EMV nedir?

EMV, Europay Mastercard Visa kelimelerinin kısaltmasıdır. Ödeme kartlarında yonga-çip teknolojisinin standartlarını oluşturmak üzere, 1994 yılında MasterCard International’ın da dahil olduğu EMV adında bir çalışma grubu başlatılmış ve bu başlangıç, EMV standartlarının geliştirilmesi ile sonuçlanmıştır. MasterCard kredi kartları ve Maestro banka kartları, üzerlerinde ödeme amaçlı yonga taşıdıklarında, bu kartların üretimi EMV standartlarında yapılmaktadır.

EMV standartları, üzerinde çip taşıyan MasterCard ve Maestro kartların dünyada tüm terminallerde sorunsuz olarak kullanılabilmesi için alınan önlemlerin temel taşıdır. EMV spesifikasyonlarının yönetilmesi ve geliştirilmesi için bu amaçla EMVCo adlı bir şirket kurulmuştur. Akıllı kartlar ödeme ve ATM işlemlerinde manyetik şeritli kartların yerini almaya başlamıştır.

EMV uygulamasında kart kullanıcıları, kredi ve debit işlemleri için şatış işleminin yapıldığı terminalden PIN girerek kimlik denetimini gerçekleştirirler. PIN, terminal ile sayısal sertifika yöntemini kullanarak kimlik denetimini gerçekleştiren akıllı kart tarafından doğrulanır. İşlem detayları, kart kullanıcısı ile kartı kullanıcıya veren banka arasında paylaşılmış olan simetrik anahtar ile MAC (mesaj kimlik denetimi kodu) kullanılarak kimlik denetiminden geçirilir.

''CHIP and PIN'' uygulaması kart dolandırıcılığının artmasına karşı bir çözüm olarak tanıtılmıştır. CHIP uygulaması kartın kopyalanmasının önüne geçerken, PIN işlemi çalınmış kartların kötüye kullanımını engellemektedir. EMV’nin diğer bir faydası ise kartı kullanıcıya sağlayan bankaların sorumluluğunu azaltmasıdır. Örneğin akıllı kartı kullandıktan sonra ıslak imza ile işlem onaylanıyorsa sorumluluk hizmeti satana, PIN ile işlem onaylanıyorsa sorumluluk kart kullanıcısına kalmaktadır.

Dolayısıyla sistemi tasarlamakla görevli kartı sağlayan bankaya hiç bir sorumluluk kalmamaktadır. Bu durum, ''sorumluluğun kaydırılması'' olarak tanımlanmaktadır. Akıllı kart kullanıcılarının akıllı kartlarının çalınıp kullanıldığı hakkında birçok şikayetleri, geçmiş yıllarda bankalar ve finansal hakem servisleri tarafından “Sizin kartınız CHIP okumalı ve PIN kullanımlıdır. Siz PIN’iniz hakkında umursamaz davranmışsınızdır.” denilerek reddedilmiştir.

emv

Kartın asıllanması

EMV akıllı kartları farklı kriptografik anahtarlar ile birbirinden bağımsız ayrık uygulamalar içerebilirler. Bu uygulamalar satış yerlerinde debit ya da kredi kartı kullanımı, ATM kullanımı, çevrimiçi bankacılık uygulamalarında MasterCard CHIP kimlik denetimi programı kullanımıdır. Kart terminale takıldığı vakit ilk önce desteklenen uygulamaların listesini ister ve bir tanesini seçer. Daha sonra gerçek bir işlem Get Processing Option komutu karta gönderilerek başlatılır.

Sonrasında terminal kartın ilgili dosyasından read record komutu ile kart kullanıcısının bilgilerini okur. Bu bilgiler kartla ilgili (hesap numarası, kartın son kullanım günü), eski teknoloji ile uyumlu veri ile ilgili (manyetik şeritin kopyası) ve protokol kontrol parametreleri (kart kullanıcısı doğrulama metodu listesi, kart veri nesne listesi) ile ilgili olabilir.

