On Thu, Jan 24, 2002 at 12:25:55PM +0100, Jacek Olbrys wrote:

> Witam po dluzszej przerwie - ale wlasnie mam dwa projekty EMV i troszke
> pomarudzilem w roznych egzotycznych zakatkach globu:)))

Witamy speca ;-)

Czy to znaczy ze w polszcze sie chipy nie przyjely i trzeba je
promowac w bardziej zacofanych krajach? ;-))

> To miala byc podstawowa zaleta EMV - off-line PIN. Decyduje o tym na pewno
> nie TVR, ale CVM+dodatkowo mozliwosci terminala do wykonywania sprawdzen
> opisanych w CVM. Nie bez znaczenia jest tez bit 5, 1 bajtu AIP. Natomiast
> TVR zbiera tylko dane o tym, co w czasie transakcji zostalo zrobione i z
> jakim skutkiem.

Mowisz oczywiscie o TVRe generowanym w chipie, bo ten terminalowy to
raczej jeszcze nic nie wie o transakcji ;-)

> Nie zapominaj, ze w danych na chipie sa powtorzone 1 i 2 sciezka - natomiast

Ale przeciez nie musza (nie chce mi sie grzebac, ale w chipie nie
musisz miec wcale drugiej sciezki - nawet ekwiwalentu). O tym co tam
jest mowia pewne tagi, ale ze sie wlasnie ratuje po czesciowym padzie
dysku to nie moge sie na nie powolac.

> moga byc powtorzone bez PVV. Teoretycznie bank nie powinien znac PINu do
> chipa i nie powinien miec mozliwosci jakiejkolwiek jego weryfikacji. Z

To akurat dotyczy chyba kazdego przypadku PINa - ciekawia mnie wtedy
pozycje w niektorych TOiP pewnych bankow - 'odzyskanie pinu' ;-)

I chcialbym troche popolimeryzowac z tym 'niemoznoscia weryfikacji
pinu przez bank' - nie pamietam a sprawdzic nie moge, ale mam wrazenie
ze karta moze zazadac online i wtedy do banku idzie
m.in. pinblok. Sugerujesz ze nie jest on sprawdzany?

> punktu widzenia systemu to ta sama karta, dla ktorej zdefiniowana jest
> wiecej niz jedna metoda weryfikacji klienta.

No niby fakt.

> Nie badz taki pozwol terminalowi na przeprowadzenie wlasnego Terminal Risk
> Managmentu - przynajmniej w zakresie floor limitow. VISA przeniosla cale
> Velocity Checking do karty, ale zdaje sie, ze u Europaya troche tez w tej
> materii ma do powiedzenia terminal.

Ale terminal tylko wystawia co mu sie nie podoba, jakien ev. on line
reason code, ale np. wymuszenie online robi karta. I teoretycznie
karta moze byc tak zrobiona ze nawet wtedy online nie pojdzie ;-)

> Nie do konca tak - wybierana jest bardziej rygorystyczna metoda. Do
> generacji pierwszego kryptogramu terminal musi poinformaowac karte czego
> zada (TC, AAC, ARQC), a robi to rzeczywiscie na podstawie anlizy TVR (ale
> robi to terminal!!!) i porownania z maskami Terminal Action Codes.

Siem nie zgadzam nieco.

Transakcje robi karta - terminal nie moze od niej zadac. Terminal
sugerowac stopien ryzyka.

> A stary dobry DES - na karcie jest kilka DESowych kluczy issuera,
> zdywersyfikowanych numerem seryjnym karty. Jakos trzeba obsluzyc secure
> messaging i generacje wzmiankowanych juz kryptogramow:)

To ma byc kryptografia? ;-)

Mam nadzieje ze szykuje sie dluzsza dyskusja.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki