la norme emv jean-philippe giola jérome robbiano laurent rudault
TRANSCRIPT
LA NORME EMVLA NORME EMVJean-Philippe GiolaJean-Philippe Giola
Jérome RobbianoJérome Robbiano
Laurent RudaultLaurent Rudault
Pourquoi une nouvelle norme Pourquoi une nouvelle norme ??
1
4 5
2
6
7 8 9
0
3
# *
Correction
Annulation
Validation
CODE PIN OKCARTE OK
•Authentification du possesseur de la carte
•Authentification de la validité de la carte
La carte bancaire en datesLa carte bancaire en dates
• • 1967 : premières cartes de paiements1967 : premières cartes de paiements• • 1971 : premier DAB (distributeur automatique de billets)1971 : premier DAB (distributeur automatique de billets)• • 1980 : premiers TPE (terminaux de paiements 1980 : premiers TPE (terminaux de paiements
électroniques)électroniques)• • 1984 : création du GIE CB1984 : création du GIE CB• • 1992 : généralisation de la puce sur les cartes (320 bits)1992 : généralisation de la puce sur les cartes (320 bits)• • 1999 : affaire Humpich (yescard et clonage)1999 : affaire Humpich (yescard et clonage)• • 2001 : norme CB 5.1 pour les terminaux, adaptés à 2001 : norme CB 5.1 pour les terminaux, adaptés à
l'euro et l'euro et pouvant passer à EMV pouvant passer à EMV• • 2001 : amélioration du système de sécurité (768 bits)2001 : amélioration du système de sécurité (768 bits)• • 2002 : adoption d'EMV2002 : adoption d'EMV• • Fin 2002 : premières cartes mixtes B0'/EMV (et Moneo)Fin 2002 : premières cartes mixtes B0'/EMV (et Moneo)• • 2003 : fin de la mise à jour des terminaux2003 : fin de la mise à jour des terminaux• • 2004 : premières cartes pures EMV (et Moneo)2004 : premières cartes pures EMV (et Moneo)
CHIFFREMENT RSACHIFFREMENT RSA
MessageClé publique
(nr,er)de Robby
Messagechiffré
Chiffrementc = mer (nr)
Déchiffrementm = cdr (nr)
MessageClé privée
(dr)de Robby
1001010110110
A l’a
nnée p
roch
ain
e
1001010110110
A l’a
nnée p
roch
ain
e
SIGNATURE RSASIGNATURE RSA
Message
Signature(m , mdj(nj))
A l’a
nnée p
roch
ain
e
Messagesigné
AuthentificationSi mdej(nj)=m
OK
1001010110110
A l’année prochaine
1001010110110
A l’année prochaine
Clé privée(dj)
de Jean-Phi
Clé publique(nj,ej)
de Jean-PhiMessage
A l’a
nnée p
roch
ain
e
CHiFFREMENT Vs SiGNATURECHiFFREMENT Vs SiGNATURE
ChiffrementChiffrement
Emetteur : chiffre Emetteur : chiffre avec la clé publique avec la clé publique du destinatairedu destinataire
Destinataire : Destinataire : déchiffre avec sa clé déchiffre avec sa clé privéeprivée
SignatureSignature
Emetteur : signe avec Emetteur : signe avec sa clé privéesa clé privée
Destinataire : vérifie Destinataire : vérifie avec la clé publique avec la clé publique de l’émetteur.de l’émetteur.
LA SDA (Static Data LA SDA (Static Data Authentication)Authentication)
►La SDA permet d’authentifier les La SDA permet d’authentifier les données statiques résidantes sur la données statiques résidantes sur la carte.carte.
►Pour ce, elle utilise l’algorithme de Pour ce, elle utilise l’algorithme de cryptographie RSA vu précédemment.cryptographie RSA vu précédemment.
Clé privéeSf
Clé publiquePf
Clé privéeSemv
Clé publique Pemv
Pf
signée
•Pf signée par Semv
•Exposant de Pf
•Données statiques signées par Sf
•Index de clé publique d’EMV
•Registre de clé
La SDA se déroule en 3 phases :
1. Détermination de la clé publique EMV2. Récupération de la clé publique du fabricant3. Vérification des données statiques signées
LA SDA (Static Data LA SDA (Static Data Authentication) Authentication)
Index de clé
Pf signée par Semv
+exposant efDonnées signées par Sf
Pemv
Pf
Données
La faiblesse de la SDALa faiblesse de la SDA•Pf signée
•Exposant de Pf
•Données statiques signées
•Index de clé publique d’EMV
La SDA ne supprime pas les problèmes de La SDA ne supprime pas les problèmes de clonage.clonage.
FRAUDE … FRAUDE …
Clé privéede la carte
Sc
Clé publiquede la carte
Pc
Clé privée
Sf
Clé publique
Pf
Pc
signée
Clé privée
Semv
Clé publique
Pemv
Pf
signée
EMV AcquéreurFabricant
Sc
LA DDA (Dynamic Data LA DDA (Dynamic Data Authentication)Authentication)
1. Calcule d’un nombre aléatoire
2. Création de données dynamiques
3. Signature des données dynamique avec Sc
DonnéesNombre aléatoire
+Données dynamiquesSigne(Sc)[ ]Données dynamique signées
INCONVENIENT DE LA DDAINCONVENIENT DE LA DDA
►Temps de transaction trop élevéTemps de transaction trop élevé
Les émetteurs se standardisent donc sur la SDALes émetteurs se standardisent donc sur la SDA
AvantagesAvantages
► Impossibilité de cloner une carteImpossibilité de cloner une carte
►Amélioration du système de la carte Amélioration du système de la carte bancaire dans les pays étrangers.bancaire dans les pays étrangers.
►Carte multi applicationsCarte multi applications
ON VEUT NOTRE
MAITRISE!
YES YES YES *
*L’ANNEE PROCHAINE…