史丹利好熱

上禮拜從iThome看一篇新聞，英國研究人員只花6秒就能破解盜刷Visa信用卡，於是想了解更多:新堡大學原文。

發卡主機處理完授權交易請求後，接著開始產生回應訊息給刷卡機及晶片程式，類似ARQC的驗證值，發卡主機也產生ARPC讓晶片內的程式確認交易回應端的合法性以及交易內容的完整性，上一篇筆記晶片程式到驗證主機，這一篇筆記驗證主機到晶片程式。

ISO8583格式中會傳遞許多卡片敏感性的資訊，為確保並鑑定訊息來源正確及完整，筆記ISO8583格式中第三種晶片交易的保護機制:

• MAC(ISO9807、CNS13526)
• PIN Block(ISO9564 - 1、CNS13798)
• ARQC/ARPC

觀察上一篇運算密碼驗證值(PVV)最後取值的機制，PVV不太可能反算回PIN，但你知道的，防君子不防暴力!

在Parse ISO8583(五)及(六)中，筆記了Natural PIN及PIN Offset運作，前兩種驗證在處理過程中，免不了用正確金鑰計算出正確的密碼值PIN，這因此有了一種過程風險。
為了避免風險，在PIN的驗證上也有PVV(PIN Verification Value)，概念很像取雜湊驗證(Hash)，但精確度不同。

上一篇Parse ISO8583(五)筆記支付系統卡片初始密碼(Natural PIN)的產生，但當持卡人想指定或變更密碼(PIN)，又或者金融機構寄發初始密碼函時希望採用動態PIN來提高安全，

單採 IBM3624就可能沒辦法符合需求，因此2000年之後，台灣的金融機構也陸續導入國外使用的密碼偏移量(PIN Offset)概念。

在Parse ISO8583(三)中，我們曾Parse DE(52)的Element 的PIN Block欄位，為了更了解PIN背後的運作原理及歷史，我們走一遍wiki再用程式語言C# 跑一遍Natural  PIN的產生。 

十幾年前傳統磁條卡片側錄盜刷事件層出不窮，當時高安全交易保護的晶片問世，ISO8583也依循著制定晶片規格的組織EMV增加了數十個晶片交易資訊欄位，按照ISO8583標準，晶片資訊在DE55，並以BER-TLV的規格(ISO8825)組成資料區塊，由於計算驗證ARQC/ARPC需要晶片交易欄位，我們要先Parse DE55。

上一篇筆記了MAC的演算法，接下來筆記PIN Block。

• MAC(ISO9807、CNS13526)
• PIN Block(ISO9564-1、CNS13798)
• ARQC/ARPC

ISO8583會傳遞許多卡片機密的轉帳授權資訊，為確保並鑑定訊息來源正確性，筆記ISO8583幾種保護機制:

• MAC(ISO9807、CNS13526)
• PIN Block(ISO9564-1、CNS13798)
• ARQC/ARPC

國際銀行間的訊息傳遞:

• 通匯、信用狀(LC)、債券、聯合貸款、帳務查詢:SWIFT
• 卡片交易(EFT/POS/ATM): ISO8583