交易期间EMV ODA,CA与颁发者证书之间是什么关系?
离线数据验证是验证卡真实性的过程。终端加载有CA公钥。
ODA =脱机数据身份验证,ODA(SDA / DDA / CDA)概念使用RSA加密,因此CA和颁发者进入了这个位置。
you can understand connection between CA and issuer with help of below figure:-
SDA-SDA确保ICC数据的真实性。 SDA之后,请确保来自ICC的数据是真实的,并且未被任何人更改。但是SDA不能保证ICC数据的唯一性。您可以看到SDA的图就像,
在这里您可以看到在SDA期间正在使用两个RSA对,(1)-IssuerRSA
((2)-CA_RSA
此图非常具有描述性,很容易理解SDA的流程。您也可以检查EMV BOOK 2以获取有关SDA的更多描述。而DDA流程就像,
在这里您可以看到DDA中正在使用3个RSA对,
1-IssuerRSA
2- CA_RSA
3- ICC RSA(新的RSA密钥在所有卡中都是唯一的,每个卡在个性化卡期间都会生成此RSA对,因此每个卡的RSA对将有所不同)
SDA保证卡上的数据有效,因为我们信任签署数据的高级证书颁发机构。但是,攻击者可以记录卡片会话并创建(例如)一张新的德式卡片,因为此处所有会话都使用相同的数据。
但是在DDA流程中-我们可以说它正在检查SDA +通过终端将随机数据提供给卡进行签名,并且在此部分使克隆卡成为不可能,因为每个会话使用不同的随机数,因此在下一次记录卡会话时将不起作用卡会话。
数据验证用于在POC上收到付款请求时验证EMV付款卡的真实性。 EMV CA用于生成EMV根证书,并为向客户发行支付卡的银行发行EMV发行者证书。 CA公钥,发行者证书和带有持卡人数据的SDA签名的索引被发送到POC,POC可以从POS存储中获取CA公钥,使用CA公钥来验证发行者证书中的发行者RSA密钥,并使用发行者RSA密钥解密SDA签名,并验证已签名的内容与卡数据相同。在此过程中,还使用EMV CA CRL和EMV颁发者CRL来验证证书是否被吊销。