चिप प्रमाणीकरण प्रोग्राम
चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए मास्टरकार्ड पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।[1] सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, स्टारबर्स्ट डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित प्रमाणीकरण प्रोटोकॉल में से भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित फ़िशिंग ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।[2]
ऑपरेटिंग सिद्धांत
सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
- कोड/आइडेंटिटी
- किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ दशमलव वन-टाइम पासवर्ड बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।
प्रतिक्रिया
यह मोड पिछले का विस्तार है, न केवल यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।
- साइन
- यह मोड पिछले का विस्तार है, जहां न केवल यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।
उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
- मोड1
- यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
- मोड2
- यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है
- ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ
- इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।[3]
मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।
प्रोटोकॉल विवरण
तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से डेटा पैकेट आउटपुट करने के लिए कहता है जो काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण सम्मिलित होता है। इस पुष्टिकरण संदेश में एक संदेश प्रमाणीकरण कोड (आमतौर पर सीबीसी-मैक (CBC-MAC)/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का तरीका प्रदान किया कि पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।
ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:
- कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
- सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
- स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
- कैप डिवाइस आईएआई मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
- इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।
वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 8016) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 7716) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।
आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।[4] इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।[clarification needed] इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "टेस्ट" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।[4]
उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
असंगति
मूल सीएपी विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक सामान्यतः अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।
हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस (APACS) द्वारा परिभाषित सीएपी सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।
भेद्यता
कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं सार ड्रिमर, स्टीवन मर्डोक, और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान[4] किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय (Radboud University) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में भेद्यता पाई, जो अटैकर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी (USB) से जुड़े रीडर को आदेश देने की अनुमति देता है।[5]
उपयोगकर्ता
स्वीडन
- नवंबर 2007 में सीएपी का उपयोग करते हुए नॉर्डिया।[6] नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।
यूनाइटेड किंगडम
- यूके भुगतान प्रशासन ने यूके के बैंकों द्वारा उपयोग के लिए कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
- बार्कलेस बैंक
- अलस्टर बैंक
- नेटवेस्ट
- को-ऑपरेटिव बैंक एंड स्माइल
- रॉयल बैंक ऑफ स्कॉटलैंड
- लॉयड्स बैंक
- नेशनवाइड
- बार्कलेस, लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
- बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।[7][8] उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
- एचबीओएस द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।[4]
सॉफ्टवेयर कार्यान्वयन
टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन मौजूद है[9] जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।
ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।
यह भी देखें
संदर्भ
- ↑ Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe
- ↑ Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.
- ↑ Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden
- ↑ 4.0 4.1 4.2 4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.
- ↑ Designed to Fail: A USB-Connected Reader for Online Banking
- ↑ New security solution | nordea.se, in Swedish.
- ↑ "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.
- ↑ Barclays to launch two-factor authentication, The Register, 2006-08-09.
- ↑ पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30.
{{cite web}}: Check|url=value (help)
