EMV离线数据认证-CDA模式3

EMV Offline Data Authentication - CDA Mode 3

EMV 规范 4.3 第 2 卷使用图表定义了 CDA(“组合数据身份验证”)的不同模式:

+----+-------------------+-----------------------------------+
|Mode|Request CDA on ARQC|Request CDA on 2nd GEN AC (TC)     |
|    |                   |after approved online authorisation|
+----+-------------------+-----------------------------------+
| 1  |        Yes        |              Yes                  |
| 2  |        Yes        |              No                   |
| 3  |        No         |              No                   |
| 4  |        No         |              Yes                  |
+----+-------------------+-----------------------------------+

我的问题: 如果 PinPad 处于 CDA 模式 3,它是否真的执行数据验证步骤?

我正在使用的 PinPad 处于 CDA 模式 3,它似乎在 ARPC validation/TC 生成步骤的某个时间这样做,TVR 的字节 1、位 8 被设置为零证明了这一点那时。然而,上面的图表会让我相信它不是。

不幸的是,我没有 UL 或 Collis 工具来进入 PinPad 以查看 PinPad/chip 流程。

对您的问题的简短回答是“是”——接受设备将执行卡验证。说到ODA,无论CDA模式如何,也可能是SDA(已经过时)或DDA。

CDA模式3仅表示如果其他CAM(卡认证方法)可用,则不会执行ODA。对于离线接受的交易,它仍然会发生。

为了澄清,卡验证方法:

  • Offline CAM = 基于 PKI 的 Offline Data Authentication which CDA is a example of
  • 在线 CAM = 在线通信期间基于对称加密的密码验证。

在 EMV 实施的早期,验收设备的处理能力非常有限 - 它们大多基于 8 位微控制器,这意味着执行具有更大模数的 RSA 需要很长时间。这就是引入 CDA 模式 3 的原因 - 以避免在在线 CAM 可用时执行 resource-heavy 离线 CAM - 在在线交易中。这在当时被认为是一种优化,并被 schemes 和 EMVCo 推荐。 在今天,CDA 模式 1 被广泛采用,我不记得最近有任何关于 CDA 模式 3 的类型批准。如果你有一个带有它的设备,你可能正在处理一个批准过期的旧设备。

您提到的 ARPC 验证(Issuer Authentication 步骤)未反映在 TVR B1b8 中 - 这仅表示未执行 ODA,这(除了 CDA 模式 3 情况外)也可能是卡和终端不支持时任何常见的身份验证方法(某些 online-only 终端不需要执行 ODA;某些 non-expiring 卡也不支持 ODA)。发行者身份验证可能是显式的(当卡中的 AIP 指示它并且您在响应中收到 ARPC 时),但也可能隐式发生(当 AIP 未指示它但卡在 CDOL2 中请求 ARPC 时)并且您可能看不到它指示TVR.