Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 916
- Points
- 113
Очень немногие люди на самом деле точно знают, что такое EMV и с чем именно оно связано.
Проще говоря, EMV — это все (или почти все), что управляет чипом вашей любимой кредитной или дебетовой (или предоплаченной) карты.
Как вы, возможно, заметили, платежная карта, выданная вам вашим банком, с вашим именем, логотипом банка и картой одного из известных брендов (Visa, MasterCard и т. д.), скорее всего, имеет чип .
Небольшой миниатюрный микропроцессор, видимый на поверхности карты и несущий на себе несколько контакторов, образующих интересный геометрический мотив.
Зачем такая микросхема, вы, наверное, никогда не задавались вопросом?
В этой статье мы объясним и подчеркнем все аспекты EMV, нормы, определяющей задачи, которые должен выполнять этот чип.
Оглавление
EMV был создан не по бесполезной причине. Банковские карты существуют с 1946 года, когда Джон Биггинс создал первую кредитную карту, выпущенную банком.
Сначала это были только пластиковые карты с выгравированной информацией, а затем в 1960 году (компания IBM) они были оснащены магнитной полосой, чтобы информация о держателе карты могла обрабатываться автоматическими системами.
Банковские карты с магнитной полосой стали объектом многочисленных атак, особенно потому, что их было легко клонировать. По сути, это были детские игры или почти их дублирование.
Такое мошенничество привело к потенциально катастрофическим потерям для банков, которые, в свою очередь, потребовали от карточного бренда компенсации за ущерб, как это согласовано с политикой карточного бренда.
Во Франции и Германии некоторые изобретатели, в том числе Роланд Морено, выдали несколько патентов на использование микропроцессора («чипа») внутри банковской карты для защиты платежной информации и предотвращения мошенничества.
Еще в 1977 и 1978 годах Мишель Угон – французский инженер – запатентовал первые микропроцессорные смарт-карты. Это открыло путь к использованию микропроцессоров в банковских картах. Французские и немецкие банки были одними из первых, кто использовал такую технологию, например, с такими программами, как BZero.
Эти программы были немного примитивными и не имели некоторых функций безопасности. Следовательно, возникла необходимость в глобальной норме, регулирующей использование этих банковских карт на базе микропроцессора. Это было достигнуто благодаря созданию консорциума EMV в 1995 году.
Целью консорциума EMV было стать нормативным органом – разрабатывающим, публикующим и поддерживающим стандарты – таким же, как, например, ISO, ANSI или AFNOR. Таким образом, миссия консорциума EMV заключалась в том, чтобы выпустить норму EMV, которая должна была применяться всеми сторонами, участвующими в банковских картах на базе микропроцессоров.
«Смыслом существования» консорциума EMV была борьба с мошенничеством с банковскими картами путем предложения чрезвычайно безопасных стандартов и надежных криптографических протоколов.
Норма EMV постепенно развивалась в течение многих лет. На самом деле он широко применяется во всем мире. К 2020 году большинство стран развернули внутреннюю схему EMV, и она остается абсолютным стандартом безопасности кредитных/дебетовых или предоплаченных карт на основе чипа.
EMV тесно связан с микропроцессорной картой, например, «смарт-картой», которую также называют «чип-картой», «carte a puce» (французский язык) или «Chipkarten» (Германия).
Спецификации EMV в основном функциональны и не затрагивают концепции, специфичные для аппаратного обеспечения, такие как механические или электрические системы. Конкретные требования к картам в отношении низкоуровневой связи, аппаратного обеспечения и микроэлектрических систем содержатся в таких нормах, как ISO7816, и в целом в наборе норм рабочей группы JC17, но обычно не в EMV.
EMV также тесно связан с другой нормой — «Глобальной платформой», которая описывает абстрактное безопасное управление приложениями в среде.
EMV часто находится на аппликативном уровне, описывая функциональную операцию, необходимую для выполнения банковских транзакций с использованием чипа. Обычно это описывается с помощью APDU (блоков данных протокола приложения), которые представляют собой способ связи карт с внешним миром посредством протоколов связи, таких как, например, T=0 или T=1.
