Где то просто один бит tampered выставляет в 0 в специальном регистре к которому можно только AND применить. Где-то Master-Vendor ключ стирает.
Прикол в том, что EPP/PED (устройства ввода пин-кода) штука крайне секьюрная и те ключи что вводит банк при установке хоть и называются Master но они по сути на втором уровне иерархии. После ввода в устройство они шифруются Master-ключом производителя находящимся на верхнем уровне иерархии.
Master-ключи(ключи потому что может быть несколько веток) от вендора как раз при «Tampered» и затираются. Таким образом удалив один ключ верхнего уровня пропадает доступ ко всем ключам что ниже потому как они зашифрованы по цепочке.
Вы открывали эти ISO? Если бы открывали то наверняка поняли свою ошибку. 14443 это только физические характеристики и протокол обмена, но не система команд. 7816 это всё вместе взятое. EMV построен на 7816, но содержит расширенный набор команд. В качестве транспорта там действительно ISO 7816. EMV contactless это те же команды(с небольшими изменениями и дополнениями) что и в EMV но в качестве транспорта тут либо Mifare ISO14443 либо NFC ISO/IEC 18092, который по большей части совместим с ISO14443. В ISO14443 нет не слова о проведении бесконтактых платежей. Вся эта информация это исключительно EMV (и основанные на EMV) спецификации.
По поводу неизвлекаемой информации — она никак не зависит от протокола передачи данных. В картах Paypass и Paywave используется чип с параметрами безопасности неотличимыми от таковых в чип. картах стандарта EMV. Даже больше — в силу беспроводной природы технологии, некоторые параметры ужесточены — как например команда Verify в контактном EMV принимает на вход как Plain Pin так и Enchipered, однаков в бесконтактном остался только Enchipered чтобы исключить любые возможности перехвата.
Даже для Амазона не прокатит. Амазон не требует CVV2(на обороте карты) что совсем не означает того что платежная система не проверяет просто CVV, хранящийся на магнитной полосе карты. Для бесконтактных платежей по одной из самых простых технологий действительно применяется некая эмуляция магнитной полосы при которой после получения параметров транзакции от терминала карта выдаёт ему данные магнитной полосы НО элемент CVV(в этом случае он называется DCVV) меняется динамически и зависит от параметров транзакции, случайного числа и криптографии. То есть Трек2 дата каждый раз немного отличается от предыдущего и не может быть сгенерирован без участия некоторых секретов которые не покидают карту. Технология(стандарт или приложение — можно назвать по разному) называется MSD и используется для самых простых терминалов. Помимо MSD у Mastercard есть более надежный способ проведения транзакции который включает в себя комбинированную динамическую аутентификацию карты + запрос криптограммы.
У Визы помимо MSD есть qVSDC который примерно одинаков по скорости с вторым Мастеркардовским способом и есть VSDCfull который является полным аналогом стандартного EMV приложения (но карта должна быть в поле ридера в течении всей операции как и в случае контактных платежей).
У вас в голове каша.
ISO 14443 это описания физических характеристик карт, ридера, протокола передачи данных и т.д. Поверх этого всего работает EMC Contactless.
Кстати, «хак» с двумя NCF картами как способ защиты от случайного чтения — совсем не хак, а ситуация описанная в стандарте (опять же EMV): в идеальном случае ридер должен сообщить о нахождении нескольких карт в зоне чтения и предложить убрать лишние. Самовольно обрабатывать транзакции по одной из карт в таком случае ридеру запрещено.
Всё там открыто передаётся. Кроме офлайн-пин кода, у операции проверки которого есть опция с передачей в шифрованном виде.
Чипованная карта это отнюдь не черный ящик для тех кто знаком с ISO7816.
Ключи и некоторая другая чувствительная информация действительно неизвлекаема.
Вся информация которую терминал считывает с карты и отправляет на сервер — известна терминалу, потому что именно терминал предоставил данные карты на подпись/генерацию криптограммы.
Метод плох, тем что не универсален. Только Ваше приложение, только Ваш стек ПО, только Ваши самописные драйвера под этот стек. Вендорлокед, да ещё и с тучей багов, потому как человек с подобным подходом программистом хорошим быть не может.
Если что, органика это просто соединения в состав которых входит углерод. Есть некоторые исключения из этого определения. И главное есть неорганические соединения по сложности превосходящие органические.
Прикол в том, что EPP/PED (устройства ввода пин-кода) штука крайне секьюрная и те ключи что вводит банк при установке хоть и называются Master но они по сути на втором уровне иерархии. После ввода в устройство они шифруются Master-ключом производителя находящимся на верхнем уровне иерархии.
Master-ключи(ключи потому что может быть несколько веток) от вендора как раз при «Tampered» и затираются. Таким образом удалив один ключ верхнего уровня пропадает доступ ко всем ключам что ниже потому как они зашифрованы по цепочке.
По поводу неизвлекаемой информации — она никак не зависит от протокола передачи данных. В картах Paypass и Paywave используется чип с параметрами безопасности неотличимыми от таковых в чип. картах стандарта EMV. Даже больше — в силу беспроводной природы технологии, некоторые параметры ужесточены — как например команда Verify в контактном EMV принимает на вход как Plain Pin так и Enchipered, однаков в бесконтактном остался только Enchipered чтобы исключить любые возможности перехвата.
У Визы помимо MSD есть qVSDC который примерно одинаков по скорости с вторым Мастеркардовским способом и есть VSDCfull который является полным аналогом стандартного EMV приложения (но карта должна быть в поле ридера в течении всей операции как и в случае контактных платежей).
ISO 14443 это описания физических характеристик карт, ридера, протокола передачи данных и т.д. Поверх этого всего работает EMC Contactless.
Кстати, «хак» с двумя NCF картами как способ защиты от случайного чтения — совсем не хак, а ситуация описанная в стандарте (опять же EMV): в идеальном случае ридер должен сообщить о нахождении нескольких карт в зоне чтения и предложить убрать лишние. Самовольно обрабатывать транзакции по одной из карт в таком случае ридеру запрещено.
Чипованная карта это отнюдь не черный ящик для тех кто знаком с ISO7816.
Ключи и некоторая другая чувствительная информация действительно неизвлекаема.
Вся информация которую терминал считывает с карты и отправляет на сервер — известна терминалу, потому что именно терминал предоставил данные карты на подпись/генерацию криптограммы.