Datacenter Security

 

 


Home » Datacenter Security » Authentisierung » EMV CAP und DPA

EMV CAP und DPA

Sowohl das MasterCard „Chip Authentication Program“ (CAP) als auch die VISA "Dynamic Passcode Authentication" (DPA) sind umfassende Ansätze zur Authentifizierung von Anwendern. Es basiert auf mit EMV™ Chips ausgestatteten Kreditkarten. Der EMV™ Standard wurde durch Europay, Mastercard und Visa entwickelt, deren Namen sich im Akronym wiederfinden. Da Europay eng mit der SEPA (Einheitlicher Euro-Zahlungsverkehrsraum, Single Euro Payments Area)
verknüpft ist, stehen somit nicht nur die größten Kartenhersteller, sondern auch eine entscheidende Wirtschaftsmacht hinter dem eingesetzten Verfahren. Es werden starke kryptographische Algorithmen mit belastbaren Authentifizierungsmerkmalen kombiniert, was dazu führt, dass EMV CAP als sehr sicher betrachtet wird. CAP selbst wurde von Mastercard entwickelt und später an VISA lizenziert. Kommt CAP auf Kreditkarten von VISA zum Einsatz, so wird es als „DPA“ bezeichnet. Abgesehen vom Namen bestehen jedoch keine weiteren relevanten Unterschiede.

Um sich mit Hilfe des CAP/DPA Verfahrens zu authentifizieren, muss der Benutzer im Besitz von drei Dingen sein:

  1. einer gültigen Kreditkarte oder Debitkarte mit Chip
  2. der PIN der entsprechenden Karte
  3. eines EMV CAP Lesers

EMV CAP Leser können entweder per USB mit dem Computer verbunden oder aber als selbstständige Geräte betrieben werden. Im letzteren Fall müssen alle Informationen manuell durch den Nutzer eingegeben werden.

Um sich bei einem CAP/DPA fähigen Dienst anzumelden, muss der Nutzer seine Kreditkarte in den Leser einführen und daraufhin seine PIN eingeben. Der Leser generiert dann mithilfe der auf der Karte gespeicherten Information eine Zeichenkette – den so genannten Token. Dieser Token wird hieraufhin entweder automatisch durch den Leser an den entsprechenden Dienst versendet, oder manuell durch den Benutzer vom Bildschirm des Geräts abgelesen und auf dem verwendeten Computer eingegeben.

Der Dienst ist nun in der Lage, die Gültigkeit des empfangenen Tokens zu überprüfen und den Nutzer abhängig vom Ergebnis zu authentifizieren, oder aber ihm den Zugriff zu verwehren. Weiterhin werden alle Tokens in einer berechenbaren Reihenfolge generiert, sodass das Ausspähen von Tokens keinen Sinn hat.

Um „Man In The Middle“ Angriffen und der Manipulation übertragener Inhalte vorzubeugen, unterstützt CAP die Übergabe weiterer Werte an den Leser, welche in den generierten Token mit einfließen. So können beispielsweise Kontonummern oder Geldbeträge eingegeben und mit berücksichtigt werden. Selbst wenn ein Angreifer daher die vom Anwender empfangenen und versandten Daten oder gar seinen Computer durch einen Trojaner kontrolliert, kann er keine manipulierten Transaktionen autorisieren. Alle kryptographischen Operationen laufen auf dem Chip der Karte ab und sind daher effektiv vor dem Zugriff durch Fremde geschützt. Ein Auslesen der verwendeten Schlüssel ist praktisch unmöglich.

Die CAP Authentifizierung kombiniert Sicherheitsmechanismen vieler anderer Verfahren und führt zudem neue Techniken zur weiteren Erhöhung der Sicherheit ein. Sie ist daher die zum gegenwärtigen Zeitpunkt sicherste, für den Endnutzer verfügbare Authentifizierungslösung.

 

Beispiele

  • Sichere Bezahlung im Internet (3DS mit CAP/DPA - Mastercard SecureCode / Verfied by VISA)
  • Kundenauthentisierung zum Beispiel für Ecommerce, eBanking, mBanking,...
  • Kundenkarte
  • Digitale Signatur
  • Mailbestellung
  • Telefonbestellung
  • ....