 Kart bilgilerinin, kredi kartının manyetik bandının yanı sıra kart üzerinde bulunan ve güvenlik unsurları artırılmış bir mikroçipe de yazıldığı kart tipidir. Kredi kartlarında yaşanan taklit, sahtecilik ve dolandırıcılıkları en aza indirmek amacıyle çipli kartların kullanımına geçilmiştir. Çünkü çipli kartların kopyalanması manyetik şeridin kopyalanmasına göre çok daha zor ve maliyeti çok daha fazladır. Ayrıca çipli kartlarla yapılan alışverişlerde kullanılan 4 rakamlı şifre (PIN) ile de kartların kayıp/çalıntı durumunda kullanılmasının önüne geçilmesi amaçlanmaktadır. |
| Genel Özellikler |
- Mevcut kartlara göre daha esnek, daha işlevsel, daha kullanışlı ve çok daha güvenilirdir. Ortalama işlem maliyetleri daha düşüktür.
- İçerikleri yönünden; sadece hafızalı, güvenlik mantığı olan hafızalı ve kendine ait işlemcisi olan hafızalı çip kartlar olmak üzere üç gruba ayrılabilirler. Dış dünya ile bağlantıları açısından, Contact ve Contactless olmak üzere iki gruba ayrılabilirler.
- Microişlemci tipi (6085, 8051 vs.), mask ROM miktarı, RAM miktarı, kalıcı memory tipi EPROM (Erasable Programmable ROM), EEPROM (Electrically EPROM) ve miktarı, clock hızı, elektriksel parametreler (voltaj ve akım), iletişim parametreleri (asenkron, senkron, byte, block), uyku modu (düşük akımda Stand-by Operasyonu) ve Co-processor (Public Anahtar Şifrelendirmesi) varlığı çip spesifikasyonu ve maliyeti bazında anahtar parametrelerdir.
- ISO-7816 standart setiyle, plastik kartın boyutları, contact kartlarda çipin kart üzerindeki yeri, kart materyali (PVC vb.), opsiyonel olarak manyetik şerit, imza bölgesi, hologram ya da resim ve kabartmalar, dış dünya ile bağlantılar (power, ground, reset, I/O, clock) ve son olarak çevresel parametreler (voltaj, sıcaklık, esneme vb.) belirlenmiştir.
|
| Hayata Geçme Süreci |
- Çipli kartlar temelde, bir entegre devrenin oluşturulması, bunun üzerine bir işletim (dosyalama) sistemi ve uygulama(lar) yerleştirilmesi, kişiselleştirme işlemi ve bu işlemi takiben son halini alan çipin bir plastik karta monte edilmesi gibi aşamalarla üretilir.
- Ancak güvenlik, esneklik, kart sahibi bazında konfigürasyon tanımlayabilme ihtiyacı ve çoklu uygulamaları mümkün kılmak gibi birtakım kaygılar sebebiyle çipli kart üretim işi bu kadar kolay gerçekleşmemektedir. Üretim aşamasında birçok iş kolu, değişik uzmanlık alanları ve çok iyi bir entegrasyon gerektirmektedir.
- Bu noktada çip dünyasına ilk geçiş sürecinde, EMV standardizasyonu kapsamında her yönüyle tamamlanmış ve sertifikalanmış durumdaki hazır ürünlerin kullanılması, uyumluluk gereksinimlerini daha kolay karşılayabilmek açısından kritik bir başarı faktörü olarak düşünülebilir.
|
| EMV |
- EMV, Europay-MasterCard ve VISA tarafından geliştirilmiş ve chip kart teknolojileri aracılığıyla, küresel ödemeler yapısında işlerliğinin sağlanmasına yönelik kuralları içeren uluslararası bir sertifikasyon programıdır. EMV Sertifikasyonu, chip kartlar ile, chip kart kabul eden terminallerde işlem yapılabilmesini olanaklı kılan sistemin çerçevesini oluşturmaktadır. EMV Sertifikasyon Programı, teknolojik altyapının uyumlu hale getirilmesinin ardından, 2004 yılı sonuna kadar AB bölgesi ülkelerinde mevcut olan tüm manyetik şeritli kartların yerini EMV uyumlu chip kartların almasını öngörmektedir. Bu teknoloji ve EMV sertifikasyon standartları aracılığıyla kart sahipleri ve satış noktasındaki işlemler açısından üstün güvenlik ve esneklik sağlanacaktır.
|
| Güvenlik ve Metodlar |
| Kart Doğrulama Metodları (CAM-Card Authentication Methods) |
- SDA-Static Data Authentication
- DDA-Dynamic Data Authentication
- Standard DDA
- Combined DDA (CDA)
|
| Kart Hamili Tanımlama (CVM-Cardholder Verification Methods) |
- PIN Şifreleme ve Doğrulama
- Anahtarlar ve Sertifikalar
|
| Güvenli Mesajlaşma (Secure Messaging) |
- Bütünlük ve doğrulama amaçlı MAC Session Key türetilmesi ve hesaplaması
- Gizlilik amaçlı Encipherment Session Key türetilmesi ve şifreleme / şifre çözme
|
| Terminal Güvenlik ve Anahtar Yönetimi |
- Tamper-Evident cihazlar, PIN Pad'ler
- Key" Depolama, Kullanım, Geri Çekim
|
| Güvenlik Mekanizmaları |
| Simetrik Teknikler (Secret Keys) |
- Şifrelendirme (Encipherment)
- MAC - Message Authentication Code
- Session Key Derivation
- Master Key Derivation
- DES - Data Encryption Standard Algoritması
|
| Asimetrik Teknikler (public, private keys) |
- Digital Signature Scheme
- RSA - Rivesh, Shamir, Adleman Algoritması
|
| Hash Algoritmaları |
- SHA-1 - Secure Hash Algoritması
|
| Simetrik ve Asimetrik Teknikler |
| Simetrik Teknikler |
- Orijinal bilgiyi hazırlayanın da, bilgiyi alacak olanın da "aynı" gizli anahtarla (Secret Key) transformasyon yaptığı şifreleme teknikleridir.
