Sur ce site http://www.bibmath.net/crypto/moderne/cb.php3 signalé
par Desperrier, ils semblent dire que le secret caché dans chaque carte
bleue et utilisé pour l'authentification dynamique "en ligne" serait différent
pour chaque carte.

Je cite, paragraphe "Authentification en ligne (par le DES)":

"Remarquons que ceci nécessite que le centre connaisse la clé secrète
de toutes les cartes."

Si cela s'avère exact, alors c'est une raison de plus pour laquelle les terminaux
de paiement chez les commerçants ne font pas eux même l'authentification
dynamique "hors ligne". Il faudrait que les terminaux aient en mémoire le secret
de toutes les cartes en circulation.

merci à tous.
ast


"Francois Grieu" <fgrieu@francenet.fr> a écrit dans le message de news: fgrieu-5AB4E9.10072121012006@news5-e.proxad.net...

Dans l'article <43d0d4ee$0$20187$8fcfb975@news.wanadoo.fr>,
"ast" <ast@ast.com> écrit à propos de:
http://www.linternaute.com/science/technologie/dossiers/05/0512-codes-secrets/12.shtml

La question que l'on peut légitimement se poser est de savoir
pourquoi cela n'est pas utilisé par TOUS les terminaux ?

Pour pouvoir vérifier la "valeur calculée" par la carte, il
faut (puisque l'algorithme DES ulisé est symétrique) connaitre
la même clé que la carte; et donc un hypothétique machin
capable de vérifier ce que produisent toutes les cartes
contient aussi de quoi les simuler. Si l'on arrivait
à faire sortir ses secrets du machin, le dommage serait
considérable. De plus se poserait le problème de la mise à
jour de ce machin.
Note: tous ces problèmes sont résolubles, mais uniquement
par de la cryptographie asymétrique (RSA..) qui nécessite
une carte à puce légèrement plus onéreuse. C'est une option
dans les spécifications Eurocard Mastercard Visa
http://www.emvco.com/cgi_bin/detailspec.pl?id=5

Pour ces raisons un terminal ne peut contenir un tel machin,
et doit donc vérifier ce que calcule la carte en faisant appel
à un centre et/ou réseau de vérification, qui lui est capable
d'adresser la demande de vérification au dispostif capable
de traiter cette carte en particulier. De plus, on peut ainsi
vérifierle crédit du porteur, et si la carte n'est pas en
opposition.

Cette vérification a un coût: attente, frais de communication,
et financement des investissements pour que le centre et/ou
réseau de vérification ait la capacité nécessaire. C'est
pourquoi elle n'est employée que quand le montant de la
transaction (et/ou le cumul glissant des montants) est élevé
(avec une composante aléatoire, pour créer un risque résiduel
pour le fraudeur tentant de rester en dessous d'un seuil).

Il est mis en oeuvre depuis l'origine du système CB Français,
et quel que soit le montant, une autre technique de sécurité
basée sur une valeur calculée par la carte au moyen d'un
algorithme symétrique dont la clé est dans la carte: le
terminal imprime sur le ticket et/ou mémorise une valeur
calculée par la carte, qui peut être vérifée ultérieurement
en cas de contestation. Regardez sur vos tickets, ce
"certificat" est facilement repérable.


 François Grieu