EMV фокусируется на транзакциях между картами и терминалами, а также между терминалами и серверными системами («хостами» EMV). Конечно, банкоматы и EFT-POS, которые обрабатывают чипы, подпадают под эту норму.
Наконец, EMV разрабатывает банковские криптографические протоколы (которые являются полностью оригинальными), чтобы обеспечить максимальную устойчивость к криптографическим атакам.
Таким образом, технологии экосистемы EMV состоят из встроенных систем, микрочипов, защищенных от несанкционированного доступа микроконтроллеров и безопасных встроенных платформ (JavaCard, Multos, Micro .NET и т. д.). EMV генерирует множество инновационных исследований, таких как надежные вычисления. , надежные платформы, формальные методы и формальные доказательства, а также высокотехнологичная антиинтрузивная электроника.
Тот факт, что EMV несет ответственность за обеспечение безопасности около 842 миллионов чиповых карт по всему миру, подчеркивает, насколько совершенными и передовыми должны быть технологии, лежащие в основе этой технологии.
Поскольку EMV была создана для того, чтобы переложить ответственность за мошенничество с производителей карт на торговцев и банки, предполагается, что « мошенничество с картой EMV невозможно» . Другими словами, невозможно клонировать и взломать сертифицированную EMV банковскую карту на основе чипа.
Тем не менее в последнее время некоторые публикации показали, что такую оценку следует воспринимать относительно.
Карты EMV считались неклонируемыми до тех пор, пока в конце 90-х не появились атаки с дифференциальной мощностью (DPA, SPA…). Принцип был чрезвычайно прост: контролировать энергопотребление смарт-карты для извлечения криптографических секретов, хранящихся в ее сверхзащищенной памяти. Как только эти секреты стали известны, карты можно было клонировать!
Конечно, группа EMV ввела меры против DPA и против SPA со стороны провайдеров, но это продемонстрировало, насколько относительными были смелые заявления консорциума EMV.
По состоянию на 2020 год клонирование банковской карты EMV считается совершенно невозможным и реалистичным.
Тем не менее, в криптографических протоколах, разработанных EMV, тем временем были обнаружены некоторые недостатки.
В частности, их первоначальная схема проверки карты, SDA, система статической аутентификации данных, оказалась чрезвычайно уязвимой для нескольких атак и поэтому была быстро заменена DDA, алгоритмом динамической аутентификации данных, который, в свою очередь, представлял некоторые проблемы и был заменен CDA, общей схемой аутентификации данных.
Никогда не было публично известно о злонамеренных атаках на банковские карты с использованием недостатков SDA, и все проблемы были подняты опытными криптографами из известных университетов или лабораторий.
Тем не менее, некоторые эксперты отметили, что «вероятно» было несколько мошенничеств, связанных с недостатками алгоритма SDA, но по «политическим» причинам они так и не были признаны банками и консорциумом EMV.
В 2024 году недостатки EMV остаются табу, и банки обычно просто отказываются говорить о плохо реализованных внутренних схемах EMV (особенно недавняя миграция EMV в США, которая считается фиаско…). Мир EMV — закрытый мир и… «что происходит в EMV, остается в EMV»
Тем не менее, растут слухи о так называемой «бразильской схеме» или «бразильском методе», связанной с массовой подделкой чиповых карт EMV.
Принцип может заключаться в замене «апплетов» (например, встроенных банковских приложений) модифицированными (с возможным участием в некоторых центрах персонализации карт) и модификации PSE, среды платежной системы.
Кроме того, с появлением потенциальных квантовых вычислений и прекращением поддержки 3DES возникли некоторые опасения по поводу того факта, что EMV глубоко зависит от RSA (который предположительно будет «легко» взломан квантовыми машинами) и от 3DES, который может быть взломан. в ближайшие годы после достижений криптоанализа.
В результате EMV ускорила переход на полный AES (удалив 3DES) и криптографию на основе эллиптических кривых.
