许多人惊讶地发现 EMV 不加密 PAN。但实际上,一旦 EMV 全面推出,加密 PAN 将变得不必要,并且将作为当前不安全协议的技术债务而遗留下来。EMV 不需要从那个包袱开始。
EMV 不需要 PAN 加密的原因是 PAN 只代表Identity;它不代表芯片的身份验证(这是 ARQC 消息的工作),也不代表持卡人使用卡的授权(这是 PIN 的工作)。只要芯片经过身份验证,并且用户提供授权,交易就是安全的。身份不必保密。
在当今非 EMV 世界中,身份、身份验证和授权三者结合在不变的磁条上。复制条带数据使您能够克隆卡,因此需要保护整个条带。我们使用“身份盗窃”这个词,所以人们认为他们在窃取我们的身份,但实际上,他们同时窃取了卡片的所有三个属性。
使用 EMV,PAN 仍然需要提供卡的身份。其余的 EMV 数据不包含足够的信息来识别卡,也不应该包含。身份甚至可以公开,只要不能单独使用。
在 EMV 中,ARQC 密码用作来自芯片的签名,验证源自与 PAN 相关联的芯片的消息。芯片上的密码学和安全存储确保 ARQC 不会被伪造。因为 ARQC 是事务性的,所以每个请求都是不同的;只要银行确保拒绝重复的 ARQC,重放攻击就不起作用。
PIN 作为用户的收费授权。PIN 告诉芯片“嘿,您的用户现在刚刚证明他希望这笔交易通过。” 如果他们希望您的卡需要 PIN,这取决于您的银行;他们可能会很高兴让您签署交易。
[请注意,大多数美国银行选择芯片和签名而不是芯片和 PIN。芯片和 PIN 的唯一优势是它可以保护您的卡在丢失或被盗时免遭未经授权的使用;但实际上,FDIC 已经将您的个人责任限制在 50 美元,并且几乎所有银行在卡丢失或被盗的情况下都将其免除为 0 美元。而且由于银行在您每次收取任何费用时都会赚钱,因此他们宁愿接受欺诈风险(他们已经有法律义务承担),而不是通过让客户输入 PIN 来给他们带来不便。他们相信不方便的客户会找到一种更简单的付款方式,从而减少他们的利润。]
但我们距离全面推出 EMV 还很遥远。2015 年 10 月的责任转移是为了激励美国零售商改变其交易处理以使用 EMV,但截至 2016 年 4 月,很少有美国零售商真正采用芯片卡。在 600 万零售商中推出新终端、新软件和新卡、11,000 家银行和数十亿张卡需要花费大量时间和金钱。而且还没有人创建一个普遍接受的解决方案来保护无卡 (CNP) 交易,例如酒店预订、网络购买等。因此,在完全部署 EMV 并解决 CNP 问题之前,仍然需要商家和 POS 终端来保护并对 PAN 和敏感的授权数据进行加密。目前,这包括 PAN。