#emv
#emv
Вопрос:
Спецификация EMV 4.3, том 2, определяет различные режимы для CDA («Комбинированная аутентификация данных») с диаграммой:
---- ------------------- -----------------------------------
|Mode|Request CDA on ARQC|Request CDA on 2nd GEN AC (TC) |
| | |after approved online authorisation|
---- ------------------- -----------------------------------
| 1 | Yes | Yes |
| 2 | Yes | No |
| 3 | No | No |
| 4 | No | Yes |
---- ------------------- -----------------------------------
Мой вопрос:
Если PINPad находится в режиме CDA 3, выполняет ли он вообще этап аутентификации данных?
PINPad, который я использую, находится в режиме CDA 3, и, похоже, это происходит где-то на этапе проверки ARPC / генерации TC, о чем свидетельствует байт 1, бит 8 TVR, установленный на ноль в то время. Однако приведенная выше диаграмма наводит меня на мысль, что это не так.
К сожалению, у меня нет инструмента UL или Collis, позволяющего проникнуть внутрь PINPad и увидеть поток данных PINPad / chip.
Комментарии:
1. CDA выполняется терминалом, а не устройством ввода-вывода. PIN-код не имеет никакого отношения к CDA
2. @AdarshNanu CDA обычно выполняется там, где находится ядро — это может быть панель ввода-вывода, это может быть терминал, это может быть обработчик устройства (довольно неэффективно, но выполнимо и используется в некоторых странах). Также помните, что частичные ядра могут реализовывать некоторые функции (например, проверку держателя карты) и могут физически находиться на другом устройстве.
Ответ №1:
Короткий ответ на ваш вопрос — ДА — принимающее устройство выполнит аутентификацию карты. Когда дело доходит до ODA, это может быть также SDA (уже устаревший) или DDA, которые будут выполняться независимо от режима CDA.
Режим CDA 3 означает только то, что ODA не будет выполняться, если доступен другой CAM (метод аутентификации по карте). Это все равно будет происходить для транзакций, принятых в автономном режиме.
Чтобы уточнить, методы аутентификации по карте:
- Автономная CAM = Автономная аутентификация данных на основе PKI, примером которой является CDA
- Онлайн CAM = проверка криптограмм на основе симметричной криптографии во время онлайн-общения.
В первые дни внедрения EMV устройства приема имели довольно ограниченную вычислительную мощность — в основном они были основаны на 8-разрядных микроконтроллерах, что означало, что для выполнения RSA с большим модулем требовались годы. Вот почему был введен режим CDA 3 — чтобы избежать выполнения ресурсоемкой автономной CAM, когда доступна онлайн-CAM, при онлайн-транзакциях. В то время это считалось оптимизацией и было рекомендовано schemes и EMVCo. В современных условиях широко используется режим CDA 1, и я не помню каких-либо недавних утверждений типа с режимом CDA 3. Если у вас есть устройство с этим, возможно, вы имеете дело со старым устройством с истекшим сроком утверждения.
Упомянутая вами проверка ARPC (этап аутентификации эмитента) не отражена в TVR B1b8 — это всего лишь указание на то, что ODA не была выполнена, что (помимо ситуации с режимом CDA 3) также может быть связано с тем, что карта и терминал не поддерживают какой-либо общий метод аутентификации (некоторым терминалам, работающим только в режиме онлайн, не требуется выполнять ODA; некоторые карты с не истекающим сроком действия также не поддерживают ODA). Аутентификация эмитента может быть явной (когда AIP на карте указывает на это, и вы получили ARPC в ответе), но может происходить и неявно (когда AIP не указывает на это, но карта запрашивает ARPC в CDOL2), и вы можете не видеть, что это указано в TVR.
Комментарии:
1. Вы совершенно правы — устройство старое и было сертифицировано несколько лет назад, а срок действия используемого ими ядра истек некоторое время назад. Однако после сертификации банк разрешает ее использование до тех пор, пока не произойдут существенные изменения и не потребуется новая сертификация. На этом этапе устройства должны быть обновлены до новейшего ядра, и режим CDA действительно будет обновлен до 1.