До сих пор никто не доказал, что каким-либо преступным группировкам конкретно удалось подделать карты EMV, и поэтому по состоянию на 2024 год они считаются неклонируемыми и не поддающимися взлому.
Норма EMV является мощным инструментом «политики» для основных брендов карт внутри EMV, и они создали систему «крайних сроков EMV», при которой на банки разных стран оказывается давление с целью обеспечить до определенной даты внедрение EMV внутри страны. согласованы соответствующими национальными центральными банками.
Несоблюдение таких норм приведет к тому, что EMV больше не захочет брать на себя бремя мошенничества за эти банки, не соблюдающие требования.
Такая «политическая стратегия» действует как «паровой каток» EMV во всем мире и может стать очень сильным инструментом финансовой власти. Другими словами, EMV можно воспринимать как стратегическую норму, имеющую множество экономических и социальных последствий.
Совет PCI является еще одной стратегической нормой для платежных карт (управляет всем, что связано с платежными картами, за исключением сетей, таких как сети и т. д.), и между двумя организациями существует явное соперничество.
Недавно EMVCo начала расширять свою деятельность по проведению транзакций без предъявления карты (которые, следовательно, станут проводиться с использованием карт во всей сети), выпустив спецификации 3Dsecure EMV, позволяющие оплачивать товары онлайн с помощью кредитной карты на основе чипа (и активно использовать чип во время онлайн-платежа).
Здесь мы лишь хотели дать краткий обзор EMV. Мы приглашаем читателя посетить их веб-сайт, чтобы получить дополнительную информацию о нормах и спецификациях, которые в основном открыты для широкой публики.
Проще говоря, EMV — это все (или почти все), что управляет чипом вашей любимой кредитной или дебетовой (или предоплаченной) карты.
Как вы, возможно, заметили, платежная карта, выданная вам вашим банком, с вашим именем, логотипом банка и картой одного из известных брендов (Visa, MasterCard и т. д.), скорее всего, имеет чип .
Небольшой миниатюрный микропроцессор, видимый на поверхности карты и несущий на себе несколько контакторов, образующих интересный геометрический мотив.
Зачем такая микросхема, вы, наверное, никогда не задавались вопросом?
В этой статье мы объясним и подчеркнем все аспекты EMV, нормы, определяющей задачи, которые должен выполнять этот чип.
Оглавление
- Что такое чип-карта EMV?
- Обзор технологий EMV
- Можно ли победить EMV?
- Политика EMV
Что такое чип-карта EMV?
EMV означает Europay-Mastercard-Visa. Europay больше не является независимым брендом, а является частью Mastercard, но на момент создания EMV, в 1995 году, эти три компании были лидерами рынка брендов платежных карт.EMV был создан не по бесполезной причине. Банковские карты существуют с 1946 года, когда Джон Биггинс создал первую кредитную карту, выпущенную банком.
Сначала это были только пластиковые карты с выгравированной информацией, а затем в 1960 году (компания IBM) они были оснащены магнитной полосой, чтобы информация о держателе карты могла обрабатываться автоматическими системами.
Банковские карты с магнитной полосой стали объектом многочисленных атак, особенно потому, что их было легко клонировать. По сути, это были детские игры или почти их дублирование.
Такое мошенничество привело к потенциально катастрофическим потерям для банков, которые, в свою очередь, потребовали от карточного бренда компенсации за ущерб, как это согласовано с политикой карточного бренда.
Во Франции и Германии некоторые изобретатели, в том числе Роланд Морено, выдали несколько патентов на использование микропроцессора («чипа») внутри банковской карты для защиты платежной информации и предотвращения мошенничества.
Еще в 1977 и 1978 годах Мишель Угон – французский инженер – запатентовал первые микропроцессорные смарт-карты. Это открыло путь к использованию микропроцессоров в банковских картах. Французские и немецкие банки были одними из первых, кто использовал такую технологию, например, с такими программами, как BZero.
Эти программы были немного примитивными и не имели некоторых функций безопасности. Следовательно, возникла необходимость в глобальной норме, регулирующей использование этих банковских карт на базе микропроцессора. Это было достигнуто благодаря созданию консорциума EMV в 1995 году.
