On Fri Jan 20 2006 at 13:17, ast wrote:

"La carte possède une troisième sécurité : une clé secrète K. Le
terminal interroge  un centre de contrôle à distance, qui envoie à
la carte une valeur aléatoire x (3). La carte calcule alors, à
l'aide de la fonction f de chiffrement du DES (ou du triple DES
depuis 1999), de x et de K, y=f(x,K). Cette valeur y est retransmise
au centre (4), qui lui-même calcule f(x,K). Si le centre et le
terminal arrivent au même résultat, l'autorisation est donnée (5)."

Je crains que cette description soit très imprécise.
À ma connaissance (*), le MAC calculé "signe" le paiement dans son
ensemble, il ne sert pas à l'authentification de la carte. De plus, il
ne serait vérifié qu'en cas de contestation.
Si la carte est complètement bidon, le centre d'autorisation ne la
trouvera pas dans ses bases (pour vérifier le plafond) et l'enverra
bouler.

(*) je peux me tromper, je n'ai jamais vu le système de près, je ne
rapporte que ce que j'en ai compris de diverses discussions avec des
personnes plus au fait, discussions qui datent de plusieurs années. Il
est possible que le système ait été mis à jour depuis, lors du passage
à EMV par exemple.

--
http://arboi.da.ru/ http://ma75.blogspot.com/
PGP key ID : 0x0BBABA91 - 0x1320924F0BBABA91
Fingerprint: 1048 B09B EEAF 20AA F645  2E1A 1320 924F 0BBA BA91