个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
在 EMV book 2: security and key management在第 151 页上说,
"The counter results in uniqueness to the cryptograms (ARQC) and provides tracking values for the host verification services, allowing replayed transactions and cloned cards to be identified."
最佳答案
使用由终端生成的不可预测数字 (UN) 使终端可以控制卡必须生成的密码的新鲜度。因此,对于相同的交易数据(授权金额、交易日期/时间等或 CDOL1 中的任何内容),卡必须生成新的(和不同的)签名(“密码”)。因此,UN是终端向卡发送的挑战。反过来,卡必须签署该挑战(连同交易数据)以证明它收到了该特定挑战。
问题在于,使用 UN,终端(以及稍后验证交易的发卡机构主机)只能确保该卡在其生命周期内签署了特定的挑战 + 交易数据打包一次。无法确定该签名是在卡和终端之间的特定交互过程中创建的。同样的交易也可能在终端和卡之间的早期交互中被窃听攻击者过度服务,或者主动攻击者可以在更早的时间查询卡中的特定输入数据(UN + 交易数据)。
例如,可以访问真卡的攻击者可以为 UN 的所有可能值和一组特定的交易数据(攻击者后来在真正的终端支付时所期望的完全相同的一组)预先生成交易签名。然后攻击者拥有一组 预播放 数据:
联合国交易数据密码
0 XXXXXXXXXXXXXXXX AAAAAAAAAA
1 XXXXXXXXXXXXXXXX
3 XXXXXXXXXXXXXXXX CCCCCCCCCC
4 XXXXXXXXXXXXXXXX DDDDDDDDDD
…………
配备了一些卡模拟器硬件,可以在收到 UN 和预期的交易数据后发送给定的密码,攻击者可以前往商家的真正终端并使用模拟器硬件进行支付。
为了克服这种可能的攻击场景,使用了由卡管理的附加单调递增交易计数器 (ATC)。这也使卡可以控制生成的密码的新鲜度。因此,卡片确保它生成的每个签名/密码都不同于它之前生成的所有签名。甚至对于具有完全相同的联合国和交易数据的两个交易也是如此。
ATC UN 交易数据密码
0 Z XXXXXXXXXXXXXXXX GGGGGGGGGG
1 Z XXXXXXXXXXXXXXXX HHHHHHHHHH
3 Z XXXXXXXXXXXXXXXX IIIIIIIIII
………………
为了防止重复使用旧交易,发卡主机可以拒绝 ATC 值低于它在交易中观察到的最高 ATC 值的交易。
关于cryptography - 存储在EMV芯片中的Application Transaction Counter用于ARQC生成的目的是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36370517/
25
4
0
我将从 ColdFusion 8 迁移到 ColdFusion 10。 目前,在我的Unix根目录下,我只有1个Application.cfm,在这个根目录下我有大约10个子目录(以前的程序员就是这样
这个问题在这里已经有了答案: Is it possible to write a program in Java without main() using JDK 1.7 or higher? [d
我是编写 Windows 服务应用程序的新手,并且遇到了问题。 我用 Delphi 编写了一个普通的 Windows 应用程序来检查和调试代码的主要部分,现在必须将其转换为 NT 服务。 我的代码必须
我在 Visual Studio 2013 中运行它。 对于 Application.Current.Shutdown 我得到: “Application”是“System.Windows.Appli
给定以下 C++ 代码“mini.cpp”: #include "iostream" using namespace std; int main() { cout << "Hello Worl
什么是“服务器应用程序”?我被要求写一篇关于“服务器应用程序”中的错误的文章,但我不熟悉确切的术语。它们只是网络应用程序,还是其他东西? 最佳答案 “服务器应用程序”是一种应用程序,它等待来自其他应用
JavaFX 应用程序类必须扩展 javafx.application.Application package automationFramework import java.util.concurr
I have implemented deeplinking in my application that open my app (if available) but my app opens
我被困在一个非常基本的问题上。我使用 JavaFX 创建了一个简单的 hello world 程序,它在 JDK 1.8 上运行良好。但是当我切换到 JDK-11 时,它会抛出以下异常: Error:
我可以让Application Insights显示正在运行的每小时使用情况日志,但是有没有一种方法可以每小时显示一次平均使用情况,以查看必须在一天中的哪个时段使用网站? 最佳答案 在您的资源的概览
有谁知道为什么在.NET应用程序中实现Application Insights时不会收集用户代理信息,却能够在浏览器中收集统计信息? 我很希望能够针对特定的用户代理字符串过滤出请求,但是看起来我无法看
我有多个应用程序使用 Application Insights for Production Data。我正在尝试使用 City 遥测字段来映射我们当前的用户。这些数据的跟踪似乎非常不一致,并且在大多
有没有办法在 ASP.NET Web 应用程序中禁用 Application Insights?假设我想关闭生产中运行的应用程序中的所有数据收集。 最佳答案 如果 ikey 在 Application
如何在 Azure Application Insights 中将时差转换为毫秒 let startTime = todatetime('2017-05-15T17:02:23.7148691Z');
我正在修改一个用 Coldfusion 编码的现有 Web 应用程序。在现有代码中,大部分文件夹包含一个 Application.cfm 文件,该文件设置应用程序变量 但是,我对这些应用程序的部分修改
我在 Application Insights Analytics 中有一些数据,它有一个动态对象作为自定义维度的属性。例如: | timestamp | name
首先,我需要的是-n WebBrowser-s,每个都在自己的窗口中执行自己的工作。用户应该能够看到所有这些内容,或者仅看到其中一个(或不显示任何内容),并且能够对每一个执行命令。有一个主要形式,没有
我已收到以下代码以添加到封闭代码(受密码保护)中,以便可以发现错误。 On Error Resume Next: Err.Clear Application.SetOption "Error Trap
我正在使用 Delphi 7。我试图在非 VCL 单元中添加一个调用“application.processmessages”的过程。我收到错误“未声明的标识符:应用程序”。 如何从非 vcl 单元引
考虑一个非外汇现有应用程序,我们将其称为Business。 Business 公开一个 Model 对象,该对象又公开一些属性。 Model 还接受这些属性的监听器。 我的问题是关于向此类应用程序添加
我是一名优秀的程序员,十分优秀!