Chương 3 : CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV
3.2 CHỨNG CHỈ KHÓA CÔNG KHAI CỦA THẺ EMV
3.2.2 Kiểm tra chứng chỉ của thẻ EMV
3.2.2.1 Kiểm tra chứng chỉ khóa công khai của NHPH
Các bước dưới đây mô tả thủ tục kiểm tra chứng chỉ khóa công khai của NHPH. Người kiểm tra chứng chỉ là một thiết bị đọc tại điểm chấp nhận dịch vụ, và chứng chỉ cùng với một vài dữ liệu khác cần thiết cho việc kiểm tra chứng chỉ nhận được từ thẻ EMV.
Bước 1:
Kiểm tra độ dài đối tượng dữ liệu chứng chỉ khóa công khai của NHPH (nhãn 90) là NCA.
Bước 2:
Áp dụng thuật toán kiểm tra/thuật toán khôi phục lại chữ ký, S là trường giá trị của chứng chỉ khóa công khai của NHPH, nS = nCA, và eS = eCA. Độ dài N của modun là NCA.
Bước 3:
Dữ liệu được khôi phục lại X được phân thành X = B||MR||H||E. Việc xử lý sau được thực hiện trên các trường sau:
1) Kiểm tra xem E (byte cuối cùng của X) có bằng BCh không. 2) Kiểm tra xem B (byte đầu tiên của X) có bằng 6Ah không
3) Xem xét MR như NCA – 22 byte tiếp theo sau B. Phân tích MR theo chín trường được xác định bên trên.
4) Kiểm tra định dạng của chứng chỉ đọc được trong trường 1 của MR có phải là 02h không.
5) Tạo gói tin M’ như ràng buộc từ trái qua phải của trường giá trị của phần còn lại của khóa công khai của NHPH (nhãn 92), nếu đối tượng dữ liệu này được biểu diễn trong thẻ, và hàm mũ khóa công khai của NHPH.
6) Tạo gói tin M (biểu diễn dữ liệu khóa công khai của NHPH) ràng buộc từ trái qua phải của phần MR và của phần đã tạo M’ (ví dụ: M = MR || M’).
7) Đọc bộ chỉ dẫn thuật toán băm từ trường 5 của MR. Chú ý rằng tại thời điểm này giá trị này là 01h, tương ứng với thuật toán SHA-1.
9) Kiểm tra xem h có bằng kết quả băm H, biểu diễn 20 byte cuối cùng trong X trước E.
Nếu bất cứ kiểm tra nào bên trên mà lỗi, thì việc kiểm tra chứng chỉ khóa công khai của NHPH bị lỗi.
Bước 4:
Kiểm tra sự đồng nhất của các trường trong phần đã khôi phục MR của dữ liệu khóa công khai của NHPH.
1) Kiểm tra IIN đọc được từ 4 byte của trường 2, sau khi bóc tách số hexa F, tương ứng với 3 đến 8 byte bên trái của số thẻ mà thiết bị đọc thu được.
2) Kiểm tra xem chứng chỉ có hết hạn không. Kiểm tra ngày hiện tại có nhỏ hơn hoặc bằng ngày cuối cùng của tháng MM đã xác định trong trường 3.
3) Nếu thiết bị đọc quản lý một danh sách thu hồi chứng chỉ khóa công khai của NHPH được kết hợp với một CA, kiểm tra xem số serial của chứng chỉ đọc được từ trường 4 có nằm trong danh sách thu hồi không. Nếu chứng chỉ ở trong danh sách thu hồi, thì thiết lập bit 5, ―Thẻ xuất hiện trên file ngoại lệ của thiết bị đọc‖ cho byte 1 của thanh ghi TVR.
4) Kiểm tra xem thuật toán khóa công khai được xác định trong chỉ dẫn thuật toán khóa công khai của NHPH đọc được từ field 6 có nằm trong những thuật toán mà thiết bị đọc biết hay không. Chú ý rằng tại thời điểm này chỉ dẫn này có giá trị 01h tương ứng với thuật toán RSA.
Nếu như bất cữ những kiểm tra nào bên trên bị lỗi, thì việc kiểm tra chứng chỉ khóa công khai của NHPH cũng bị lỗi.
Bước 5:
Nếu tất cả kiểm tra trên là hợp lệ, thì thiết bị đọc chấp nhận việc xác thực khóa công khai của NHPH. Khóa này bao gồm modun khóa công khai của NHPH nI và khóa công khai của NHPH eI (nhãn 9F32).
Độ dài khóa công khai của NHPH NI đọc được từ trường 7 của MR cho biết độ dài thực tế của nI.
