Здравствуйте, уважаемые читатели. Сегодня наш ученик расскажет нам о том, как можно проверить у банковских карт... Что проверить? Читаем дальше.
Предыдущие публикации по финансовым технологиям вы можете найти здесь.
"Продолжаю цикл заметок про финтех. Проверки CVV2 и DCVV проще, чем проверки PIN-кода, т.к. не требует многократных перешифровок при передаче запросов-ответов.
CVV2 передается в открытом виде, защищается https-шифрованием (рассмотрим отдельно). Это защищенное соединение, которое вы можете наблюдать в адресной строке браузера как значок «замка» или наименования «Подключение защищено» и начало ссылки с https://...
Итак, 1-ый шаг: вы покупаете что-то в интернет-магазине и вводите CVV2 –3-4 цифры с оборота карты, номер карты PAN, срок действия карты.
2) Затем интернет-магазин формирует запрос с CVV2, PAN, сроком действия карты и передает его банку-эквайеру, тоже в открытом виде.
3) Банк-эквайер передает те же данные в платежную систему.
4) Платежная система передает данные в банк-эмитент.
5) Банк-эмитент внутри себя передает данные в HSM.
6) HSM вычисляет заново «свое» значение CVV2, применяя криптографическую функцию DES к PAN, Service_Code и CVV_Key_A секретного ключа для проверки CVV2, хранящегося в HSM.
7) Далее сравнение введенного вами, присланного CVV2 и CVV2 вычисленного. Если они совпадают, то HSM передает успешный ответ, который направляется по всей этой цепочке в обратном порядке в интерфейс интернет-магазина, в котором совершалась покупка. Если значения не совпадают, то транзакция отклоняется и возвращается ошибка.
Теперь рассмотрим проверку DCVV – это вариант CVV, который используется для бесконтактных платежей (EMV, например, когда прикладываете карту или телефон к POS). DCVV формируется уникальным для каждой транзакции и не может использоваться повторно.
1) Вы прикладываете карту для платежа к POS-терминалу, в это время чип карты генерирует уникальное значение DCVV так: чип берет PAN, значение своего счетчика транзакций (он увеличивается каждый раз при использовании карты) и случайное число от терминала оплаты, все это «перемешивается» через криптографический алгоритм с секретным ключом от банка-эмитента DCVV_Key, хранящимся внутри чипа.
2) Данные передаются в банк-эквайер.
3,4) Данные передаются через платежные системы в банк-эмитент карты.
5) Данные передаются в HSM, который 6) повторяет действия чипа карты – высчитывает «свое» значение DCVV через критографическую функцию DES от полученных значений - PAN, счетчика транзакций с чипа, случайного числа от терминала и от хранящегося внутри него секретного ключа DCVV_Key.
7) HSM сравнивает рассчитанное значение DCVV с полученным. Если совпали, то возвращает ответ по той же цепочке обратно на POS-терминал, если нет – то отклоняет транзакцию/платеж и возвращает сообщение об ошибке. Все это делает каждый платеж-транзакцию уникальной, и если мошенник как-то перехватит эти данные, то не сможет их использовать.
Итак, промежуточные итоги заметок: все методы аутентификации основаны на 3-х принципах кибербеза — что вы знаете, что у вас есть, кем вы являетесь. Карты используют все три принципа для создания многослойной защиты.
Изучили два алгоритма проверки PIN. Online PIN проходит сложные перешифровки PIN-блоков и проверку через PVV (Pin Verification Value) в HSM банка. Ofline PIN проверяется локально на чипе карты через сравнение хешей, что обеспечивает работу без связи с банком. Рассмотрели эволюцию кодов подтверждения — от устаревшего CVV1 на магнитной полосе до современного DCVV для бесконтактных платежей. Ключевое отличие: статические коды (CVV1, CVV2) не меняются, динамический DCVV генерируется для каждой транзакции. Service Code: Изучили структуру 3-х значного кода, который участвует в расчете CVV и определяет правила использования карты — тип карты, требования к авторизации и ограничения применения.
Все криптооперации выполняются в защищенных HSM-модулях. Секретные данные никогда не передаются в открытом виде — PIN передается в зашифрованных блоках, а проверка происходит через сравнение математических "отпечатков" (хешей, PVV).
Все изученные методы создают многоуровневую защиту от мошенничества и обеспечивают безопасность ваших ежедневных операций".
*********
Если вам нравятся наши публикации, то вы можете поддержать канал донатом.
У нас есть много полезных и интересных публикаций.
Наш клуб 800Million совместно с Центром психологической безопасности (ЦПБ)
регулярно проводит финансовые курсы. В этой подборке собрана информация о курсах, отзывы о них, а также рассказано о преподавателе.
А это пост, в котором рассказано обо всех наших технологиях.
Здесь - наши статьи.
Здесь подборка с нашими рассказами о 800Million.
Кроме того, у нашего клуба есть своя картинная галерея нейроживописи.
Стиль - супрематизм. Картины созданы нашим мастером. Любую из работ вы можете заказать для приобретения.