Sujet: Re: Carte bancaire et authentification dynamique.
De: nniiss (l' arobase) ifrance.com (niis)
Groupes: fr.comp.carte-a-puce, fr.misc.cryptologie
Organisation: http://groups.google.com
Date: 23. Jan 2006, 13:42:16
Bonjour
il faut distinguer l'authentification de la carte auprès du terminal
(qui vise à fournir la preuve au commerçant que la carte a bien été
émise par une banque) et le scellement des transactions online (dans
les cas où la transaction nécessite une vérification par la banque
du porteur).
Dans le premier cas on distingue le mode statique du mode dynamique. Le
standard franco-français (B0') faisait appel au mode statique, le
nouveau standard EMV propose les deux.
Dans les deux cas on s'appuie sur de crypto asymétrique (RSA). En gros
:
- dans le cas statique, la carte possède la signature de certaines de
ses données et la fournit au terminal qui possède la clef publique
(sous forme de certificat je pense en EMV) et vérifie la signature.
- dans le cas dynamique, la carte possède son biclef RSA, le terminal
lui envoie un aléa ; la carte calcule une signature sur l'aléa et
certaines de ses données, elle fournit cette signature et le
certificat associé à son bi-clef. Le terminal qui possède le
certificat racine, vérifie le certificat de la carte et la signature.
Aujourd'hui beaucoup de cartes sont en statique, ça tient certainement
au prix de la puce (il faut un cryptoproc RSA) pour EMV et au fait que
la migration B0'->EMV ne soit pas encore achevée. Le dynamique doit
être dans les cartons.
Sans préjuger des petites vérues qui peuvent exister, avec EMV on a
principalement affaire à une (deux?) AC dont la(les) racine(s?)
est(sont?) gérée(s?) par les grands réseaux internationaux (VISA /
MC) et le(s) étage(s) intermédiaire(s) par les banques. Ca explique
entre autre que le terminal possède toujours le certificat racine (un
terminal accepte VISA et/ou MC).
Plus de détails pour les courageux ici
http://www.emvco.com/cgi_bin/detailspec.pl?id=5
(voir le Book 2 - Security and Key Management, chercher SDA / DDA)
Pour la sécurisation des transactions on s'appuie sur de la crypto
symétrique avec des clefs diversifiées par carte. C'est autre chose
(les détails sont au même endroit pour EMV - NB : EMV utilise
normalement le 3DES).
nniis
