Smart Card Guy

Smart Card, Java Card, PCI DSS, IoT Device Security

参考文献 - A Guide to EMV Chip Technology (by EMVCo)

リンク

本文リンク

参考資料

重要度

EMV仕様(正確にはEMV Chip仕様)を理解するための基本中の基本。

Table of Contents / メモ書き

1. Introduction

2. Background

3. The History of the EMV Chip Specifications

EMV ChipスペックのTimelineがわかりやすい。

4. EMVCo LLC

他標準化団体との関係
  1. ISO
    • ISO/IEC 7816 : ID Card - IC Cards。接触型
    • ISO/IEC 14443 : ID Card - Contactless IC Card - Proximity Cards。非接触型。
  2. PCI SSC (Security Standard Council)
    • アカウント情報、PIN情報など、ペイメント情報の保護に重点。EMV Chip仕様とPCI標準はComplementary.
  3. NFC Forum
    • ContactlessとMobile Channelで連携
  4. GlobalPlatform
    • カード上のアプリケーション管理(Multiple Application / Multiple Application Owner)。

5. EMV Chip Technology - How it works

Steps for EMV Contact Transaction

出てくるActor : Chip(カード)、Terminal(読み取り端末)、Cardholder(カード所有者)、Issuer Host(Issuerのサーバー側)

  • Application Selection
    Chip上で複数のアプリが存在する可能性があるため、ChipとTerminal間でどのアプリを処理するかを決める。

  • Initiate Application Processing and Read Application Data
    選択されたアプリが実行されTerminalを必要なデータをChipから読み取る。

  • Offline Data Authentication
    SDA, DDA, CDAによるオフラインデータ認証

  • Processing Restrictions

  • Cardholder Verification

  • Terminal Risk Management

  • Terminal Action Analysis

  • Card Action Analysis

  • Online Processing

  • Completion and script processing

6. Testing and Approval

7. Implementation Consideration

8. The next generation of EMV Chip Specificaions

9. Glossary

  • Offline Data Authentication
    • SDA (Static Data Authentication) : 静的データ認証。ICカード発行時に変更されてはいけないいくつかのデータを暗号化しICカードに格納しておき、決済取引の都度、そのデータが改ざんされていないかをチェックする仕組み
    • DDA (Dynamic Data Authentication) : 動的データ認証。SDAに加え、決済取引ごとに決済端末が発行する乱数を加えて認証する方式。公開鍵暗号(RSA)を使って演算がICカード内で必要になるため、暗号処理用のCoprocessor搭載のICチップがよく用いられる。
    • CDA (Combined DDA) : 動的データ認証と AC 生成 (Application Cryptogram Generation) を組み合わせた方式
  • CCD / CPA
    • CCD (Common Core Definition)
    • CPA (Common Payment Application)
  • BrandごとのEMV based IC Card Spec (Personalization)
    • American Express : AEIPS
    • Discover : DPAS
    • JCB : J/Smart
    • MasterCard : M/Chip
    • UnionPay : IC Card
    • Visa : VIS
  • Application Cryptogram
    • ARQC (Authorization Request Cryptogram) : Online authorization request
    • ARPC (Authorization Response Cryptogram) : Online authorization response
    • TC (Transaction Certificate) : Approved transaction (financial message for clearing and settlement)
    • AAC (Application Authentication Cryptogram) : Declined transaction