Микроскопическое исследование EMV-чипа: пошаговое руководство по изготовлению и записи данных

[Carder]

Введение​

Платежная карта EMV часто воспринимается как небольшой, простой объект, однако за ее металлическими контактами или бесконтактной антенной скрывается один из самых сложных и критически важных с точки зрения безопасности производственных процессов в финансовой индустрии. От изготовления кремниевых чипов до криптографической персонализации каждый чип EMV проходит строго контролируемый жизненный цикл, разработанный для обеспечения безопасности, совместимости и долгосрочной надежности.

В этой статье подробно рассматривается микросхема EMV, описывая поэтапный процесс ее производства, подготовки и записи данных. Основное внимание уделяется всей производственной и технической цепочке, включая производство оборудования, подготовку операционной системы, криптографическое обеспечение и, наконец, ввод данных.

EMV и экосистема платежных карт​

EMV — это глобальный стандарт, поддерживаемый EMVCo и используемый основными платежными системами, такими как Visa, Mastercard, American Express и UnionPay. Он определяет:

• Как происходит взаимодействие между картами и терминалами.
• Как осуществляется аутентификация транзакций
• Как устанавливается криптографическое доверие

Карта EMV должна стабильно функционировать на миллионах терминалов по всему миру, одновременно противостоя мошенничеству, клонированию и подделке. Эти требования напрямую определяют конструкцию и персонализацию чипа.

От песка до кремния: производство полупроводников.​

Жизненный цикл EMV-чипа начинается далеко за пределами банковской сферы, на предприятиях по производству полупроводников.

Кремниевые пластины изготавливаются из сверхчистых кристаллов кремния. В результате ряда этапов фотолитографии, легирования и травления формируются микроскопические транзисторы, в конечном итоге создавая:

• Центральные процессоры
• Массивы энергонезависимой памяти
• Криптографические ускорители
• датчики безопасности

На данном этапе чип представляет собой исключительно электронное устройство, не учитывающее платежные операции или логику EMV.

Защищенная архитектура микроконтроллера​

В отличие от микроконтроллеров общего назначения, микросхемы EMV разработаны как защищенные элементы. Их архитектура обычно включает в себя:

• Раздельные зоны памяти с аппаратным контролем доступа.
• Датчики для обнаружения аномалий напряжения, частоты и температуры.
• Генераторы случайных чисел
• Аппаратные межсетевые экраны между функциональными блоками

Эти функции необходимы для защиты от физических атак и атак по побочным каналам после того, как карта будет введена в эксплуатацию.

Тестирование кремниевых пластин и выбор кристаллов.​

Прежде чем чипы попадут в формат карты, они проходят электрическое тестирование на уровне кремниевой пластины.

Автоматизированные зондовые станции:

• Выполнить диагностические процедуры
• Проверка целостности памяти
• Проверьте функциональность криптографического сопроцессора.

Дефектные кристаллы маркируются и исключаются из партии. Дальнейшему продвижению по цепочке поставок подвергаются только микросхемы, соответствующие строгим электрическим и защитным критериям.

Упаковка и сборка модулей​

Выбранные кристаллы вырезаются из кремниевой пластины и упаковываются в модули, пригодные для изготовления карт.

Этот процесс включает в себя:

• Монтаж кристалла на подложку
• Подключение осуществляется с помощью соединительных проводов или технологии флип-чип.
• Покрытие его защитной смолой

В контактные карты добавляются металлические площадки. В бесконтактные карты модуль подключается к антенне, встроенной в корпус карты.

Производство корпусов карт​

Параллельно с производством микросхем изготавливаются и корпуса карт.

Карточные корпуса состоят из нескольких слоев ПВХ или аналогичных материалов, иногда включающих в себя:

• Встроенные антенны для бесконтактных карт
• Графика безопасности
• Слои лазерной гравировки

Модуль вставляется в корпус карты посредством фрезерования и встраивания, создавая привычный форм-фактор EMV-карты.

Исходное состояние микросхемы и предварительная персонализация​

На данном этапе чип не содержит данных платежного приложения. Он может включать в себя:

• Загрузчик
• Минимальная или полная операционная система для карт
• Ключи для проверки производителем

Этот чип пока не привязан ни к одному эмитенту или держателю карты и не может выполнять транзакции EMV.

Загрузка операционных систем карт​

Операционная система платежных карт (COS) обеспечивает среду выполнения для приложений EMV.

В зависимости от модели производителя:

• COS может быть загружен во время изготовления микросхемы.
• Или вводится позже в процессе производства модуля или платы.

