplikowanie EMV – duże ryzyko błędówCertyfikacja sprzętu ( TA Level 1 )Certyfikacja oprogramowania dla jądra ( TA Level 2 )Testy zgodności aplikacji z konkretnymi systemami płatniczymi
ADVT (Acquirer Device Validation Test)VSDC (Visa Smart Debit/Credit)ETEC (End To End Compliance)
Narzędzia testowe
Specjalistyczne laboratoria testujące EMV L1, drogie testy EMV L2 na zlecenieNarzędzia dostarczane przez organizacje płatnicze (ADVT, ETEC)ICC Solutions – komercyjny zestaw do testowania
Niezależnie od rozwiązania – wysoki koszt
Projekt systemu
Emulator karty
Warstwapośrednicząca
(interfejs)
Bibliotekasystemu
operacyjnegokarty (ROM)
Pliki z rekoradmidanych karty oraz
nieulotne flagi(EEPROM)
Tymczasowe danetransakcyjne karty
(RAM)
Klient (Terminal)
Implementacja
Karta ISO-7816 zaimplementowana jako biblioteka w C (dll dla Windows, ale proste przeniesienie na dowolną platformę)Interfejs PC/SC – możliwe przeźroczyste stosowanie przez dowolną aplikację WindowsInterfejs do terminali płatniczych Hypercom oraz VerifoneProsty klient testowy
Co w przyszłości?
Budowa sprzętowego interfejsu ISO/IEC 7816Rozbudowanie systemu testowe o moduł wydawcyRozwinięcie mechanizmów zarządzania ryzykiem w karcie