web-dev-qa-db-ja.com

EMV非接触カードはリプレイ攻撃からどのように保護しますか?

標準のRFIDカードはリプレイ攻撃に対して脆弱であることを理解していますが、非接触型のスマートカードはリプレイ攻撃からどのように保護しますか?これはチップによって決定されますか、それとも支払いを検証する会社によって決定されますか?

cryptographycredit-cardrfid
9
whatever489

EMVリプレイ(トランザクションの複製など)に関する最も信頼できる参照は、Syscan 2015からのPeter Fillmoreの最新の講演です。

https://github.com/peterfillmore/Talk-Stuff/blob/master/Syscan2015/PeterFillmore_Syscan2015.pdf

もう1つの素晴らしいリソースは、Rooted 2015のRicardo Rodriguezの講演です

http://www.slideshare.net/cgvwzq/on-relaying-nfc-payment-transactions-using-Android-devices

NFC= Eddie LeeによるDEF CON 20からのプロキシトーク

https://youtu.be/tFi0vYuYeAI

さらに興味深いのは、EMVリレー攻撃に関するRicardo Rodriguezのホワイトペーパーです。

http://conference.hitb.org/hitbsecconf2015ams/materials/Whitepapers/Relay%20Attacks%20in%20EMV%20Contactless%20Cards%20with%20Android%20OTS%20Devices.pdf

とリカルドロドリゲスのウェブサイト

http://vwzq.net

これらの攻撃のいくつかの追加の検証は、MWR InfoSecによるHackFuコンテスト中に提供されました

https://hackfu.mwrinfosecurity.com/hackfu-blog/params/post/465447/how-to-hack-a-contactless-payment-system.html

そして最後に、Michael RolandとJosef Langerが、EMVに対するダウングレード攻撃と、プロトコルに組み込まれた保護について書いています。ご覧のように、元々はEMV非接触仕様自体が保護を提供することを望んでいましたが(支払いの検証よりずっと前)、物事は常に計画どおりに機能するとは限りません。

http://0b4af6cdc2f0c5998459-c0245c5c937c5dedcca3f1764ecc9b2f.r43.cf2.rackcdn.com/12055-woot13-roland.pdf

6
atdre