Witam po dluzszej przerwie - ale wlasnie mam dwa projekty EMV i troszke
pomarudzilem w roznych egzotycznych zakatkach globu:)))

> PIN na chipie jest generalnie onffline, acz by tak bylo musi byc
> spelnionych muchos warunkow - generalnie TVR o tym
decyduje.

To miala byc podstawowa zaleta EMV - off-line PIN. Decyduje o tym na pewno
nie TVR, ale CVM+dodatkowo mozliwosci terminala do wykonywania sprawdzen
opisanych w CVM. Nie bez znaczenia jest tez bit 5, 1 bajtu AIP. Natomiast
TVR zbiera tylko dane o tym, co w czasie transakcji zostalo zrobione i z
jakim skutkiem.
>
> > W ogole bank musi znac PIN karty chipowej (bez paska)?
>
> Szczerze powiem ze nie do konca wiem jak wyglada obsluga paska w
> przypadku karty hybrydowej, tzn. jakie informacje sa dublowane ze
> strony banku, ale podejrzewam ze dla banku sa to niejako dwie karty o
> tych samych numerach.

Nie zapominaj, ze w danych na chipie sa powtorzone 1 i 2 sciezka - natomiast
moga byc powtorzone bez PVV. Teoretycznie bank nie powinien znac PINu do
chipa i nie powinien miec mozliwosci jakiejkolwiek jego weryfikacji. Z
punktu widzenia systemu to ta sama karta, dla ktorej zdefiniowana jest
wiecej niz jedna metoda weryfikacji klienta.

> Widzisz, masz troche racji, tylko ze nie cala. W przypadku karty
> chipowej obsluge ryzyka robi nie pinpad i nie terminal, ale wlasnie
> chip.

Nie badz taki pozwol terminalowi na przeprowadzenie wlasnego Terminal Risk
Managmentu - przynajmniej w zakresie floor limitow. VISA przeniosla cale
Velocity Checking do karty, ale zdaje sie, ze u Europaya troche tez w tej
materii ma do powiedzenia terminal.


> Tzn. terminal przekazuje pewne informacje n/t ryzyka transakcji (tvr)
> i jeszcze pare innych parametrow, ale cala reszte robi karta! I ona
> zwraca rozne ARQC czy inne AAC do terminala. Jesli karta zada online -
> to terminal zestawia, jesli razem z misiem (klientem) zamyka
> transakcje offline - to terminal moze sobie tylko wynik zapisac.

Nie do konca tak - wybierana jest bardziej rygorystyczna metoda. Do
generacji pierwszego kryptogramu terminal musi poinformaowac karte czego
zada (TC, AAC, ARQC), a robi to rzeczywiscie na podstawie anlizy TVR (ale
robi to terminal!!!) i porownania z maskami Terminal Action Codes.

> O ile dobrze pamietam ceny to 30zl za karte DDA, jakies nascie (12) za
> SDA i pojedyncze zlotowki za paskowana.
Mysle, ze paski w hurcie kosztuja max fafdziesiat groszy.

>
> E tam, przeciez na chipie prawie nie masz kryptografi ;-)
>
> Oczywiscie mowie o SDA.

A stary dobry DES - na karcie jest kilka DESowych kluczy issuera,
zdywersyfikowanych numerem seryjnym karty. Jakos trzeba obsluzyc secure
messaging i generacje wzmiankowanych juz kryptogramow:)

Pozdrawiam
Jacek