Целью консорциума EMV было стать нормативным органом – разрабатывающим, публикующим и поддерживающим стандарты – таким же, как, например, ISO, ANSI или AFNOR. Таким образом, миссия консорциума EMV заключалась в том, чтобы выпустить норму EMV, которая должна была применяться всеми сторонами, участвующими в банковских картах на базе микропроцессоров.
«Смыслом существования» консорциума EMV была борьба с мошенничеством с банковскими картами путем предложения чрезвычайно безопасных стандартов и надежных криптографических протоколов.
Норма EMV постепенно развивалась в течение многих лет. На самом деле он широко применяется во всем мире. К 2020 году большинство стран развернули внутреннюю схему EMV, и она остается абсолютным стандартом безопасности кредитных/дебетовых или предоплаченных карт на основе чипа.
Обзор технологий EMV
EMV включает в себя богатую область технологий. Как мы заметили, хотя основатели EMV в основном базируются в США, технологии и патенты, лежащие в основе технологий чиповых карт, почти все находятся во Франции и Германии.EMV тесно связан с микропроцессорной картой, например, «смарт-картой», которую также называют «чип-картой», «carte a puce» (французский язык) или «Chipkarten» (Германия).
Спецификации EMV в основном функциональны и не затрагивают концепции, специфичные для аппаратного обеспечения, такие как механические или электрические системы. Конкретные требования к картам в отношении низкоуровневой связи, аппаратного обеспечения и микроэлектрических систем содержатся в таких нормах, как ISO7816, и в целом в наборе норм рабочей группы JC17, но обычно не в EMV.
EMV также тесно связан с другой нормой — «Глобальной платформой», которая описывает абстрактное безопасное управление приложениями в среде.
EMV часто находится на аппликативном уровне, описывая функциональную операцию, необходимую для выполнения банковских транзакций с использованием чипа. Обычно это описывается с помощью APDU (блоков данных протокола приложения), которые представляют собой способ связи карт с внешним миром посредством протоколов связи, таких как, например, T=0 или T=1.
EMV фокусируется на транзакциях между картами и терминалами, а также между терминалами и серверными системами («хостами» EMV). Конечно, банкоматы и EFT-POS, которые обрабатывают чипы, подпадают под эту норму.
Наконец, EMV разрабатывает банковские криптографические протоколы (которые являются полностью оригинальными), чтобы обеспечить максимальную устойчивость к криптографическим атакам.
Таким образом, технологии экосистемы EMV состоят из встроенных систем, микрочипов, защищенных от несанкционированного доступа микроконтроллеров и безопасных встроенных платформ (JavaCard, Multos, Micro .NET и т. д.). EMV генерирует множество инновационных исследований, таких как надежные вычисления. , надежные платформы, формальные методы и формальные доказательства, а также высокотехнологичная антиинтрузивная электроника.
Тот факт, что EMV несет ответственность за обеспечение безопасности около 842 миллионов чиповых карт по всему миру, подчеркивает, насколько совершенными и передовыми должны быть технологии, лежащие в основе этой технологии.
Можно ли победить EMV?
В маленьком мире EMV существует табу, заключающееся в отрицании мошенничества с использованием EMV.Поскольку EMV была создана для того, чтобы переложить ответственность за мошенничество с производителей карт на торговцев и банки, предполагается, что « мошенничество с картой EMV невозможно» . Другими словами, невозможно клонировать и взломать сертифицированную EMV банковскую карту на основе чипа.
Тем не менее в последнее время некоторые публикации показали, что такую оценку следует воспринимать относительно.
Карты EMV считались неклонируемыми до тех пор, пока в конце 90-х не появились атаки с дифференциальной мощностью (DPA, SPA…). Принцип был чрезвычайно прост: контролировать энергопотребление смарт-карты для извлечения криптографических секретов, хранящихся в ее сверхзащищенной памяти. Как только эти секреты стали известны, карты можно было клонировать!
Конечно, группа EMV ввела меры против DPA и против SPA со стороны провайдеров, но это продемонстрировало, насколько относительными были смелые заявления консорциума EMV.