В рамках COS реализовано следующее:

• Обработка команд APDU
• Файловые системы, соответствующие стандарту ISO/IEC 7816
• Криптографические примитивы

После установки критически важные части COS блокируются навсегда.

Домены безопасности и изоляция приложений​

Современные EMV-чипы поддерживают несколько доменов безопасности. Каждый домен определяет:

• Какие ключи действительны?
• Какие команды разрешены?
• Какие области памяти доступны?

Это позволяет разделить:

• Контроль со стороны производителя микросхем
• контроль эмитента
• Привилегии, специфичные для приложения

Изоляция обеспечивается на аппаратном уровне и на уровне операционной системы.

Переход к контролю со стороны эмитента​

После изготовления чипы передаются в бюро персонализации или на предприятия эмитентов.

Этот переход знаменует собой критически важную границу доверия. Процедуры включают в себя:

• Документация, отражающая цепочку поставок.
• Безопасная транспортировка
• Сверка инвентаризации

С этого момента политика безопасности эмитента начинает играть доминирующую роль в жизненном цикле микросхемы.

Определение профилей эмитентов​

Прежде чем данные будут записаны, эмитенты определяют профили карт, которые определяют, как будет работать каждая карта.

В профилях указываются следующие параметры:

• Поддерживаемые приложения (кредитные, дебетовые, предоплаченные)
• Возможности транзакций
• Параметры управления рисками
• методы проверки держателя карты

Эти профили определяют все последующие этапы персонализации.

Структура файловой системы EMV​

Приложение EMV организует данные в иерархическую структуру:

• Основной файл (MF)
• Для каждого приложения создается отдельный файл (DF).
• Элементарные файлы (EF), содержащие записи данных.

Каждый элемент данных идентифицируется тегом, определенным в спецификациях EMV. Правильное размещение и кодирование этих элементов имеет важное значение для совместимости терминалов.

Обзор инфраструктуры персонализации​

Персонализация осуществляется с использованием комбинации следующих методов:

• Высокоскоростные считыватели карт
• Серверы персонализации
• Аппаратные модули безопасности (HSM)

Эти компоненты работают в контролируемой среде со строгим контролем доступа и мониторингом.

Роль скриптов персонализации​

Запись данных в микросхему осуществляется с помощью скриптовых последовательностей APDU.

Скрипты определяют:

• Приказ
• Условия безопасности
• Правила обработки ошибок

Они обеспечивают единообразную персонализацию миллионов карт, сводя к минимуму вмешательство человека.

Криптографическая модель доверия в EMV​

Безопасность EMV основана на многоуровневом криптографическом доверии.

На самом верху находятся корневые ключи платежной системы, за ними следуют ключи эмитента, и, наконец, уникальные секреты карты. Такая иерархия гарантирует, что компрометация на одном уровне не приведет к глобальному распространению проблемы.

Генерация главного ключа эмитента​

Главные ключи эмитента генерируются внутри сертифицированных аппаратных модулей безопасности (HSM).

Эти клавиши управляют:

• Генерация криптограммы приложения
• Защищенный обмен сообщениями
• Автономная аутентификация данных

Процессы генерации основаны на мощных источниках энтропии и процедурах двойного управления.

Основные принципы диверсификации​

Вместо хранения одинаковых ключей на каждой карте, эмитенты генерируют уникальные ключи для каждой карты.

Диверсификация обычно включает в себя:

• Основной номер счета (PAN)
• Порядковый номер PAN

Это гарантирует, что каждый чип EMV будет обладать уникальной криптографической идентификацией.

Безопасная передача ключей и данных​

Ключи никогда не передаются в открытом виде.

В процессе персонализации:

• Ключи шифруются с использованием транспортных ключей.
• Файлы данных имеют цифровую подпись.
• Защищенные каналы обеспечивают безопасность связи.

Это предотвращает перехват или изменение конфиденциальной информации.

Внедрение криптографических ключей​

Вставка ключа — одна из самых важных операций на протяжении всего жизненного цикла.

Ключи загружены:

• В условиях защищенной передачи сообщений
• С ограничениями на использование
• в защищенные области памяти

После введения ключи блокируются и не могут быть извлечены.

Запись основных данных приложения​

При наличии ключей основные данные приложения EMV записываются.

Это включает в себя:

• Основной номер счета
• срок действия заявки
• Профиль обмена приложениями
• Поиск файлов приложений

Перед записью в память каждый объект данных проверяется операционной системой микросхемы.

Подготовка к аутентификации данных в автономном режиме​

EMV поддерживает несколько механизмов автономной аутентификации.

