-
Data: 2002-01-24 14:07:15
Temat: Re: karty z chip w PL
Od: "Jacek Olbrys" <j...@a...net.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]> Czy to znaczy ze w polszcze sie chipy nie przyjely i trzeba je
> promowac w bardziej zacofanych krajach? ;-))
Jak na moj gust - to sie nie przyjely. Chyba sie zgodzimy, bez polemiki, ze
jesli tylko jeden bank, w ograniczonym zreszta zakresie, zdecydowal sie na
kontynuacje wydawania karty po zakonczeniu pilota, to o sukcesie nie moze
byc mowy. Ale z naszej terminalowej strony, polski projekt jest poki co
zamkniety, wiec korporacja przerzuca sily w inne rejony:)
> > To miala byc podstawowa zaleta EMV - off-line PIN. Decyduje o tym na
pewno
> > nie TVR, ale CVM+dodatkowo mozliwosci terminala do wykonywania sprawdzen
> > opisanych w CVM. Nie bez znaczenia jest tez bit 5, 1 bajtu AIP.
Natomiast
> > TVR zbiera tylko dane o tym, co w czasie transakcji zostalo zrobione i z
> > jakim skutkiem.
>
> Mowisz oczywiscie o TVRe generowanym w chipie, bo ten terminalowy to
> raczej jeszcze nic nie wie o transakcji ;-)
Hmmmm TVR - w karcie?!?!?!? TVR=_ TERMINAL_ Verification Result. Kazdy bit
tego rejestru to pewna operacja i jej rezultat - wykonana przez _terminal_ -
w odroznieniu od CVR - _CARD_ Verification Result - gdzie na podobnej
zasadzie biciki ustawia sobie karta - ale inne biciki, bo i inne operacje
wykonuje karta.
>
> > Nie zapominaj, ze w danych na chipie sa powtorzone 1 i 2 sciezka -
natomiast
>
> Ale przeciez nie musza (nie chce mi sie grzebac, ale w chipie nie
> musisz miec wcale drugiej sciezki - nawet ekwiwalentu). O tym co tam
> jest mowia pewne tagi, ale ze sie wlasnie ratuje po czesciowym padzie
> dysku to nie moge sie na nie powolac.
Musi byc - otagowana jest chyba numerkiem 57 (track 2) i numerkami 9F1F i
9F20 (discretionary data sciezek 1 i 2). Specyfikacja VIS 1.3.2 zezwala aby
nie bylo discr. data dla sciezki 1, natomiast dane sciezki 2 sa ciagle
Mandatory (polecam dodatek A1 do specyfikacji VIS 1.3.2)
>
> > moga byc powtorzone bez PVV. Teoretycznie bank nie powinien znac PINu do
> > chipa i nie powinien miec mozliwosci jakiejkolwiek jego weryfikacji. Z
>
> To akurat dotyczy chyba kazdego przypadku PINa - ciekawia mnie wtedy
> pozycje w niektorych TOiP pewnych bankow - 'odzyskanie pinu' ;-)
Mysle, ze HSM jest w stanie wygenerowac nowy _on-line_ PIN - w koncu ma
kopie 2 sciezki z wartosciami PVV.
>
> I chcialbym troche popolimeryzowac z tym 'niemoznoscia weryfikacji
> pinu przez bank' - nie pamietam a sprawdzic nie moge, ale mam wrazenie
> ze karta moze zazadac online i wtedy do banku idzie
> m.in. pinblok. Sugerujesz ze nie jest on sprawdzany?
Oczywiscie, ze jest - nie jest to jednak uzaleznione od on-line, tylko od
wzmiankowanej juz listy CVM. Teoretycznie jednak oba piny nie maja ze soba
nic wspolnego i moga byc rozne. Generalnie jednak polecam odpowiedni
rozdzial ze specyfikacji VIS 1.3.2 rozwodzacy sie nad ta materia np. 14.6.4
> > Nie do konca tak - wybierana jest bardziej rygorystyczna metoda. Do
> > generacji pierwszego kryptogramu terminal musi poinformaowac karte czego
> > zada (TC, AAC, ARQC), a robi to rzeczywiscie na podstawie anlizy TVR
(ale
> > robi to terminal!!!) i porownania z maskami Terminal Action Codes.
>
> Siem nie zgadzam nieco.
>
> Transakcje robi karta - terminal nie moze od niej zadac. Terminal
> sugerowac stopien ryzyka.
I tu znowu rozdzial 2.4.5 EMV Card - opis komendy Generate AC. Terminal zada
w tej komendzie typ kryptogramu. Karta moze to zmienic, ale jesli terminal
zada on-line, to karta nie moze chciec off-line. Jesli terminal zazada AAC -
to karta _musi_ odpowiedziec z AAC, jesli zazada ARQC - musi odpowiedziec
ARQC lub AAC, jesli zazada TC - ma najwieksza swobode:)))
Obie czesci aplikacji (Terminal i Card) dokonuja tego (wyboru sposobu
przeprowadzenia transakcji) poprzez analize TVR'a i zestawienie wartosci
tego rejestru ze swoimi maskami Action Codes (odpowiednio Terminal i Card).
Daje nam to mozliwosc podjecia decyzji jednoczesnie ze strony issuera (Card)
oraz ze strony acquirera (Terminal) - w zaleznosci od specyficznych wymagan
obu stron - ale zawsze wybierana jest metoda bardziej rygorystyczna.
>
> > A stary dobry DES - na karcie jest kilka DESowych kluczy issuera,
> > zdywersyfikowanych numerem seryjnym karty. Jakos trzeba obsluzyc secure
> > messaging i generacje wzmiankowanych juz kryptogramow:)
>
> To ma byc kryptografia? ;-)
DES??? Oczywiscie:)))))) ciagle podstawa systemow bankowych. W EMV potrzebny
do:
1. generacji i sprawdzania kryptogramow transakcji,
2. MACowania komend post-issuance (skryptowych),
3. autentykowania issuera.
> Mam nadzieje ze szykuje sie dluzsza dyskusja.
Ja tez, ale chyba na tym cierpia wzmiankowane juz projekty...
Jacek
Następne wpisy z tego wątku
- 28.01.02 00:58 Krzysztof Halasa
- 25.01.02 13:41 Krzysztof Halasa
- 30.01.02 07:46 Wojtek Piecek
- 30.01.02 11:24 d...@p...onet.pl
- 30.01.02 11:25 d...@p...onet.pl
- 30.01.02 12:26 Jacek Olbrys
- 30.01.02 12:37 Wojtek Piecek
- 30.01.02 16:52 Jacek Olbrys
- 30.01.02 17:27 a...@p...onet.pl
- 31.01.02 07:52 Wojtek Piecek
- 31.01.02 07:57 Wojtek Piecek
- 31.01.02 08:03 a...@p...onet.pl
Najnowsze wątki z tej grupy
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
Najnowsze wątki
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...