为什么信用卡不使用数字证书？

Question

在IT世界中，非对称加密和数字证书被广泛用于验证真实性和防止伪造。而且效果很好。

为什么信用卡不使用某种形式的公开/私钥来验证真伪？是后勤方面的原因，还是有其他商业动机？

Answer 1

一些使用EMV的信用卡(至少在英国)在幕后使用公钥密码。有关此协议如何工作的更多信息(以及它的问题)可以在默多克等人的一篇文章中找到。然而，这是用来验证卡的真实性，而不是持卡人。

如果您建议持卡人可以通过持有私钥和持有某种证书进行身份验证，则有几个实际问题。私钥必须由设备而不是人持有和使用，因此对于面对面支付，您立即回到前面提到的EMV模型。但是，对于在线购物，您可以将密钥和证书存储在个人电脑或电话上，以验证用户的身份。不幸的是，经验表明证书管理存在可用性问题(请参阅这篇经典论文)，这将给最终用户带来困难。

在实践中，公钥基础设施对设备的认证往往是很好的，但对认证人员则比较不利。这种规则的例外情况往往发生在公司环境中，在这种环境中，有专门的IT部门来支持系统，并且需要人员遵守公司的政策。

Answer 2

主要是后勤方面--但也包括降低使用信用卡在网上购物的门槛；不过，通过签证和其他解决方案验证的东西正在流行起来，但在大多数情况下，我见过并不是强制性的。

它已经被( cc公司)认为它容易使用(不使用“太多”的安全)意味着每个人和他们的母亲都可以使用它，如果有问题-偿还人，如果可能的话，冻结交易给卖方。

而且，只要通过电话等方式付款是可能的，那么使用cc就会使得使用密钥的解决方案更难实现。

cc公司偿还费用也是最终用户的安全措施之一，他们知道，如果cc号码被偷，他们会拿回钱--例如，施耐德在“数字安全”(Digital)一书中说，他举了一个购买棕榈树地块的例子，以及支付网站的名称与商店不同的事实。

Answer 3

有两个主要原因：(1)业务原因；(2)遗留问题。

我想我应该详细说明一下。由于商业原因，我的意思是说，信用卡公司对任何可能使人们更难使用他们的信用卡的变化都很敏感。如果新的安全系统使人们更难使用信用卡(想必会导致他们减少使用信用卡)，欺诈造成的损失将超过损失。因此，与推出新的安全基础设施相比，接受信用卡欺诈造成的损失要便宜得多:新的安全基础设施弊大于利。

所谓遗留问题，我的意思是有一个庞大的部署的信用卡读卡器基础设施。更换所有的信用卡来处理一个全新的信用卡标准将是非常昂贵的。

(我在这里的评论与美国的局势有关。我知道欧洲的情况不同。)