EMV applets (如MasterCard的M/Chip和Visa的VSDC)与POS终端的双向认证

Question

据我所知，对于EMV卡，在交易发生之前，终端进行卡认证(使用静态数据认证或动态数据认证)，以确保卡不是假卡。(相反，似乎没有办法进行POS终端认证)

在Google Play中，有许多应用程序可以读取EMV卡数据。使用支持NFC的智能手机，我们可以读取敏感的卡信息，包括卡号和有效期。(使用智能卡读卡器的接触式EMV卡也是如此)

我的问题是：

对于EMV卡，是否有标准规定卡与终端之间的“相互认证”协议？并且卡只在执行了“相互认证”步骤后才向终端发送卡数据。

谢谢,

Answer 1

据我所知一无所知。我相信这是因为业务用例不能证明这个需求是合理的。

情况1.如你所说，有读卡器可以读取卡片数据。然而，如果有人从卡中取出所有数据并在终端上重放，由于交易由单次使用密码保护，并且终端提供不可预测的数字，则它将失败。

案例2.诈骗者在伪造卡后可以获得一些商品/服务并离开，但对于终端，它必须注册到收款方/银行。不能有僵尸终端。因此，是终端想要检查卡的真实性，而不是相反。

你可以从芯片上得到磁道/卡，但磁条也是如此。

Answer 2

在电子支付交易中，终端与卡之间的双向认证是完全不存在的。

因为每个交易都是基于特定于交易的唯一数据&加密，所以克隆是不可能的(这里我不是在谈论SDA卡)。

即使任何读卡器都可以读取数据(这实际上是EMV允许的)，但由于这些读卡器应用程序未经EMV授权，因此它们不能使用VISA/MasterCard服务器进行交易处理。

Answer 3

(用另一种观点扩展现有的答案)

在ARQC卡在线交易期间，ARPC卡确认终端能够与发卡方通信--即，终端能够将卡生成的递送到发卡方，并被给予有效的。

正如Gaurav Shukla在his answer中指出的那样，伪造的终端无法与各自的支付协会服务器进行通信。