Взаимная аутентификация между апплетами EMV (такими как M / Chip MasterCard и VSDC Visa) и POS-терминалом

Question

Как я знаю, для карт EMV перед выполнением транзакции терминал выполняет Аутентификацию карты (с использованием статической аутентификации данных или динамической аутентификации данных), чтобы убедиться, что карта не является поддельной картой. (С другой стороны, кажется, что нет никакой возможности для аутентификации POS-терминала)

В Google Play существует множество приложений, способных считывать данные с карты EMV. Со смартфоном с поддержкой NFC мы можем прочитать конфиденциальную информацию о карте, включая номер карты и дату истечения срока действия. (И то же самое для контактной карты EMV с использованием считывателя смарт-карт)

Мой вопрос:

Для карт EMV, существуют ли какие-либо стандарты, которые определяют протокол «взаимной аутентификации» между картами и терминалами. А карта отправляет данные карты в терминал только после выполнения шага «взаимной аутентификации».

Спасибо

Answer 1

В транзакции платежей EMV нет ничего похожего на взаимную аутентификацию между терминалом и картой.

Поскольку каждая транзакция основана на некоторых уникальных данных и криптографии для конкретной транзакции, клонирование невозможно (здесь я не говорю о картах SDA).

Даже если любой считыватель может прочитать данные (что на самом деле разрешено EMV), поскольку приложение для этих считывателей не авторизовано EMV, поэтому они не могут использовать серверы VISA / MasterCard для обработки транзакций.

Answer 2

Ничего, насколько мне известно. Я считаю, что это так, потому что бизнес-сценарий не оправдывает это требование.

Случай 1. Как вы сказали, есть читатели, которые могут читать данные карты. Однако, если кто-то вообще возьмет все данные с карты и воспроизведет их на терминале, поскольку транзакции защищены одноразовой криптограммой, а терминал предоставляет непредсказуемый номер, произойдет сбой.

Случай 2. Мошенник после подделки карты может получить некоторые товары / услуги и уйти, но для терминала он должен быть зарегистрирован у эквайера / банка. Там не может быть зомби-терминалов. Следовательно, это терминал, который хочет проверить подлинность карты, а не наоборот.

Вы можете получить трек / карту из чипа, но так же как и с магнитной полосой.

Answer 3

(расширение существующих ответов с другой точки зрения)

Во время онлайн-транзакции карта подтверждает, что терминал может связаться с эмитентом карты - то есть, что терминал может доставлять сгенерированный картой ARQC в эмитент и получает действительный ARPC .

Как отмечает Гаурав Шукла в свой ответ поддельные терминалы не могут обмениваться данными с соответствующими серверами ассоциации платежей.