Emulacja karty elektronicznej EMV

Michał GłuchowskiPraca dyplomowa inżynierska pod opieką prof. Zbigniewa Kotulskiego

Agenda

Co to jest EMV?Dlaczego warto się tym zajmować?Bezpieczeństwo EMVKarta tradycyjna a EMVCertyfikacja EMVNarzędzia testoweProjekt systemuImplementacjaRezultatyPlany na przyszłośćPytania

Co to jest EMV?

Standard systemów płatniczych opartych o karty elektroniczne ISO/IEC-7816

EMV = EuropayMastercardVisa

Aktywnie rozwijany od 1993 roku (pierwsza wersja standardu 1996)

Dlaczego EMV?

Rosnąca liczba nieuczciwych transakcji przy użyciu podrobionych kart („skimming”) Bezpieczeństwo zapewniane przez konstrukcję karty oraz kryptografięMała „elastyczność” kart z paskiem magnetycznym

„Liability shift” (od 01.2005)

Dlaczego EMV?

WieloaplikacyjnośćUwierzytelnienie karty

SDA (Static Data Authentication)DDA (Dynamic Data Authentication)CDA (Combined Dynamic Data Authentication/Cryptogram Generation)

Zarządzanie ryzykiem w karcieWeryfikacja PINu offlineWzajemnie uwierzytelnienie w przypadku transakcji online – szyfry symetryczneZdalne zarządzanie aplikacją w karcie

Bezpieczeństwo EMV – SDA

Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems

Bezpieczeństwo EMV – DDA

Źródło: EMVCo, LLC. EMVIntegrated Circuit CardSpecifications for Payment Systems

Bezpieczeństwo EMV

Źródło: EMVCo, LLC. EMV Issuer and Application Security Guidelines

Transakcja tradycyjna a EMV

Transakcja dla karty z paskiem magnetycznym

Odczyt kartyRestrykcje akceptantaOnline / offline

Odczyt danychkarty

Restrykcje agentarozliczeniowego

w terminalu

Autoryzacjatransakcji

online / offline

Transakcja tradycyjna a EMV

Transakcja dla karty EMV

Bardziej skomplikowana, ale...

Dużo większa kontrola nadtransakcją przez wydawcęWiększe bezpieczeństwo

Inicjalizacja aplikacji

Odczyt rekordówaplikacji

Uwierzytelnieniedanych karty

Restrykcje wydawcy

Uwierzytelnienieposiadacza karty

Analiza ryzyka wterminalu

Analiza ryzyka wkarcie

Zakończenietransakcji

Autoryzacjatransakcji online

+uwierzytelnienie

wydawcy przez kartę

Restrykcje agentarozliczeniowego

w terminalu

Wykonianieskryptów wydawcy

Decyzjaonline /offline

Online

Offline

Certyfikacja EMV

Problemy z bezpieczeństwem wynikającym z niestosowaniem się do zaleceńZnaczne większe skomplikowanie EMV – duże ryzyko błędówCertyfikacja sprzętu ( TA Level 1 )Certyfikacja oprogramowania dla jądra ( TA Level 2 )Testy zgodności aplikacji z konkretnymi systemami płatniczymi

ADVT (Acquirer Device Validation Test)VSDC (Visa Smart Debit/Credit)ETEC (End To End Compliance)

Narzędzia testowe

Specjalistyczne laboratoria testujące EMV L1, drogie testy EMV L2 na zlecenieNarzędzia dostarczane przez organizacje płatnicze (ADVT, ETEC)ICC Solutions – komercyjny zestaw do testowania

Niezależnie od rozwiązania – wysoki koszt

Projekt systemu

Emulator karty

Warstwapośrednicząca

(interfejs)

Bibliotekasystemu

operacyjnegokarty (ROM)

Pliki z rekoradmidanych karty oraz

nieulotne flagi(EEPROM)

Tymczasowe danetransakcyjne karty

(RAM)

Klient (Terminal)

Implementacja

Karta ISO-7816 zaimplementowana jako biblioteka w C (dll dla Windows, ale proste przeniesienie na dowolną platformę)Interfejs PC/SC – możliwe przeźroczyste stosowanie przez dowolną aplikację WindowsInterfejs do terminali płatniczych Hypercom oraz VerifoneProsty klient testowy

Rezultaty

Co w przyszłości?

Budowa sprzętowego interfejsu ISO/IEC 7816Rozbudowanie systemu testowe o moduł wydawcyRozwinięcie mechanizmów zarządzania ryzykiem w karcie

Zakończenie

Dziękuję za udział w seminarium

Pytania...?