segurança em cartões smartcard emv
DESCRIPTION
Segurança em cartões Smartcard EMV. Universidade Estadual de Campinas – UNICAMP Instituto de Computação - IC Mestrado Profissional em Computação. Ricardo B. Matsuno Marcelo Chaves. Índice. Sistema Atual Cartões SmartCard Norma EMV Protocolos de autenticação Cartão Usuário Transação - PowerPoint PPT PresentationTRANSCRIPT
Universidade Estadual de Campinas – UNICAMPInstituto de Computação - IC
Mestrado Profissional em Computação
Segurança em cartões Smartcard EMV
Ricardo B. MatsunoMarcelo Chaves
Índice
- Sistema AtualSistema Atual
- Cartões SmartCardCartões SmartCard
- Norma EMVNorma EMV- Protocolos de autenticação Protocolos de autenticação
- Cartão Cartão
- UsuárioUsuário
- TransaçãoTransação
- Emissor Emissor
- Conclusão Conclusão
Sistema Atual
Principais características:
-Cartões magnéticos-Autorizações online-Segurança baseada em :
-Características visuais (hologramas, etc..)
Sistema Atual
Cartões Smartcard
Criado em formalmente na França em 1974.. São cartões microprocessados com memória de até 64
Kbits de informação Segurança baseada em:
– Características visuais– Chip– S.O.– Rede– Aplicativos
Cartões Smartcard
Norma EMV
Em 1994 a Europay , Mastercard e Visa criaram uma norma para sistemas de crédito/ débito baseados em cartão chip para substituir os cartões magnéticos
Esta padrão ficou denominado EMV e define um padrão para operação com cartões inteligentes
Mais informações em:www.emvco.com
international.visa.com
www.mastercard.com
Norma EMV
Protocolos de autenticação
A EMV define todos os mecanismos de segurança presentes em uma transação.
Os principais mecanismos são protocolos de autenticação : – Do cartão – Do usuário– Das transações– Do emissor
Protocolos de autenticação
Através destes mecanismos de segurança é possível garantir :– Integridade das transações– Autenticação de todos os elementos que participam
da transação– Não repúdio
Protocolos de autenticação
Protocolo de autenticação do cartão – SDA – Static Data Authentication – Baseado em uma
assinatura digital estática dos dados do cartões utilizando um mecanismo de chaves públicas
– DDA – Dynamic Data Authentication – Baseado em uma assinatura digital dinâmica dos dados do cartões utilizando um mecanismo de chaves públicas
As chaves RSA utilizadas neste processo variam desde 768 até 2048 bits (exponente 3 a 2^16 + 1)
Protocolos de autenticação
Static Data Authentication
Protocolos de autenticação
Computed Hash=
Recovered. Hash?
YES
IssuerPublic KeyCertificate
SHA-1
C/A Public Key
Hash ResultRecovered Data
RSARecovery
ComputeHash
NO
Retrieve Issuer
Public Key
SignedStatic Appl
Data
RSARecovery
RecoveredData
ComputeHashSHA-1
Computed Hash=
Recovered. Hash?
Hash Result
YES
NO
SDAFailed
SDAFailed
SDASucceeded
Static Data Authentication
Protocolos de autenticação
Dynamic Data Authentication
Protocolos de autenticação
Dynamic Data Authentication
Protocolos de autenticação
Dynamic Data Authentication
Protocolos de autenticação
Protocolo de autenticação do usuário – Senha offline – validada pelo cartão – Assinatura – Senha Online – Verificada pelo emissor do cartão – Senha offline criptografada – validada pelo cartão
Protocolos de autenticação
Senha offline criptografada-chave pública do Chip
Protocolos de autenticação
Protocolo de autenticação da transação– Todos os dados da transação ao final são
autenticadas com uma assinatura digital utilizando um MAC (message authentication code)
– Para cada transação é diversificada uma chave de sessão ( para evitar replay attacks)
Protocolos de autenticação
Exemplo autenticação de uma transação
Protocolos de autenticação
Protocolos de autenticação
Protocolo de autenticação do emissor– Quando são processadas autorizações online, o
emissor envia um criptograma para ser validado pelo cartão
– A autenticação do emissor é feita utilizando a chave Master do cartão.
Protocolos de autenticação
Conclusão
Os mecanismos de segurança estão presentes cada vez mais no dia a dia das pessoas.
Sistemas de autenticação com chaves públicas, certificados digitais, já estão incorporados desde Browser Web á sistemas de pagamentos com cartão .
DÚVIDAS ...