EMV离线数据认证- CDA模式3

Question

EMV Spec 4.3第2卷用图表定义了CDA (“组合数据身份验证”)的不同模式：

+----+-------------------+-----------------------------------+
|Mode|Request CDA on ARQC|Request CDA on 2nd GEN AC (TC)     |
|    |                   |after approved online authorisation|
+----+-------------------+-----------------------------------+
| 1  |        Yes        |              Yes                  |
| 2  |        Yes        |              No                   |
| 3  |        No         |              No                   |
| 4  |        No         |              Yes                  |
+----+-------------------+-----------------------------------+

我的问题是:如果一个PinPad处于CDA模式3中，它实际上是否执行数据身份验证步骤？

我使用的PinPad是在CDA模式3中，它似乎是在ARPC验证/TC生成步骤的某个时候这样做的，这一点可以从字节1，TVR的第8位被设置为零来证明。然而，上面的图表会让我相信事实并非如此。

不幸的是，我没有UL或Collis工具可以进入PinPad来查看针板/芯片流。

Answer 1

对你的问题的简短回答是肯定的-验收设备将执行卡片认证。在官方发展援助方面，也可能是SDA (已经过时)或DDA，而不管CDA模式如何。

CDA模式3只意味着，如果其他CAM (卡片身份验证方法)可用，则不执行官方发展援助。对于脱机接受的事务，仍然会发生这种情况。

为了澄清，卡认证方法：

基于PKI的离线数据认证( communication.

• online CAM =基于对称密码学的在线验证)

在EMV实现的早期，接受设备的处理能力非常有限--它们大多基于8位微控制器，这意味着需要很长时间才能以更大的模数执行RSA。这就是为什么在联机事务中引入CDA模式3的原因--以避免在联机CAM可用时执行资源过多的脱机CAM。这在当时被认为是一种优化，并得到了方案和EMVCo的推荐。在今天，CDA模式1已经被广泛采用，我不记得最近有CDA模式3的Type批准。如果你有一个设备，你可能正在处理一个过期的旧设备。

您提到的ARPC验证(颁发者身份验证步骤)没有反映在TVR B1b8中--它只是表明未执行官方发展援助，而这也可能是当卡和终端不支持任何常见的身份验证方法时(一些仅在线的终端不需要执行官方发展援助；一些未到期的卡也不支持官方发展援助)。颁发者身份验证可能是显式的(当卡中的AIP指示它并且您在响应中接收到了ARPC时)，但也可能发生隐式(当AIP没有指示它但卡请求CDOL2中的ARPC时)，而且您可能看不到它在TVR中的指示。