Download
1 / 13
160 likes | 451 Vues
LA NORME EMV. Jean-Philippe Giola Jérome Robbiano Laurent Rudault. Pourquoi une nouvelle norme ?. 1. 2. 3. Correction. Authentification de la validité de la carte. 4. 5. 6. Annulation. 7. 8. 9. Validation. Authentification du possesseur de la carte. #. 0. *. CARTE OK.
E N D
LA NORME EMV Jean-Philippe Giola Jérome Robbiano Laurent Rudault
Pourquoi une nouvelle norme ? 1 2 3 Correction • Authentification de la validité de la carte 4 5 6 Annulation 7 8 9 Validation • Authentification du possesseur de la carte # 0 * CARTE OK CODE PIN OK
La carte bancaire en dates • 1967 : premières cartes de paiements • 1971 : premier DAB (distributeur automatique de billets) • 1980 : premiers TPE (terminaux de paiements électroniques) • 1984 : création du GIE CB • 1992 : généralisation de la puce sur les cartes (320 bits) • 1999 : affaire Humpich (yescard et clonage) • 2001 : norme CB 5.1 pour les terminaux, adaptés à l'euro et pouvant passer à EMV • 2001 : amélioration du système de sécurité (768 bits) • 2002 : adoption d'EMV • Fin 2002 : premières cartes mixtes B0'/EMV (et Moneo) • 2003 : fin de la mise à jour des terminaux • 2004 : premières cartes pures EMV (et Moneo)
CHIFFREMENT RSA Message Message Clé publique (nr,er) de Robby Clé privée (dr) de Robby A l’année prochaine A l’année prochaine Message chiffré 1001010110110 1001010110110 Chiffrement c = mer(nr) Déchiffrement m = cdr(nr)
SIGNATURE RSA Clé privée (dj) de Jean-Phi Clé publique (nj,ej) de Jean-Phi Message Message A l’année prochaine A l’année prochaine Message signé Authentification Si mdej(nj)=m OK 1001010110110 A l’année prochaine 1001010110110 A l’année prochaine Signature (m , mdj(nj))
Chiffrement Emetteur : chiffre avec la clé publique du destinataire Destinataire : déchiffre avec sa clé privée Signature Emetteur : signe avec sa clé privée Destinataire : vérifie avec la clé publique de l’émetteur. CHiFFREMENT Vs SiGNATURE
LA SDA (Static Data Authentication) • La SDA permet d’authentifier les données statiques résidantes sur la carte. • Pour ce, elle utilise l’algorithme de cryptographie RSA vu précédemment.
Fabricant EMV Acquéreur • Ce qu’il y a sur le terminal... • Registre de clé • Registre de clé • Ce qu’il y a sur la carte... • Pf signée par Semv • Exposant de Pf • Données statiques signées par Sf • Index de clé publique d’EMV • Pf signée par Semv • Exposant de Pf • Données statiques signées par Sf • Index de clé publique d’EMV LA SDA (Static Data Authentication) Clé privée Sf Clé publique Pf Clé privée Semv Clé publique Pemv • La SDA se déroule en 3 phases : • Détermination de la clé publique EMV • Récupération de la clé publique du fabricant • Vérification des données statiques signées Pf signée Pemv Pf signée par Semv + exposant ef Pf Données Données signées par Sf Index de clé
Pf signée • Exposant de Pf • Données statiques signées • Index de clé publique d’EMV La faiblesse de la SDA La SDA ne supprime pas les problèmes de clonage. FRAUDE … FRAUDE …
Fabricant LA DDA (Dynamic Data Authentication) Fabricant EMV Acquéreur Clé privée de la carte Sc Clé publique de la carte Pc Clé privée Sf Clé publique Pf Clé privée Semv Clé publique Pemv Sc 1. Calcule d’un nombre aléatoire 2. Création de données dynamiques 3. Signature des données dynamique avec Sc Pc signée Pf signée + Données dynamiques Signe(Sc)[ Données dynamique signées ] Données Nombre aléatoire
INCONVENIENT DE LA DDA • Temps de transaction trop élevé Les émetteurs se standardisent donc sur la SDA
Avantages • Impossibilité de cloner une carte • Amélioration du système de la carte bancaire dans les pays étrangers. • Carte multi applications
YES YES YES * ON VEUT NOTRE MAITRISE! LE YES PROF *L’ANNEE PROCHAINE…