- Nếu NCA – 36 – NI > 0, thì xóa NCA – 36 – NI byte bổ sung BBh từ cạnh cực trái của trường 9 của MR. Chuỗi byte thu được biểu diễn nI.
- Nếu NI > NCA – 36, ràng buộc từ trái sang phải trường 9 của MR và trường giá trị của phần còn lại khóa công khai của NHPH (nhãn 92). Chuỗi byte thu được biểu diễn nI.
3.2.2.2 Kiểm tra chứng chỉ khóa công khai của thẻ
Các bước sau mô tả thủ tục kiểm tra chứng chỉ khóa công khai của thẻ EMV. Người kiểm tra chứng chỉ là một thiết bị đọc tại điểm chấp nhận dịch vụ, và chứng chỉ cùng với một vài dữ liệu cần thiết khác cho việc kiểm tra chứng chỉ nhận được từ thẻ EMV.
Bước 1:
Kiểm tra xem độ dài đối tượng dữ liệu chứng chỉ khóa công khai của thẻ EMV (nhãn 90) có phải là NI không.
Bước 2:
Áp dụng thuật toán kiểm tra/khôi phục chữ ký, với S là trường giá trị của chứng chỉ khóa công khai của thẻ, nS = nI, và eS = eI. Độ dài N của modun là NI.
Xử lý sau được thực hiện trên những trường đó:
1) Kiểm tra xem E (byte cuối cùng của X) có bằng BCh không. 2) Kiểm tra xem B (byte đầu tiên của X) có bằng 6Ah hay không.
3) Đánh giá MR như NI – 22 byte tiếp theo sau B. Phân MR theo chín trường đã chỉ ra bên trên.
4) Kiểm tra xem định dạng chứng chỉ đọc được trong trường 1 của MR có phải là 04h hay không.
5) Tạo gói tin M’ như việc ràng buộc từ trái qua phải trường giá trị của phần còn lại khóa công khai của thẻ EMV, nếu đối tượng dữ liệu này có trong thẻ, mũ khóa công khai của thẻ EMV, và dữ liệu tĩnh được xác thực chuỗi byte.
6) Tạo gói tin M, thể hiện dữ liệu khóa công khai của thẻ EMV, ràng buộc liên kết kết từ trái qua phải phần đã khôi phục lại MR và phần đã tính M’.
7) Đọc chỉ dẫn thuật toán băm từ trường 5 của MR. Chú ý rằng hiện tại giá trị này là 01h, tương ứng với thuật toán SHA-1.
8) Sử dụng thuật toán băm đã chỉ dẫn để tính mã băm h của M.
9) Kiểm tra xem h có bằng kết quả băm H không, nó biểu diễn 20 byte cuối cùng trong X trước E.
Nếu bất cứ kiểm tra nào bên trên bị lỗi, thì việc kiểm tra của chứng chí khóa công khai của ICC bị lỗi.
Bước 3:
Kiểm tra tính thống nhất của một số trường trong phần đãkhôi phục lại MR
của dữ liệu khóa công khai thuộc NHPH.
1) Kiểm tra xem số PAN khôi phục lại được từ trường 2 của MR có tương đương với số PAN của thẻ mà thiết bị đọc bắt được.
2) Kiểm tra xem chứng chỉ đã hết hạn chưa. Từ đây, kiểm tra xem ngày hiện tại có nhỏ hơn hoặc bằng ngày cuối cùng của tháng được chỉ ra trong trường 3,.
3) Kiểm tra thuật toán khóa công đã xác định trong chỉ thị thuật toán khóa công khai của NHPH đọc được từ trường 6 có nằm trong những thuật toán mà termin biết hay không.
Nếu bất cứ kiểm tra nào bên trên bị lỗi thì việc kiểm tra chứng chỉ khóa công khai của thẻ EMV bị lỗi.
Bước 4:
Nếu tất cả kiểm tra là hợp lệ, thì thiết bị đọc chấp nhận sự xác thực khóa công khai của thẻ EMV. Bao gồm modun khóa công khai của thẻ EMV nIC, và mũ khóa công khai của thẻ (nhãn 9F47) eIC.
Độ dài khóa công khai của thẻ EMV NIC đọc được từ trường 7 của MR cho biết độ dài thực sự của nIC.
- Nếu NI – 42 – NIC > 0 thì bỏ NI – 42 – NIC byte bổ sung BBh từ cạnh cực trái của trường 9 của MR. Chuỗi byte mà thu được biễu diễn nIC.
- Nếu NIC > NI – 42, thì sự ràng buộc từ trái qua phải trường 9 của MR và trường giá trị của phần còn lại khóa công khai của ICC (nhãn 9F48). Chuỗi byte thu được biễu diễn nIC.