Re: Carte bancaire et authentification dynamique.

Sujet: Re: Carte bancaire et authentification dynamique.
De: fgrieu (l' arobase) francenet.fr (Francois Grieu)
Groupes: fr.comp.carte-a-puce, fr.misc.cryptologie
Organisation: Guest of ProXad - France
Date: 21. Jan 2006, 10:07:21

Dans l'article <43d0d4ee$0$20187$8fcfb975@news.wanadoo.fr>,
"ast" <ast@ast.com> écrit à propos de:
http://www.linternaute.com/science/technologie/dossiers/05/0512-codes-secrets/12.shtml

La question que l'on peut légitimement se poser est de savoir
pourquoi cela n'est pas utilisé par TOUS les terminaux ?

Pour pouvoir vérifier la "valeur calculée" par la carte, il
faut (puisque l'algorithme DES ulisé est symétrique) connaitre
la même clé que la carte; et donc un hypothétique machin
capable de vérifier ce que produisent toutes les cartes
contient aussi de quoi les simuler. Si l'on arrivait
à faire sortir ses secrets du machin, le dommage serait
considérable. De plus se poserait le problème de la mise à
jour de ce machin.
Note: tous ces problèmes sont résolubles, mais uniquement
par de la cryptographie asymétrique (RSA..) qui nécessite
une carte à puce légèrement plus onéreuse. C'est une option
dans les spécifications Eurocard Mastercard Visa
http://www.emvco.com/cgi_bin/detailspec.pl?id=5

Pour ces raisons un terminal ne peut contenir un tel machin,
et doit donc vérifier ce que calcule la carte en faisant appel
à un centre et/ou réseau de vérification, qui lui est capable
d'adresser la demande de vérification au dispostif capable
de traiter cette carte en particulier. De plus, on peut ainsi
vérifierle crédit du porteur, et si la carte n'est pas en
opposition.

Cette vérification a un coût: attente, frais de communication,
et financement des investissements pour que le centre et/ou
réseau de vérification ait la capacité nécessaire. C'est
pourquoi elle n'est employée que quand le montant de la
transaction (et/ou le cumul glissant des montants) est élevé
(avec une composante aléatoire, pour créer un risque résiduel
pour le fraudeur tentant de rester en dessous d'un seuil).

Il est mis en oeuvre depuis l'origine du système CB Français,
et quel que soit le montant, une autre technique de sécurité
basée sur une valeur calculée par la carte au moyen d'un
algorithme symétrique dont la clé est dans la carte: le
terminal imprime sur le ticket et/ou mémorise une valeur
calculée par la carte, qui peut être vérifée ultérieurement
en cas de contestation. Regardez sur vos tickets, ce
"certificat" est facilement repérable.

François Grieu

fr . comp . carte-a-puce

Re: Carte bancaire et authentification dynamique. sur Fr Comp Carte-a-puce

fr . comp . carte-a-puce

Re: Carte bancaire et authentification dynamique.

Re: Carte bancaire et authentification dynamique.