250 likes | 349 Views
Segurança em cartões Smartcard EMV. Universidade Estadual de Campinas – UNICAMP Instituto de Computação - IC Mestrado Profissional em Computação. Ricardo B. Matsuno Marcelo Chaves. Índice. Sistema Atual Cartões SmartCard Norma EMV Protocolos de autenticação Cartão Usuário Transação
E N D
Segurança em cartões Smartcard EMV Universidade Estadual de Campinas – UNICAMPInstituto de Computação - ICMestrado Profissional em Computação Ricardo B. Matsuno Marcelo Chaves
Índice • Sistema Atual • Cartões SmartCard • Norma EMV • Protocolos de autenticação • Cartão • Usuário • Transação • Emissor • Conclusão
Sistema Atual • Principais características: • Cartões magnéticos • Autorizações online • Segurança baseada em : • Características visuais (hologramas, etc..)
Cartões Smartcard • Criado em formalmente na França em 1974.. • São cartões microprocessados com memória de até 64 Kbits de informação • Segurança baseada em: • Características visuais • Chip • S.O. • Rede • Aplicativos
Norma EMV • Em 1994 a Europay , Mastercard e Visa criaram uma norma para sistemas de crédito/ débito baseados em cartão chip para substituir os cartões magnéticos • Esta padrão ficou denominado EMV e define um padrão para operação com cartões inteligentes • Mais informações em: www.emvco.com international.visa.com www.mastercard.com
Protocolos de autenticação • A EMV define todos os mecanismos de segurança presentes em uma transação. • Os principais mecanismos são protocolos de autenticação : • Do cartão • Do usuário • Das transações • Do emissor
Protocolos de autenticação • Através destes mecanismos de segurança é possível garantir : • Integridade das transações • Autenticação de todos os elementos que participam da transação • Não repúdio
Protocolos de autenticação • Protocolo de autenticação do cartão • SDA – Static Data Authentication – Baseado em uma assinatura digital estática dos dados do cartões utilizando um mecanismo de chaves públicas • DDA – Dynamic Data Authentication – Baseado em uma assinatura digital dinâmica dos dados do cartões utilizando um mecanismo de chaves públicas • As chaves RSA utilizadas neste processo variam desde 768 até 2048 bits (exponente 3 a 2^16 + 1)
Protocolos de autenticação Static Data Authentication
Protocolos de autenticação Computed Hash = Recovered. Hash ? Computed Hash = Recovered. Hash ? Static Data Authentication Issuer Public Key Certificate C/A Public Key Retrieve Issuer Public Key Signed Static Appl Data SDA Succeeded RSA Recovery RSA Recovery YES YES Recovered Data Recovered Data Hash Result Hash Result NO Compute Hash NO Compute Hash SHA-1 SDA Failed SDA Failed SHA-1
Protocolos de autenticação Dynamic Data Authentication
Protocolos de autenticação Dynamic Data Authentication
Protocolos de autenticação Dynamic Data Authentication
Protocolos de autenticação • Protocolo de autenticação do usuário • Senha offline – validada pelo cartão • Assinatura • Senha Online – Verificada pelo emissor do cartão • Senha offline criptografada – validada pelo cartão
Protocolos de autenticação • Senha offline criptografada • chave pública do Chip
Protocolos de autenticação • Protocolo de autenticação da transação • Todos os dados da transação ao final são autenticadas com uma assinatura digital utilizando um MAC (message authentication code) • Para cada transação é diversificada uma chave de sessão ( para evitar replay attacks)
Protocolos de autenticação Exemplo autenticação de uma transação
Protocolos de autenticação • Protocolo de autenticação do emissor • Quando são processadas autorizações online, o emissor envia um criptograma para ser validado pelo cartão • A autenticação do emissor é feita utilizando a chave Master do cartão.
Conclusão Os mecanismos de segurança estão presentes cada vez mais no dia a dia das pessoas. Sistemas de autenticação com chaves públicas, certificados digitais, já estão incorporados desde Browser Web á sistemas de pagamentos com cartão .