Man
Professional
- Messages
- 3,040
- Reaction score
- 563
- Points
- 113
Криптограмма оплаты (ARQC) является основным компонентом функций безопасности чипа/EMV. Основные функции безопасности, которые были введены вместе с чипом/EMV:
- аутентификация держателя карты (ПИН-код)
- аутентификация карты (предварительная офлайн-аутентификация данных на платежном терминале)
- авторизация транзакции.
Авторизация транзакции — это процесс, когда карта запрашивает набор полей (они имеют названия вроде PDOL, CDOL1, CDOL2 в зависимости от марки карты, шага платежного процесса и т. д.) и подписывает эти поля вместе с другими важными полями, хранящимися на самой карте, такими как счетчик транзакций (ATC) с использованием 3DES. Со стороны эмитента корректность подписанной транзакции будет проверяться на аппаратном модуле безопасности (HSM). Это является доказательством целостности транзакции — если какие-либо важные поля, такие как сумма или валюта, будут подделаны злоумышленниками, криптографическая контрольная сумма не будет пройдена, и транзакция будет отклонена.
Однако, пока кардеры знают все входные данные криптограммы (сумма, валюта, дата и т. д.), они могут заранее рассчитать криптограмму и использовать ее, не имея фактической карты. Поле ATC (счетчик транзакций приложения) было реализовано для снижения этого риска. Каждая новая транзакция будет иметь более высокий ATC, чем предыдущая, и эмитент не должен допускать транзакций с ATC вне порядка. В этом случае, если кто-то будет предварительно записывать криптограммы транзакций, будет очень ограниченное окно, когда эти криптограммы могут быть использованы — до тех пор, пока сама жертва не воспользуется картой в следующий раз. Но в какой-то момент из-за ложных отклонений подлинных транзакций из-за некоторых задержек в автономном режиме эта проверка стала излишней для многих банков, и официальное заявление EMVCo заключается в том, что «отклонение транзакций на основе ATC вне порядка может привести к ненужному отклонению».
Ссылки:
- аутентификация держателя карты (ПИН-код)
- аутентификация карты (предварительная офлайн-аутентификация данных на платежном терминале)
- авторизация транзакции.
Авторизация транзакции — это процесс, когда карта запрашивает набор полей (они имеют названия вроде PDOL, CDOL1, CDOL2 в зависимости от марки карты, шага платежного процесса и т. д.) и подписывает эти поля вместе с другими важными полями, хранящимися на самой карте, такими как счетчик транзакций (ATC) с использованием 3DES. Со стороны эмитента корректность подписанной транзакции будет проверяться на аппаратном модуле безопасности (HSM). Это является доказательством целостности транзакции — если какие-либо важные поля, такие как сумма или валюта, будут подделаны злоумышленниками, криптографическая контрольная сумма не будет пройдена, и транзакция будет отклонена.
Однако, пока кардеры знают все входные данные криптограммы (сумма, валюта, дата и т. д.), они могут заранее рассчитать криптограмму и использовать ее, не имея фактической карты. Поле ATC (счетчик транзакций приложения) было реализовано для снижения этого риска. Каждая новая транзакция будет иметь более высокий ATC, чем предыдущая, и эмитент не должен допускать транзакций с ATC вне порядка. В этом случае, если кто-то будет предварительно записывать криптограммы транзакций, будет очень ограниченное окно, когда эти криптограммы могут быть использованы — до тех пор, пока сама жертва не воспользуется картой в следующий раз. Но в какой-то момент из-за ложных отклонений подлинных транзакций из-за некоторых задержек в автономном режиме эта проверка стала излишней для многих банков, и официальное заявление EMVCo заключается в том, что «отклонение транзакций на основе ATC вне порядка может привести к ненужному отклонению».
Ссылки:
- https://www.cl.cam.ac.uk/~osc22/docs/preplay_oakland14.pdf - анализ атаки повторного воспроизведения, которая имела место на карте HSBC в 2011 году на Мальте
- https://i.blackhat.com/eu-19/Wednesday/eu-19-Galloway-First-Contact-Vulnerabilities-In-Contactless-Payments-wp.pdf — современный обзор или атаки воспроизведения ARQC для карт с поддержкой NFC
- https://www.blackhat.com/docs/us-17/thursday/us-17-Yunusov-The-Future-Of-Applepwn-How-To-Save-Your-Money.pdf - похожая атака была представлена на BlackHat USA в 2017 году. Воспроизведение криптограммы было возможно с помощью платежей Apple Pay на месте/в приложении. Apple Pay все еще подвержен этой атаке, большинство затронутых торговцев и поставщиков платежных услуг по-прежнему не проверяют криптограммы на воспроизведение. Однако MasterCard внедрила свои проверки безопасности, поэтому эта атака не может быть выполнена с картами MC.