В процессе персонализации чип может:

• Сгенерировать асимметричные пары ключей
• Сертификаты эмитента и сертификаты ICC
• Завершение разработки структур данных аутентификации.

Эти шаги позволяют терминалам проверять подлинность карты без подключения к интернету.

Настройка методов проверки держателя карты​

Методы проверки держателя карты (CVM) определяют способ аутентификации держателя карты во время транзакции. Конфигурация CVM записывается на этапе персонализации и напрямую влияет на ход транзакции на терминалах.

Типичные варианты CVM включают:

• PIN-код для использования в автономном режиме (в открытом или зашифрованном виде)
• Онлайн-ПИН-код
• Проверка подписи
• CVM не требуется

Список CVM представляет собой упорядоченную структуру, определяющую правила резервного копирования и условную логику в зависимости от контекста транзакции. Неправильная конфигурация может привести к отклонению транзакций или повышению риска мошенничества.

Обработка PIN-кодов и счетчики попыток ввода PIN-кода​

Для карт, поддерживающих ввод PIN-кода в автономном режиме, инициализируются дополнительные защищенные элементы данных.

К ним относятся:

• Хранение зашифрованных блоков PIN-кода
• Счетчик попыток ввода PIN-кода (PTC)
• Параметры ключа разблокировки PIN (PUK)

Встроенный чип устанавливает ограничения на количество повторных попыток. После достижения максимального числа неверных попыток функция ввода PIN-кода в автономном режиме может быть заблокирована навсегда в зависимости от политики эмитента.

Инициализация параметров управления рисками​

EMV-карты перед принятием решения об одобрении транзакции в офлайн-режиме или запросе онлайн-авторизации проводят локальное управление рисками.

В процессе персонализации инициализируются следующие параметры:

• Границы этажа
• Пороги случайного выбора транзакций
• Значения проверки скорости

Эти параметры позволяют карте динамически адаптироваться к характеру транзакций без непосредственного участия эмитента.

Настройка счетчика транзакций приложения​

Счетчик транзакций приложений (ATC) — это монотонно возрастающее значение, хранящееся на микросхеме.

В процессе персонализации:

• Система автоматического регулирования времени работы двигателя (ATC) инициализируется заданным начальным значением.
• Верхние пределы могут быть настроены.

Система ATC играет решающую роль в предотвращении атак повторного воспроизведения и в выявлении мошенничества на стороне эмитента.

Бесконтактная запись данных​

Для бесконтактных EMV-приложений требуется дополнительная настройка, помимо тех, что используются для карт, работающих с контактным датчиком.

Персонализация включает в себя:

• лимиты бесконтактных транзакций
• Флаги взаимодействия ядра
• Коды действий терминала, специфичные для использования бесконтактной оплаты.

Эти значения оптимизированы для обеспечения скорости при сохранении приемлемого уровня риска.

Защищенный обмен сообщениями во время записи данных​

Защита от записи конфиденциальных данных обеспечивается с помощью защищенной системы обмена сообщениями.

Защищенная система обмена сообщениями обеспечивает:

• Конфиденциальность команд обеспечивается шифрованием.
• Защита целостности с помощью MAC-контроля
• Защита от повторного воспроизведения на уровне сессии

Ключи сессии формируются динамически, что гарантирует, что даже при повторных сеансах персонализации криптографические данные не будут использоваться повторно.

Проверка достоверности письменных данных​

После записи данных система персонализации немедленно выполняет проверку.

Этапы проверки могут включать в себя:

• Считывание выбранных элементов данных
• Проверка цифровых подписей
• Выполнение криптографических самотестов

Любое расхождение между ожидаемыми и фактическими значениями приводит к отклонению карты.

Тестирование имитации транзакций EMV​

Перед выдачей карты выполняются имитированные транзакции.

Эти тесты подтверждают:

• Правильный выбор приложения
• Правильное выполнение CVM
• Генерация достоверной криптограммы

В симуляциях часто включаются как сценарии одобрения, так и сценарии отклонения, чтобы обеспечить предсказуемое поведение.

Настройка под конкретные условия схемы​

Хотя EMV предоставляет общую основу, каждая платежная система вводит собственные расширения.

При персонализации необходимо учитывать:

• Метки, специфичные для схемы
• Зависимости версий приложения
• Ограничения сертификации

Это требует тесной согласованности между профилями эмитентов и правилами схемы.

Вопросы, касающиеся двухинтерфейсных карт.​

Карты с двойным интерфейсом поддерживают как контактные, так и бесконтактные транзакции, используя один чип.

