EMV 离线数据认证 - CDA 模式 3答案

【问题标题】：EMV Offline Data Authentication - CDA Mode 3EMV 离线数据认证 - CDA 模式 3
【发布时间】：2020-08-21 13:23:44
【问题描述】：

EMV Spec 4.3 Vol 2 使用图表定义了 CDA（“组合数据身份验证”）的不同模式：

+----+-------------------+-----------------------------------+
|Mode|Request CDA on ARQC|Request CDA on 2nd GEN AC (TC)     |
|    |                   |after approved online authorisation|
+----+-------------------+-----------------------------------+
| 1  |        Yes        |              Yes                  |
| 2  |        Yes        |              No                   |
| 3  |        No         |              No                   |
| 4  |        No         |              Yes                  |
+----+-------------------+-----------------------------------+

我的问题：如果 PinPad 处于 CDA 模式 3，它是否真的执行了数据验证步骤？

我使用的 PinPad 处于 CDA 模式 3，它似乎在 ARPC 验证/TC 生成步骤中的某个时候这样做，正如当时 TVR 的字节 1、位 8 设置为零所证明的那样。然而，上面的图表会让我相信它不是。

很遗憾，我没有 UL 或 Collis 工具可以进入 PinPad 以查看 PinPad/芯片流程。

【问题讨论】：

CDA 由终端完成，而不是 PIN Pad 设备。 PIN 与 CDA 没有任何关系
@AdarshNanu CDA 通常在内核所在的位置执行 - 它可能是 PIN Pad，可能是终端，可能是设备处理程序（非常无效，但在某些国家/地区可行并使用）。此外，请记住，部分内核可能会实现某些功能（如持卡人验证），并且可能物理上驻留在不同的设备中。

标签： emv

【解决方案1】：

您的问题的简短回答是“是” - 接受设备将执行卡验证。对于 ODA，也可能是 SDA（已经过时）或 DDA，无论 CDA 模式如何。

CDA 模式 3 仅表示如果其他 CAM（卡验证方法）可用，则不会执行 ODA。离线接受的交易仍然会发生这种情况。

为了澄清，卡身份验证方法：

离线 CAM = 基于 PKI 的离线数据身份验证，CDA 就是其中的一个示例
在线 CAM = 在线通信期间基于对称加密的密码验证。

在 EMV 实施接受设备的早期，处理能力非常有限 - 它们主要基于 8 位微控制器，这意味着执行具有更大模数的 RSA 需要很长时间。这就是在在线交易中引入 CDA 模式 3 的原因——以避免在在线 CAM 可用时执行资源密集的离线 CAM。这在当时被认为是一种优化，并被方案和 EMVCo 推荐。就今天而言，CDA 模式 1 被广泛采用，我不记得最近有任何 CDA 模式 3 的型式认证。如果您有一台设备，您可能正在处理一个过期的旧设备。

您提到的 ARPC 验证（颁发者身份验证步骤）未反映在 TVR B1b8 中 - 这仅表明未执行 ODA，这（除了 CDA 模式 3 情况）也可能是卡和终端不支持任何常见的认证方式（部分纯在线终端无需ODA；部分未过期卡也不支持ODA）。发卡行身份验证可能是显式的（当卡中的 AIP 指示它并且您在响应中收到 ARPC 时），但也可能隐式发生（当 AIP 未指示它但卡在 CDOL2 中请求 ARPC 时）并且您可能看不到它在TVR。

【讨论】：

您说的很对 - 设备很旧，几年前就通过了认证，而且他们使用的内核不久前就过期了。但是，一旦获得认证，银行将允许其使用，直到发生重大变化并需要新的认证为止。到那时，设备必须更新到最新的内核，CDA 模式确实会更新到 1。