web-dev-qa-db-ja.com

なぜチップは磁気ストライプよりも安全ですか?

最近のターゲットハックの後、磁気ストライプのあるクレジットカードからチップのあるカードへの移行について talk がありました。

チップはストライプよりも安全ですか?

182
Thomas

チップのクローンは作成できません。

磁気ストリップは秘密の番号を保持しており、誰かがその番号を知っていれば、カードの所有者であると主張できます。しかし、悪意のある人がカードをスワイプすると、番号を知っているので、自分のカードを作ることができます。これは、マグストライプカードの大きな実用上の問題であることが判明しています。

チップには秘密の番号も保持されています。ただし、チップに安全に埋め込まれています。カードを使用すると、チップはこの秘密番号を知っていることを証明する公開鍵操作を実行します。ただし、その秘密の番号は明らかにされません。チップのないカードを悪意のあるマシンに置くと、その1つのトランザクションであなたになりすますことはできますが、将来的にはなりすますことはできません。

上記のすべては、チップの実装が良好であることを前提としています。一部のチップには、秘密のコードをリークする実装上の欠陥があることが知られています。しかし、チップとピンはかなり成熟しているので、これらの問題のほとんどは解決されていると思います。

228
paj28

チップは、チップ内で強力に保護されているキーの知識を必要とする、渡されたデータに対して暗号化操作を実行するため、攻撃者はカードを簡単にコピーできません。

とはいえ、タイミング攻撃や電力攻撃に関するいくつかの成功した研究論文がありましたが、これらは研究室の状況からのものであり、おそらく実際の心配ではありません。

英国では、ほとんどすべての銀行カードがチップとピンです-これは、私たちの最も一般的なタイプの詐欺の1つにつながります。

70
Rory Alsop

磁気ストリップには、カードの識別に使用される正確な情報が含まれています。チップは、共有しない情報を保持しますが、その情報があることを証明するために使用できます。

したがって、磁気ストライプはばかげてコピーできますが、チップはその秘密を明かさないので、ベンダーはそれを使用するときに単純にコピーすることはできません。

磁気ストライプには「私はクレジットカードABCです」と書かれています。店頭で番号を尋ねられたとき。チップを使用すると、POSは「このランダムな値に対するあなたの応答は何ですか」と言います。チップは、POSで検証できる応答を提供しますが、次のPOSは異なるランダム値を使用するため、応答は泥棒には役に立ちません。

34
AJ Henderson

すでに与えられた他の答えは正しいですが、私は尋ねる人の一部に技術的な背景が必要ない答えとして以下を与えたいです:

磁気ストリップクレジットカードを使用すると、デバイスはカードに次のように伝えます。「ユーザーがPINを入力して確認します。ストリップを読み取らせて確認できるようにします」と表示されます。

[〜#〜] edit [〜#〜]

OK、上の段落は実際に起こることではありません。しかし、POS(またはその他の)デバイスは、ストリップに含まれるすべての情報を読み取ります(または読み取ることができます)。つまり、すべての目的と目的のためのコピーであるカードを製造できるということです。 )

チップクレジットカードを使用する場合、デバイスはカードのchipに次のように伝えます。

さて、チップは磁気ストリップ(実際にはデータのストアにすぎません)よりもスマートなので、この質問に答えることができます。このように、PINは非表示のままにできます。

16

あなたはあなたの質問を明確にしたいかもしれません-これはなぜそれがより安全であるかについての答えですカード発行者

磁気ストライプカードが盗まれた場合、泥棒がカードを不正に使用するのは非常に簡単です。署名が実際に確認される頻度(実際、米国では多くの場合、追加のIDが要求されていない場合でも、署名する前にカードを手渡されました)。

チップ&ピンカードが盗まれて不正に使用された場合、カードだけでは十分ではありません。もちろん、所有者にピンを保護する責任があります(T&Cを確認してください)。所有者がPINをショルダーサーフィンするキャッシュポイントを使用した直後にカードが盗まれたとすると、泥棒は少なくともカードを使用して逃げる可能性が高く、製品を偽造品として購入するだけでなく現金を引き出すことができるようになります。署名が許可されます。

もちろん、盗難の被害者を脅迫してPINを渡すのは簡単なことです。

こちらが BBCの記事 -英国のチップ&ピンです-終わり近くからの引用

[被害者の銀行]バークレイズは、彼女が失った640ポンドを返還しましたが、一部の銀行は、人々が自分のPINコードに不注意だった場合、払い戻しを渋る可能性があります。

編集:一般化された「銀行」から「カード発行会社」

7
Chris H