问题描述
EMV Spec 4.3 Vol 2通过图表定义了CDA(“组合数据身份验证”)的不同模式:
+----+-------------------+-----------------------------------+
|Mode|Request CDA on ARQC|Request CDA on 2nd GEN AC (TC) |
| | |after approved online authorisation|
+----+-------------------+-----------------------------------+
| 1 | Yes | Yes |
| 2 | Yes | No |
| 3 | No | No |
| 4 | No | Yes |
+----+-------------------+-----------------------------------+
我的问题: 如果PinPad处于CDA模式3,它实际上是否执行数据认证步骤?
我正在使用的PinPad处于CDA模式3,并且它似乎在ARPC验证/ TC生成步骤中的某个时候正在这样做,如字节1所示,当时TVR的位8设置为零。但是,上面的图表使我相信事实并非如此。
不幸的是,我没有UL或Collis工具可进入PinPad内部查看PinPad /芯片流程。
解决方法
您问题的简短答案是“是”-接受设备将执行卡身份验证。对于ODA,无论CDA模式如何,都可能会发生SDA(已经过时)或DDA。
CDA模式3意味着只有在有其他CAM(卡认证方法)可用的情况下,才会执行ODA。对于离线接受的交易,仍然会发生这种情况。
为明确起见,卡身份验证方法:
- 脱机CAM =基于PKI的脱机数据身份验证,其中CDA就是一个例子
- 在线通信期间,基于在线CAM =基于对称加密的密码验证。
在EMV实施初期,验收设备的处理能力非常有限-它们主要基于8位微控制器,这意味着使用较大模数的RSA需要很长时间。这就是为什么在在线交易中引入CDA模式3的原因-为了避免在在线CAM可用时执行大量资源的离线CAM。当时认为这是一种优化,并且由Schemes和EMVCo推荐。 在今天的术语中,CDA模式1被广泛采用,我不记得最近有CDA模式3的类型批准。如果您有设备,则可能是在处理过期的旧设备。
您提到的ARPC验证(发行方身份验证步骤)未反映在TVR B1b8中-仅表示未执行ODA,这可能是卡和终端不支持任何通用协议时(除了CDA模式3的情况)身份验证方法(某些仅在线终端不需要执行ODA;某些未到期的卡也不支持ODA)。发卡行身份验证可能是显式的(当卡中的AIP指示它并且您在响应中收到ARPC时),但也可能隐式地发生(当AIP没有指示它但卡在CDOL2中请求ARPC时),并且您可能看不到TVR。