По состоянию на 2020 год клонирование банковской карты EMV считается совершенно невозможным и реалистичным.
Тем не менее, в криптографических протоколах, разработанных EMV, тем временем были обнаружены некоторые недостатки.
В частности, их первоначальная схема проверки карты, SDA, система статической аутентификации данных, оказалась чрезвычайно уязвимой для нескольких атак и поэтому была быстро заменена DDA, алгоритмом динамической аутентификации данных, который, в свою очередь, представлял некоторые проблемы и был заменен CDA, общей схемой аутентификации данных.
Никогда не было публично известно о злонамеренных атаках на банковские карты с использованием недостатков SDA, и все проблемы были подняты опытными криптографами из известных университетов или лабораторий.
Тем не менее, некоторые эксперты отметили, что «вероятно» было несколько мошенничеств, связанных с недостатками алгоритма SDA, но по «политическим» причинам они так и не были признаны банками и консорциумом EMV.
В 2024 году недостатки EMV остаются табу, и банки обычно просто отказываются говорить о плохо реализованных внутренних схемах EMV (особенно недавняя миграция EMV в США, которая считается фиаско…). Мир EMV — закрытый мир и… «что происходит в EMV, остается в EMV»
Тем не менее, растут слухи о так называемой «бразильской схеме» или «бразильском методе», связанной с массовой подделкой чиповых карт EMV.
Принцип может заключаться в замене «апплетов» (например, встроенных банковских приложений) модифицированными (с возможным участием в некоторых центрах персонализации карт) и модификации PSE, среды платежной системы.
Кроме того, с появлением потенциальных квантовых вычислений и прекращением поддержки 3DES возникли некоторые опасения по поводу того факта, что EMV глубоко зависит от RSA (который предположительно будет «легко» взломан квантовыми машинами) и от 3DES, который может быть взломан. в ближайшие годы после достижений криптоанализа.
В результате EMV ускорила переход на полный AES (удалив 3DES) и криптографию на основе эллиптических кривых.
До сих пор никто не доказал, что каким-либо преступным группировкам конкретно удалось подделать карты EMV, и поэтому по состоянию на 2024 год они считаются неклонируемыми и не поддающимися взлому.
Политика EMV
Имея почти миллиард платежных карт, сертифицированных EMV, по всему миру, EMV является крупным финансовым игроком, но при этом является нормативным органом.Норма EMV является мощным инструментом «политики» для основных брендов карт внутри EMV, и они создали систему «крайних сроков EMV», при которой на банки разных стран оказывается давление с целью обеспечить до определенной даты внедрение EMV внутри страны. согласованы соответствующими национальными центральными банками.
Несоблюдение таких норм приведет к тому, что EMV больше не захочет брать на себя бремя мошенничества за эти банки, не соблюдающие требования.
Такая «политическая стратегия» действует как «паровой каток» EMV во всем мире и может стать очень сильным инструментом финансовой власти. Другими словами, EMV можно воспринимать как стратегическую норму, имеющую множество экономических и социальных последствий.
Совет PCI является еще одной стратегической нормой для платежных карт (управляет всем, что связано с платежными картами, за исключением сетей, таких как сети и т. д.), и между двумя организациями существует явное соперничество.
Недавно EMVCo начала расширять свою деятельность по проведению транзакций без предъявления карты (которые, следовательно, станут проводиться с использованием карт во всей сети), выпустив спецификации 3Dsecure EMV, позволяющие оплачивать товары онлайн с помощью кредитной карты на основе чипа (и активно использовать чип во время онлайн-платежа).
Заключение
Норма Europay-Mastercard-Visa (EMV) — малоизвестная, но очень сложная и мощная норма, которая регулирует почти миллиард платежных карт по всему миру. Используемые технологии очень сильны и инновационны.Здесь мы лишь хотели дать краткий обзор EMV. Мы приглашаем читателя посетить их веб-сайт, чтобы получить дополнительную информацию о нормах и спецификациях, которые в основном открыты для широкой публики.