- Gizli anahtarı bilmeden, bilgiyi hazırlayanın ya da alacak olanın transformasyonuna ulaşmak kolay hesaplanabilir olmamalıdır.
- Çip dünyasında Online Kart ve Issuer Doğrulaması, Issuer Script Update'leri ve Kişiselleştirme Güvenliği amaçlarıyla kullanılmaktadır.
|
| Asimetrik Teknikler |
- Birbiriyle bağlantılı olan Public ve Private Key transformasyonlarını kullanan şifreleme teknikleridir. Private Key ile imzalama, Public Key ile doğrulama yapılır.
- Verilen bir Public Transformasyon'a ait olan Private Transformasyon'a ulaşmak kolay hesaplanabilir olmamalıdır.
- Çip dünyasında Offline Veri Doğrulaması (SDA, DDA) ve Offline PIN şifrelemesi amaçlarıyla kullanılmaktadır.
|
| Hash Algoritmaları |
- Genellikle bir ortamdan başka bir ortama taşınması gereken verilerin, taşınma sırasında deformasyona uğra(tıl)madıklarını teyid etmek için, sabit uzunlukta ve orijinal veriden çok daha kısa olan bir veriye adresleme işlemine Hashing adı verilir ve bu işlem iki temel kurala uygun olmalıdır:
- Çıktısı verilen bir veriden orijinal veriye ulaşmak kolay hesaplanabilir olmamalı ve bilinen bir orijinal veriden oluşan çıktı için, aynı çıktıyı üreten ikinci bir veri bulabilmek kolay hesaplanabilir olmamalıdır.
- Hash algoritmalarının birebir adreslemeye yakın (collision-resistant) olabilmesi için, aynı çıktıyı
üreten 2 farklı orijinal veriye ulaşmak kolay hesaplanabilir olmamalıdır.
|
| SDA |
| SDA, bu metotla işleyebilen kartlar üzerindeki verilerin kişiselleştirme safhası sonrasında uygun olmayan yollarla değiştirilmediğini doğrular. SDA destekleyen çipli kartlar şu verileri bünyesinde barındırmalıdır |
- Certification Authority Public Key Index
- Issuer Public Key Sertifikası, Artanı, Üssü
- Signed Static Application Data
|
| SDA destekleyen terminaller şu şartlara uymalıdır: |
- Her bir RID (Registered Application Provider Identifier) için 6 değişik CA Public Key'i depolanabilmelidir.
- İleride çoklu algoritmaları destekleyebilmek için bu Key'ler ile diğer key-bağlantılı bilgileri ilişkilendirilebilmelidir.
- Kart tarafından sağlanan CA Public Key Index'i ve RID bilgisi için ilgili Public Key'leri ve diğer key-bağlantılı bilgilerin yerini saptayıp bulabilmelidir.
- SDA metodu, Sign ve Recover işlemlerini yapabilmek için tersinir algoritmalar kullanmalıdır.
|
| DDA |
| DDA, bu metodla işleyebilen kartların taklit edilememesini sağlar. |
| DDA destekleyen çipli kartlar aşağıdaki verileri bünyesinde barındırmalıdır: |
- Certification Authority Public Key Index
- Issuer Public Key Sertifikası, Artanı, Üssü
- ICC Public Key Sertifikası, Artanı, Üssü
- ICC Private Key
|
| Aşağıdaki veriyi yaratabilmelidir: |
- Signed Dynamic Application Data
|
| DDA destekleyen terminaller, SDA destekleyenlerle aynı şartlara uymalıdır. Terminal ve kartta yine tersinir algoritmalar kullanılmalıdır. DDA ve CDA metodları arasında sadece PIC bulunduktan sonrasında başlayan bir işleme farkı vardır. |
| DDA |
- Doğrulama işlemi kart aksiyon analizinden önce yapılır.
- Terminal INTERNAL AUTHENTICATE (DDOL{data elements, UN}) komutu gönderir.
|
CDA |
- Doğrulama ve Application Cryptogram yaratılması işlemi birlikte yapılır.
- Terminal ilk GENERATE AC (CDOL1{data elements, UN}) komutunu karta gönderir.
- Kart AAC ile cevaplarsa CDA yapılmaz, TC veya ARQC ile cevaplarsa CDA yapılır.
- CDOL(Card Risk Management DOL), TC(Transaction Certificate), ARQC(Auth.Req.Crypt.)
|
Fallback |
| Çip dünyasında tek çeşit fallback vardır, o da çip okuyucu bir şekilde çiple iletişim kuramadığı zaman söz konusudur. Elektriksel olarak iletişim kurup GetATC komutu başarısız olursa kart non-EMV kabul edilir. |
| Tüm fallback'lar issuer onaylı olarak işleme konmalıdır. |
| Tümü sıfır floor limit ile gerçekleştirilmelidir. |
| Cihaz üzerinde manyetik şeridin okunması gerekliği belirtilmelidir. |
| Offline-only cihazlarda fallback yapılamaz. |
| Issuer, otorizasyon mesajında işlemin fallback işlemi olduğu konusunda uyarılmalıdır. |
| Domestik yaklaşımlar, EMV olmayan (çipli ya da çipsiz) ürünlerin kabulünü etkilememelidir. |
