Pengantar Kriptogram
Ketika kartu strip magnetik digesek di terminal, terminal akan membaca knowledge trek yang diembos pada kartu. Information monitor berisi, nama pemegang kartu, tanggal kedaluwarsa dan beberapa element lainnya Termasuk knowledge diskresioner seperti CVC1 / CVV1. Karena knowledge ini bersifat statis, dalam kasus penipuan palsu, menjadi sulit untuk mengidentifikasi transaksi penipuan yang dilakukan pada kartu curian.
Dalam hal kartu chip, pembuatan dan verifikasi kriptogram dinamis mengurangi risiko transaksi palsu.
Kapan Kriptogram dibuat?
Sebelum membahas lebih jauh tentang apa itu kriptogram, marilah kita segera memahami apa yang terjadi ketika kartu chip dicelupkan ke terminal.
Ketika kartu dicelupkan di terminal, terminal melakukan beberapa validasi, seperti jenis produk (debit / kredit dll.,), metode verifikasi pemegang kartu (offline / on-line, pin terenkripsi / PIN biasa dll,), offline batas transaksi.
Setelah validasi, terminal mengambil keputusan apakah akan menolak transaksi atau menerima persetujuan offline atau on-line. Berdasarkan keputusan tersebut, terminal meminta salah satu ‘kriptogram’ berikut dari kartu:
Sertifikat transaksi (TC) — Persetujuan offlineAuthorization Request Cryptogram (ARQC) — Otorisasi onlineApplication Authentication Cryptogram (AAC) — Penolakan offline
Kartu akan menerima analisis tindakan terminal atau menolak transaksi atau memaksa transaksi on-line.
TC, ARQC & AAC semuanya kriptogram tetapi elemen yang digunakan untuk menghasilkan masing-masing kriptogram ini berbeda.
Kami hanya akan berbicara tentang skenario otorisasi on-line (ARQC) dari sini.
Apa itu Kriptogram & Apa Isinya
Seperti namanya, ini adalah format “samar” dari pengumpulan knowledge tertentu.
Pedoman EMV tidak mengamanatkan bidang mana yang harus ada dalam kriptogram. Ini tergantung pada aplikasi.
Namun, EMV merekomendasikan kumpulan elemen knowledge di bawah ini untuk dimasukkan dalam pembuatan kriptogram:
Jumlah transaksiKode negara terminalHasil Verifikasi TerminalKode mata uang transaksiTanggal transaksiJenis transaksiNomor Tak TerdugaProfil Pertukaran AplikasiPenghitung Transaksi Aplikasi
Dalam elemen knowledge ini, profil pertukaran Aplikasi dan penghitung transaksi Aplikasi dihasilkan / dipertahankan pada tingkat chip sedangkan semua elemen knowledge lainnya bersumber dari terminal ke chip.
Di bawah ini adalah penjelasan tingkat tinggi dari beberapa bidang:
Profil Pertukaran Aplikasi (AIP) menunjukkan fungsi aplikasi yang didukung oleh chip. Fungsi termasuk –
Otentikasi Information Statis (SDA) didukung atau tidak Otentikasi Information Dinamis (DDA) didukung atau tidakMetode verifikasi pemegang kartu mana yang didukung? Apakah manajemen risiko terminal akan dilakukan Otentikasi penerbit didukung atau tidakOtentikasi Information Dinamis gabungan (CDA) didukung atau tidak
Penghitung Transaksi Aplikasi adalah nilai dua byte yang bertambah untuk setiap transaksi.
Unpredictable Quantity adalah bidang 4-byte unik yang dihasilkan oleh terminal dan diteruskan ke Chip untuk membantu menghasilkan kriptogram unik
MasterCard mengamanatkan semua bidang di atas kecuali kode negara terminal untuk hadir di DE 55 untuk transaksi EMV Penuh bersama dengan Kriptogram Aplikasi, Information Informasi Kriptogram & Information Aplikasi Penerbit.
Visa juga menerima / mengidentifikasi semua bidang yang disebutkan di atas bersama dengan beberapa bidang lain seperti profil kemampuan Terminal dan Hasil Skrip Penerbit.
Bagaimana Kriptogram dihasilkan
Setelah menerima permintaan pembuatan kriptogram bersama dengan knowledge dari terminal, Chip (ICC) menghasilkan Kriptogram Aplikasi 8-byte menggunakan Kunci Grasp Kriptogram Aplikasi (MKAC). Chip melakukan tindakan di bawah ini untuk menghasilkan Kriptogram Aplikasi (AC).
1) Kunci sesi (SKAC) dibuat Menggunakan MKAC & ATC**. Kunci sesi unik untuk setiap transaksi.
2) Menghasilkan Kriptogram Aplikasi menggunakan kunci sesi dan knowledge dengan menerapkan 3DES atau AES.
** Penggunaan ATC dalam pembuatan kunci sesi tunduk pada metode / algoritme yang digunakan untuk pembuatan kunci sesi.
Dalam kasus transaksi on-line, kriptogram otorisasi ini disebut sebagai ARQC. Chip mengirimkan ARQC ke terminal, yang pada gilirannya mengirimkan ARQC dalam pesan otorisasi ke host penerbit untuk otorisasi.
Respon Kriptogram
Setelah menerima ARQC dalam permintaan otorisasi, sistem penerbit, memvalidasi ARQC dan menghasilkan kriptogram respons (ARPC) menggunakan modul keamanan seperti HSM.
Jika verifikasi ARQC berhasil, maka ARPC dibangkitkan menggunakan ARQC sebagai salah satu inputnya.
Jika verifikasi ARQC tidak berhasil, maka ARQC tidak boleh digunakan sebagai enter untuk pembangkitan ARPC.
Ada dua metode yang dapat digunakan untuk menghasilkan ARPC.
Metode 1 menghasilkan ARPC 8-byte menggunakan ARQC 8-byte dan kode Respons Otorisasi (ARC) 2-byte sebagai enter.
Metode 2 menghasilkan ARPC 4-byte menggunakan ARQC 8-byte, Card Standing Replace (CSU) 4-byte, dan Information Otentikasi Kepemilikan 0–8 byte sebagai enter.
ARPC dikirim dalam pesan tanggapan otorisasi dari penerbit ke terminal melalui pengakuisisi.
