FAYDALI BİLGİLER
Güvenli Sanal
Alışveriş
Kartbilinci
Ödeme Sistemleri
Takas Komisyonu
Çip
:: Güvenlik ve Metodlar
:: Güvenlik Mekanizmaları
:: Simetrik ve Asimetrik
Teknikler
Sıkça Sorulan Sorular
Sözlük

ÇİP

Simetrik ve Asimetrik Teknikler

Simetrik Teknikler

  • Orijinal bilgiyi hazırlayanın da, bilgiyi alacak olanın da "aynı" gizli anahtarla (Secret Key) transformasyon yaptığı şifreleme teknikleridir.
  • Gizli anahtarı bilmeden, bilgiyi hazırlayanın ya da alacak olanın transformasyonuna ulaşmak kolay hesaplanabilir olmamalıdır.
  • Çip dünyasında Online Kart ve Issuer Doğrulaması, Issuer Script Update'leri ve Kişiselleştirme Güvenliği amaçlarıyla kullanılmaktadır.

Asimetrik Teknikler

  • Birbiriyle bağlantılı olan Public ve Private Key transformasyonlarını kullanan şifreleme teknikleridir. Private Key ile imzalama, Public Key ile doğrulama yapılır.
  • Verilen bir Public Transformasyon'a ait olan Private Transformasyon'a ulaşmak kolay hesaplanabilir olmamalıdır.
  • Çip dünyasında Offline Veri Doğrulaması (SDA, DDA) ve Offline PIN şifrelemesi amaçlarıyla kullanılmaktadır.

Hash Algoritmaları

  • Genellikle bir ortamdan başka bir ortama taşınması gereken verilerin, taşınma sırasında deformasyona uğra(tıl)madıklarını teyid etmek için, sabit uzunlukta ve orijinal veriden çok daha kısa olan bir veriye adresleme işlemine Hashing adı verilir ve bu işlem iki temel kurala uygun olmalıdır:
    • 1. Çıktısı verilen bir veriden orijinal veriye ulaşmak kolay hesaplanabilir olmamalı ve bilinen bir orijinal veriden oluşan çıktı için, aynı çıktıyı üreten ikinci bir veri bulabilmek kolay hesaplanabilir olmamalıdır.
    • 2. Hash algoritmalarının birebir adreslemeye yakın (collision-resistant) olabilmesi için, aynı çıktıyı
      üreten 2 farklı orijinal veriye ulaşmak kolay hesaplanabilir olmamalıdır.
Şeklin büyük halini
görmek için tıklayınız.

SDA

SDA, bu metotla işleyebilen kartlar üzerindeki verilerin kişiselleştirme safhası sonrasında uygun olmayan yollarla değiştirilmediğini doğrular.
SDA destekleyen çipli kartlar şu verileri bünyesinde barındırmalıdır.

  • Certification Authority Public Key Index
  • Issuer Public Key Sertifikası, Artanı, Üssü
  • Signed Static Application Data

SDA destekleyen terminaller şu şartlara uymalıdır:

  • Her bir RID (Registered Application Provider Identifier) için
    6 değişik CA Public Key'i depolanabilmelidir.
  • İleride çoklu algoritmaları destekleyebilmek için bu Key'ler ile diğer key-bağlantılı bilgileri ilişkilendirilebilmelidir.
  • Kart tarafından sağlanan CA Public Key Index'i ve RID bilgisi için ilgili Public Key'leri ve diğer key-bağlantılı bilgilerin yerini saptayıp bulabilmelidir.
  • SDA metodu, Sign ve Recover işlemlerini yapabilmek için tersinir algoritmalar kullanmalıdır.

DDA

DDA, bu metodla işleyebilen kartların taklit edilememesini sağlar
DDA destekleyen çipli kartlar aşağıdaki verileri bünyesinde barındırmalıdır:

  • Certification Authority Public Key Index
  • Issuer Public Key Sertifikası, Artanı, Üssü
  • ICC Public Key Sertifikası, Artanı, Üssü
  • ICC Private Key

Aşağıdaki veriyi yaratabilmelidir:

  • Signed Dynamic Application Data

DDA destekleyen terminaller, SDA destekleyenlerle aynı şartlara uymalıdır. Terminal ve kartta yine tersinir algoritmalar kullanılmalıdır. DDA ve CDA metodları arasında sadece PIC bulunduktan sonrasında başlayan bir işleme farkı vardır.

DDA

  • Doğrulama işlemi kart aksiyon analizinden önce yapılır.
  • Terminal INTERNAL AUTHENTICATE (DDOL{data elements, UN}) komutu gönderir
Şeklin büyük halini
görmek için tıklayınız.

CDA

  • Doğrulama ve Application Cryptogram yaratılması işlemi birlikte yapılır.
  • Terminal ilk GENERATE AC (CDOL1{data elements, UN}) komutunu karta gönderir
  • Kart AAC ile cevaplarsa CDA yapılmaz, TC veya ARQC ile cevaplarsa CDA yapılır.
  • CDOL(Card Risk Management DOL), TC(Transaction Certificate), ARQC(Auth.Req.Crypt.)

Fallback

Çip dünyasında tek çeşit fallback vardır, o da çip okuyucu bir şekilde çiple iletişim kuramadığı zaman söz konusudur. Elektriksel olarak iletişim kurup GetATC komutu başarısız olursa kart non-EMV kabul edilir.

Tüm fallback'lar issuer onaylı olarak işleme konmalıdır.
Tümü sıfır floor limit ile gerçekleştirilmelidir.
Cihaz üzerinde manyetik şeridin okunması gerekliği belirtilmelidir.
Offline-only cihazlarda fallback yapılamaz.
Issuer, otorizasyon mesajında işlemin fallback işlemi olduğu konusunda uyarılmalıdır.
Domestik yaklaşımlar, EMV olmayan (çipli ya da çipsiz) ürünlerin kabulünü etkilememelidir.
     
Copyright © 2006 Bankalararası Kart Merkezi Ana Sayfa - Linkler - Site Haritası - İletişim