Universidade Estadual de Campinas

1
Segurança em cartões Smartcard EMV
Universidade Estadual de Campinas
UNICAMPInstituto de Computação - ICMestrado
Profissional em Computação
Ricardo B. Matsuno Marcelo Chaves
2
Índice

• Sistema Atual
• Cartões SmartCard
• Norma EMV
• Protocolos de autenticação
• Cartão
• Usuário
• Transação
• Emissor
• Conclusão

3
Sistema Atual

• Principais características
• Cartões magnéticos
• Autorizações online
• Segurança baseada em
• Características visuais (hologramas, etc..)

4
Sistema Atual
5
Cartões Smartcard

• Criado em formalmente na França em 1974..
• São cartões microprocessados com memória de até
  64 Kbits de informação
• Segurança baseada em
• Características visuais
• Chip
• S.O.
• Rede
• Aplicativos

6
Cartões Smartcard
7
Norma EMV

• Em 1994 a Europay , Mastercard e Visa criaram uma
  norma para sistemas de crédito/ débito baseados
  em cartão chip para substituir os cartões
  magnéticos
• Esta padrão ficou denominado EMV e define um
  padrão para operação com cartões inteligentes
• Mais informações em
• www.emvco.com
• international.visa.com
• www.mastercard.com

8
Norma EMV
9
Protocolos de autenticação

• A EMV define todos os mecanismos de segurança
  presentes em uma transação.
• Os principais mecanismos são protocolos de
  autenticação
• Do cartão
• Do usuário
• Das transações
• Do emissor

10
Protocolos de autenticação

• Através destes mecanismos de segurança é possível
  garantir
• Integridade das transações
• Autenticação de todos os elementos que participam
  da transação
• Não repúdio

11
Protocolos de autenticação

• Protocolo de autenticação do cartão
• SDA Static Data Authentication Baseado em uma
  assinatura digital estática dos dados do cartões
  utilizando um mecanismo de chaves públicas
• DDA Dynamic Data Authentication Baseado em
  uma assinatura digital dinâmica dos dados do
  cartões utilizando um mecanismo de chaves
  públicas
• As chaves RSA utilizadas neste processo variam
  desde 768 até 2048 bits (exponente 3 a 216 1)

12
Protocolos de autenticação
Static Data Authentication
13
Protocolos de autenticação
Static Data Authentication

Issuer Public Key Certificate
C/A Public Key
Retrieve Issuer Public Key
Signed Static Appl Data
SDA Succeeded
RSA Recovery
RSA Recovery
YES
YES
Recovered Data
Hash Result
Recovered Data
Hash Result
NO
Compute Hash
NO
Compute Hash
SHA-1
SDA Failed
SDA Failed
SHA-1
14
Protocolos de autenticação
Dynamic Data Authentication
15
Protocolos de autenticação
Dynamic Data Authentication
16
Protocolos de autenticação
Dynamic Data Authentication
17
Protocolos de autenticação

• Protocolo de autenticação do usuário
• Senha offline validada pelo cartão
• Assinatura
• Senha Online Verificada pelo emissor do cartão
• Senha offline criptografada validada pelo cartão

18
Protocolos de autenticação

• Senha offline criptografada
• chave pública do Chip

19
Protocolos de autenticação

• Protocolo de autenticação da transação
• Todos os dados da transação ao final são
  autenticadas com uma assinatura digital
  utilizando um MAC (message authentication code)
  
• Para cada transação é diversificada uma chave de
  sessão ( para evitar replay attacks)

20
Protocolos de autenticação
Exemplo autenticação de uma transação
21
Protocolos de autenticação
22
Protocolos de autenticação

• Protocolo de autenticação do emissor
• Quando são processadas autorizações online, o
  emissor envia um criptograma para ser validado
  pelo cartão
• A autenticação do emissor é feita utilizando a
  chave Master do cartão.

23
Protocolos de autenticação
24
Conclusão

• Os mecanismos de segurança estão presentes cada
  vez mais no dia a dia das pessoas.
• Sistemas de autenticação com chaves públicas,
  certificados digitais, já estão incorporados
  desde Browser Web á sistemas de pagamentos com
  cartão .

25
DÚVIDAS ...