EMV’nin bazı türlerinde statik veri asıllama SDA (static data authentication)} kullanılmaktadır. Statik veri asıllamada akıllı kart RSA (Rivest Shamir Adleman) yapabilecek yeterlilikte değildir. Statik sertifika ile asıllama işlemi gerçekleştirilir. Kullanılan diğer bir asıllama tekniği ise dinamik veri asıllama {DDA (dinamic data authentication) tekniğidir. Dinamik veri asıllama tekniğinde kart RSA yapabilecek kapasitededir ve asıllama işlemi terminalden gönderilen verinin RSA gizli anahtarı ile imzalanmasıyla gerçekleştirilir.

SDA akıllı kartları tekrarlama saldırılarına açıktır. Kartın içerisinden sertifika okunup, sahte bir karta yazılabilir. Sahte kart daha sonra banka ile çevrimiçi bağlantısı olmayan bir satış noktasında kullanılabilir. Gerçek zamanlı iletişim olmadığı için alışveriş yapılmadan işlem sırasında oluşturulan MAC kontrol edilmeyecektir. DDA akıllı kartları banka ile iletişim çevrimdışı olsa bile sahteciliğin önüne geçebilmektedir.

Kart sahibi doğrulaması

Kart sahibi doğrulama adımının başlangıcında, terminal ile akıllı kart hangi kart sahibi asıllama metodunun kullanılacağı konusunda anlaşırlar. Kart sahibi asıllama metodu PIN kullanılması, ıslak imza kullanılması ya da hiçbir şey kullanılmaması şeklinde olabilir. Akıllı kartlarda en fazla PIN doğrulaması kullanılırken en az kullanılan hiç bir doğrulama kullanılmamasıdır. Bazı akıllı kartlarda PIN doğrulamasından geçilmezse ıslak imzaya izin verilebilmektedir.

Bu durumda satıcı yapacağı satıştan sorumlu olacağı için genellikle böyle bir durumu reddetmektedir. Ayrıca CHIP ve imza şeklinde kartlar da mevcuttur. Bu kartlar PIN hatırlayamayan kullanıcılar tarafından tercih edilmektedir. Bazı akıllı kart kullanıcıları da CHIP ve imza kartını ''CHIP and PIN'' kartının kendi üzerlerine sorumluluk yüklediğini düşündüğü için almak istemektedir.

Bununla birlikte kullanılan kartların büyük çoğunluğu PIN doğrulamalıdır. PIN doğrulamalı sistemlerde PIN numarası karta gönderilir ve kart girilen PIN numarası ile kendi içerisinde sakladığı PIN numarasını karşılaştırır. Eğer girilen PIN ile kartın içerisindeki PIN aynı ise kart 0x9000 cevabını döner. 0x9000 PIN doğrulamasının gerçekleştirildiği anlamına gelmektedir. Eğer girilen PIN ile kartın içerisindeki PIN değeri aynı değil ise kart 0x63Cx değeri döner.

Bu dönüş kodu doğrulamanın yapılmadığı ve ''x'' adet deneme hakkının kaldığı anlamına gelmektedir. ATM kart sahibi asıllaması yukarıda anlatılan çevrimdışı PIN asıllama yönteminden farklı olarak çevrimiçi PIN asıllamasını kullanmaktadır. Burada kullanıcı tarafından girilen PIN numarası şifrelenerek kartı kullanıcıya veren bankaya gönderilir. Banka karşılaştırmayı yaparak cevabı ATM’ye döner. Bu makale ile anlatılacak atak yöntemi çevrimdışı sistemler için uygulanabilmektedir.

