Universidade Estadual de Campinas – UNICAMPInstituto de Computação - IC

Mestrado Profissional em Computação

Segurança em cartões Smartcard EMV

Ricardo B. MatsunoMarcelo Chaves

Índice

- Sistema AtualSistema Atual

- Cartões SmartCardCartões SmartCard

- Norma EMVNorma EMV- Protocolos de autenticação Protocolos de autenticação

- Cartão Cartão

- UsuárioUsuário

- TransaçãoTransação

- Emissor Emissor

- Conclusão Conclusão

Sistema Atual

Principais características:

-Cartões magnéticos-Autorizações online-Segurança baseada em :

-Características visuais (hologramas, etc..)

Sistema Atual

Cartões Smartcard

Criado em formalmente na França em 1974.. São cartões microprocessados com memória de até 64

Kbits de informação Segurança baseada em:

– Características visuais– Chip– S.O.– Rede– Aplicativos

Cartões Smartcard

Norma EMV

Em 1994 a Europay , Mastercard e Visa criaram uma norma para sistemas de crédito/ débito baseados em cartão chip para substituir os cartões magnéticos

Esta padrão ficou denominado EMV e define um padrão para operação com cartões inteligentes

Mais informações em:www.emvco.com

international.visa.com

www.mastercard.com

Norma EMV

Protocolos de autenticação

A EMV define todos os mecanismos de segurança presentes em uma transação.

Os principais mecanismos são protocolos de autenticação : – Do cartão – Do usuário– Das transações– Do emissor

Protocolos de autenticação

Através destes mecanismos de segurança é possível garantir :– Integridade das transações– Autenticação de todos os elementos que participam

da transação– Não repúdio

Protocolos de autenticação

Protocolo de autenticação do cartão – SDA – Static Data Authentication – Baseado em uma

assinatura digital estática dos dados do cartões utilizando um mecanismo de chaves públicas

– DDA – Dynamic Data Authentication – Baseado em uma assinatura digital dinâmica dos dados do cartões utilizando um mecanismo de chaves públicas

As chaves RSA utilizadas neste processo variam desde 768 até 2048 bits (exponente 3 a 2^16 + 1)

Protocolos de autenticação

Static Data Authentication

Protocolos de autenticação

Computed Hash=

Recovered. Hash?

YES

IssuerPublic KeyCertificate

SHA-1

C/A Public Key

Hash ResultRecovered Data

RSARecovery

ComputeHash

NO

Retrieve Issuer

Public Key

SignedStatic Appl

Data

RSARecovery

RecoveredData

ComputeHashSHA-1

Computed Hash=

Recovered. Hash?

Hash Result

YES

NO

SDAFailed

SDAFailed

SDASucceeded

Static Data Authentication

Protocolos de autenticação

Dynamic Data Authentication

Protocolos de autenticação

Dynamic Data Authentication

Protocolos de autenticação

Dynamic Data Authentication

Protocolos de autenticação

Protocolo de autenticação do usuário – Senha offline – validada pelo cartão – Assinatura – Senha Online – Verificada pelo emissor do cartão – Senha offline criptografada – validada pelo cartão

Protocolos de autenticação

Senha offline criptografada-chave pública do Chip

Protocolos de autenticação

Protocolo de autenticação da transação– Todos os dados da transação ao final são

autenticadas com uma assinatura digital utilizando um MAC (message authentication code)

– Para cada transação é diversificada uma chave de sessão ( para evitar replay attacks)

Protocolos de autenticação

Exemplo autenticação de uma transação

Protocolos de autenticação

Protocolos de autenticação

Protocolo de autenticação do emissor– Quando são processadas autorizações online, o

emissor envia um criptograma para ser validado pelo cartão

– A autenticação do emissor é feita utilizando a chave Master do cartão.

Protocolos de autenticação

Conclusão

Os mecanismos de segurança estão presentes cada vez mais no dia a dia das pessoas.

Sistemas de autenticação com chaves públicas, certificados digitais, já estão incorporados desde Browser Web á sistemas de pagamentos com cartão .

DÚVIDAS ...