Персонализация обеспечивает:

• Согласованность общего состояния приложения
• Скоординированные счетчики по всем интерфейсам
• Единая логика управления рисками

Неправильная синхронизация может привести к аномалиям транзакций.

Управление состоянием жизненного цикла​

EMV-чипы поддерживают внутренние состояния жизненного цикла.

К типичным штатам относятся:

• Предварительно персонализированный
• Персонализированный
• Изданный
• Заблокировано

Переходы между состояниями строго контролируются и регистрируются. Определенные команды разрешены только в определенных состояниях.

Блокировка карт и индикаторы состояния​

Функция персонализации инициализирует флаги состояния, которые позволяют эмитентам управлять событиями жизненного цикла карты.

Эти флаги поддерживают:

• Блокировка приложения
• Блокировка PIN-кода
• Аварийное отключение

Флаги можно будет обновить позже во время онлайн-транзакций.

Персонализация, пропускная способность и распараллеливание​

В промышленных системах персонализации обрабатываются большие объемы карт.

Для достижения масштаба:

• Несколько линий персонализации работают параллельно.
• Скрипты оптимизированы для минимального обмена APDU-пакетами.
• Обработка ошибок полностью автоматизирована.

Оптимизация пропускной способности ни в коем случае не должна ослаблять меры безопасности.

Обработка ошибок персонализации​

Не все карты проходят персонализацию успешно.

Сценарии отказов включают в себя:

• Перерывы в обмене сообщениями
• Криптографические несоответствия
• Аппаратные дефекты

Неисправные карты немедленно отделяются и отслеживаются, чтобы предотвратить случайную выдачу.

Безопасное уничтожение отклоненных карт​

Отклоненные или неисправные карты уничтожаются в соответствии со строгими процедурами.

К таким методам могут относиться:

• Физическое измельчение
• Термическое разрушение
• Химическая обработка

События уничтожения регистрируются и проверяются.

Ведение журнала аудита и сбор доказательств​

Каждое действие по персонализации генерирует записи аудита.

Запись логов:

• Идентификаторы операторов
• Действия с отметками времени
• Сводки криптографических событий

Эти записи служат для обеспечения соблюдения нормативных требований и проведения судебно-экспертных расследований.

Регулярные аудиты и сертификация​

Системы персонализации регулярно проходят проверки.

В ходе аудита оцениваются:

• Физическая безопасность
• Логический контроль доступа
• Ключевые методы управления

Несоблюдение требований может привести к лишению сертификата.

Интеграция с внутренними системами эмитента​

Несмотря на то, что персонализация — это офлайн-процесс, он тесно интегрирован с внутренними системами эмитента.

Системы эмитентов:

• Хранить данные справочной карты
• Отслеживание статуса персонализации
• Проверка криптограмм транзакций после выпуска

Для надежной работы платежных карт необходима согласованность данных в разных системах.

Расширенная последовательность команд APDU во время персонализации​

На самом низком техническом уровне персонализация осуществляется посредством обмена данными протокола прикладного уровня (APDU) между системой персонализации и чипом.

Эти блоки APDU выполняют такие функции, как:

• Выбор приложений и доменов безопасности
• Аутентификация сессий
• Запись и обновление объектов данных
• Последовательности nAPDU для блокировки файлов и ключей
  строго упорядочены. Отклонение в порядке команд или параметрах может привести к переходу микросхемы в состояние ошибки или к необратимой блокировке важных областей.

Взаимная аутентификация и установление сеанса​

Прежде чем будут приняты конфиденциальные команды, чип и система персонализации проводят взаимную аутентификацию.

Этот процесс обычно включает в себя:

• Обмен случайными заданиями
• Криптографическая проверка с использованием общих ключей.
• Установление ключей сессии

После успешной взаимной аутентификации сессия переходит в привилегированный режим, позволяющий осуществлять безопасную запись данных.

Определение условий создания и доступа к файлам​

В процессе персонализации могут быть окончательно определены не только данные, но и структура файлов.

Для каждого файла определяются условия доступа:

• Какие ключи разрешают операции чтения?
• Какие ключи разрешают операции записи или обновления?
• Предоставляется ли доступ после выдачи

Условия доступа обеспечиваются операционной системой микросхемы и не могут быть обойдены без надлежащей аутентификации.

Блокировка критически важных объектов данных​

После завершения записи данных критически важные элементы блокируются навсегда.

К ним могут относиться:

• Ключи приложений
• Статические данные держателя карты
• Параметры управления рисками

Блокировка обеспечивает неизменность данных на протяжении всего срока службы карты.

Персонализация множества приложений​

Некоторые EMV-карты поддерживают более одного приложения.