Ülkeler arasında kullanıcının asıllanması açısından farklılıklar vardır. İngiltere, Belçika gibi ülkelerde yukarıda anlatılan sistem çevrimdışı kullanılırken; İsviçre, Türkiye, Almanya gibi ülkelerde ya CHIP ile imzayı birlikte kullanabiliyorsunuz ya da çevrimiçi PIN girmek zorundasınız. Burada anlatılacak olan saldırı İsviçre,Türkiye ve Almanya gibi çevrimiçi PIN girme zorunluluğunu uygulayan ülkeler için geçerli değildir. İngiltere ve Belçika gibi çevrimiçi PIN girme zorunluluğu bulunmayan ülkelerde gerçeklenebilir bir saldırı tekniğidir.

İşlem yetkilendirme

Bu adımda terminal, kartı kullanıcıya sağlayan bankaya göndermek için  akıllı karttan işlem detayları üzerinden kriptografik MAC oluşturmasını ister. Bunun için terminal Generate AC komutunu kullanarak karttan AROQ’u (yetkilendirme istek kriptogramı) istemektedir. Bu komut ile işlemin nasıl gerçekleştirileceği anlaşılmaktadır. Terminalin talebine cevap olarak kart CDOL1’de (kart veri nesne listesi 1) belirtilen veri elemanlarını uç uca birleştirerek gönderecektir.

Genellikle terminalin gönderdiği Generate AC komutunun içeriğinde işlem hesabının, para biriminin, tipin ne olacağı ile ilgili sorular ve terminal tarafından bir defa kullanmak için oluşturulan bir sayı ile TVR’nin (Terminal doğrulama sonucunun) ne olduğuna dair bilgiler vardır. Özetle, bankaya gönderilecek olan kriptogram tip kodunu, işlemi tanımlayan sayaç değerini {ATC (Application transaction counter)}, kart tarafından oluşturulan veriyi ve bütün bundan önceki verileri kapsayacak şekilde alınan MAC’i içerecektir.

MAC, kart ile kartı kullanıcıya veren banka arasında paylaşılan 3DES anahtarı kullanılarak oluşturulmaktadır. Eğer kart işleme izin verirse AROQ, izin vermezse işlemi yarıda kesecek olan AAC’yi (uygulama asıllama kriptogramı) cevap olarak dönecektir. Eğer karttan AROQ cevabı alınmışsa, terminal AROQ cevabını kartı kart sahibine veren bankaya gönderecektir. Banka bunun üzerine çeşitli kriptografik kontroller, sahteciliğe karşı ve finansal kontroller yapar.

Bu kontroller, kartın çalınmış olarak listelenmiş olması, harcamalar için yeterli kaynak olup olmadığı, risk analiz algoritmasının işlemi kabul edilir olarak görüp görmemesidir. Eğer kontrollerden geçilirse banka işlemin nasıl devam edeceğini gösteren 2 bayt değerinde ARC (yetkilendirme cevap kodu) değerini ve (AROQ + ARC) değerinin MAC değeri olan ARPC (yetkilendirme cevap kriptogramını) değerini terminale iletir.

Bu değerler terminal tarafından akıllı karta External Authenticate komutu ile gönderilir. Akıllı kart MAC ile ARPC’nin bütünlüğünü kontrol eder ve eğer sonuç başarılı ise banka işleme onay verdi olarak kendi iç durumunu değiştirir. Sonrasında terminal Generate AC komutunu tekrar kullanır. Bu defa terminal CDOL2 (kart veri nesnesi 2) ile işlemin devam etmesini yetkilendiren TC kriptogramını (işlem sertifikası kriptogramını) akıllı karttan ister.

Son olarak terminal TC kriptogramını bankaya gönderir ve işlemlerde anlaşmazlık olması durumu için TC kriptogramının bir kopyasını kendi içinde saklar. Bu noktada eğer PIN ile doğrulama işlemi başarılı olmuşsa PIN ile doğrulandı mesajı slip'e bastırılır.

Yorumlar

Bu sayfa ait yorum bulunamadı. İlk yorum yapan siz olun.

Yorum ekle

Vazgeç