¿Qué cifrado (si corresponde) se utiliza en las tarjetas de crédito electrónicas?

Navega tus respuestas
7

Por curiosidad: ¿cómo autentican una transacción las tarjetas de débito / crédito electrónicas Visa / Master Card con microchips?

¿Son un almacenamiento estúpido para una clave que simplemente lee un lector o de alguna manera firman los detalles de la transacción solicitada utilizando una clave interna que nunca se revela? (Esta última es mi suposición de cómo se debe hacer, pero no estoy seguro de si se puede esperar que el chip tenga suficiente potencia de cálculo)

    
pregunta lampak 28.08.2011 - 18:59
fuente

2 respuestas

6

Las tarjetas EMV y las tarjetas inteligentes en general sí tienen una clave privada incorporada y la potencia suficiente para realizar las operaciones criptográficas necesarias para firmar una transacción sin revelar el secreto.

enlace
enlace

    
respondido por el Steve Dispensa 28.08.2011 - 19:39
fuente
5

Aquí hay un documento interesante sobre la seguridad de las tarjetas inteligentes (en tarjetas de débito) utilizadas para la seguridad de la banca en línea en el Reino Unido bajo el esquema CAP.

enlace

Aquí hay un enlace desde el Reino Unido con bonitos detalles sobre los sistemas de chip y pin: enlace

  

Demostramos un ataque de intermediario en EMV que permite a los delincuentes usar tarjetas de chip y PIN robadas sin saber el PIN.

     

Nuestro documento técnico Chip and PIN is Broken explica cómo. Ha estado causando un gran revuelo ya que ha circulado en privado a la industria bancaria por más de 2 meses, y ha sido aceptado para el Simposio IEEE sobre Seguridad y Privacidad, la conferencia más importante en seguridad informática. (Consulte también nuestras preguntas frecuentes y el comunicado de prensa).

     

La falla es que cuando colocas una tarjeta en un terminal, se lleva a cabo una negociación sobre cómo se debe autenticar al titular de la tarjeta: usar un PIN, usar una firma o no. Este subprotocolo en particular no está autenticado, por lo que puede engañar a la tarjeta para que piense que está haciendo una transacción de chip y firma mientras que el terminal cree que es chip-and-PIN. El resultado es que puedes comprar cosas con una tarjeta robada y un PIN de 0000 (o lo que quieras). Lo hicimos, en cámara, usando varias tarjetas de periodistas. Las transacciones pasaron por una multa y los recibos dicen "Verificado por PIN".

Y aquí hay otro (menos relevante) donde un proveedor de gasolina / gas del Reino Unido dejó de usar el chip y el pin en sus 600 puntos de venta cuando se dieron cuenta de que había un problema con los dispositivos de entrada de pin "a prueba de manipulación indebida".

enlace

Las tarjetas inteligentes generalmente tienen un respaldo a una banda magnética, que es un vector de ataque para algunos delincuentes.

    
respondido por el DanBeale 28.08.2011 - 20:09
fuente

Lea otras preguntas en las etiquetas

¿Alguna razón para no usar la misma clave para múltiples dominios SSL en un servidor? ¿Qué diferencias hay entre el Administrador integrado y otros Administradores?