Примеры включают:

• Дебетовая и кредитная карты на одной карте.
• Внутренние и международные приложения.
  Системы персонализации должны координировать запись данных, чтобы избежать конфликтов в распределении памяти и логике транзакций.

Управление и оптимизация памяти​

Микросхемная память — это ограниченный ресурс.

Профили персонализации оптимизированы для:

• Сведите к минимуму использование EEPROM.
• Сократите количество циклов записи.
• Сбалансированный баланс производительности и долговечности.

Неправильное планирование памяти может сократить срок службы карты или снизить скорость транзакций.

Электрические и временные ограничения​

Оборудование для персонализации должно соответствовать электрическим ограничениям, установленным производителями микросхем.

К ним относятся:

• Диапазоны напряжения
• Ограничения частоты тактового сигнала
• Сброс времени

Нарушения могут привести к необратимому повреждению микросхемы.

Проверка бесконтактного соединения антенн​

В случае бесконтактных карт персонализация включает проверку антенны.

Системы измеряют:

• Сила связи
• Резонансная частота
• стабильность связи

Карты, не соответствующие критериям радиочастотного распознавания, отклоняются, даже если логическая персонализация прошла успешно.

Вопросы, связанные с воздействием стрессовых факторов окружающей среды​

Предполагается, что карты будут работать годами в различных условиях.

В процессе производства оцениваются факторы, вызывающие напряжение, в том числе:

• колебания температуры
• Механический изгиб
• Электростатический разряд

Хотя эти факторы не являются частью процесса записи данных, они влияют на допустимые отклонения в персонализации.

Региональные и нормативные ограничения​

EMV-карты должны соответствовать региональным правилам.

Персонализация может различаться в зависимости от:

• Правила внутренней платежной сети
• Требования к размещению данных
• Местные требования безопасности

Профили адаптированы для обеспечения соответствия нормативным требованиям.

Обработка испытательных и опытных партий​

Перед массовым выпуском эмитенты часто проводят пилотные партии.

Эти партии:

• Проверка сквозных процессов
• Выявление проблем интеграции
• Предоставьте обратную связь по реальным транзакциям.

Данные с пилотных карт используются для корректировки профиля.

Контроль версий профилей персонализации​

Профили эмитентов меняются со временем.

Система контроля версий обеспечивает:

• Воспроизводимость результатов предыдущих исследований
• Отслеживаемость в ходе расследований
• Контролируемое внедрение изменений

Каждую карту можно отследить до той же версии профиля, которая использовалась при персонализации.

Взаимодействие с системами мониторинга мошенничества​

Хотя мониторинг мошенничества осуществляется после выпуска, решения, касающиеся персонализации, влияют на возможности обнаружения.

Такие параметры, как счетчики, лимиты и флаги, влияют на:

• Точность оценки мошенничества
• Логика упадка
• генерация оповещений

Таким образом, персонализация является одним из важнейших компонентов предотвращения мошенничества.

Сверка данных в конце цепочки​

В конце каждой партии персонализации выполняется сверка данных.

Это включает в себя:

• сопоставление количества карт
• Проверка серийного номера
• Подтверждение уничтожения бракованных изделий

Сверка гарантирует, что ни одна карта не покинет учреждение без учета.

Долгосрочное управление ключевыми ресурсами и ротация.​

Ключи эмитента, используемые при персонализации, не остаются неизменными навсегда.

Ключевые процессы управления определяют:

• Графики ротации
• Процедуры выхода на пенсию
• Сценарии аварийной замены

Совместимость карт должна сохраняться даже при развитии системных ключей.

Тестирование совместимости между терминалами​

Персонализированные карты тестируются на широком спектре терминалов.

Тестирование обеспечивает совместимость со следующими компонентами:

• Различные версии ядра
• Офлайн и онлайн среды
• Транзакции в нестандартных ситуациях

Сбои во взаимодействии могут дорого обойтись при масштабном внедрении карт.

Согласование с выдачей цифровых учетных данных​

Современные эмитенты объединяют персонализацию физических карт с выпуском цифровых карт.

Модели данных согласованы для поддержки:

• Мобильные кошельки
• Виртуальные карты
• Токенизированные учетные данные

Такая конвергенция снижает сложность различных платежных каналов.

Документирование и сохранение знаний​

Наконец, процессы персонализации подробно описаны.

Документация включает в себя:

• Технические характеристики
• Операционные процедуры
• Рабочие процессы обработки инцидентов

Эта база знаний обеспечивает непрерывность работы, проведение аудитов и дальнейшее развитие системы.