चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(7 intermediate revisions by 5 users not shown)
Line 1: Line 1:
चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए एक [[मास्टर कार्ड|मास्टरकार्ड]] पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश एक हैंडहेल्ड डिवाइस (सीएपी रीडर) को एक स्मार्टकार्ड स्लॉट, एक न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन|स्टारबर्स्ट]] डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से एक में भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि एक स्मार्ट कार्ड और एक वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
'''चिप ऑथेंटिकेशन प्रोग्राम (सीएपी)''' ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए [[मास्टर कार्ड|मास्टरकार्ड]] पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन|स्टारबर्स्ट]] डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
== ऑपरेटिंग सिद्धांत ==
== ऑपरेटिंग सिद्धांत ==
सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
; कोड/आइडेंटिटी: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ एक दशमलव [[एक बारी पासवर्ड|वन-टाइम पासवर्ड]] बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।
; कोड/आइडेंटिटी: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ दशमलव [[एक बारी पासवर्ड|वन-टाइम पासवर्ड]] बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।
'''प्रतिक्रिया'''
'''प्रतिक्रिया'''


यह मोड पिछले का एक विस्तार है, न केवल एक यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।
यह मोड पिछले का विस्तार है, न केवल यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।
;साइन: यह मोड पिछले का एक विस्तार है, जहां न केवल एक यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।
;साइन: यह मोड पिछले का विस्तार है, जहां न केवल यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।


उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
;मोड1: यह एक व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में एक लेन-देन मूल्य और मुद्रा शामिल है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
;मोड1: यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा शामिल नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है{{paragraph break}}{{glossary}}{{term|ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ}}{{defn|इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है{{glossary}}{{term|ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ}}{{defn|इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में शामिल करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में शामिल किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।
मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।


== प्रोटोकॉल विवरण ==
== प्रोटोकॉल विवरण ==
[[Image:Nordea e-kod.jpg|right|thumb|एक नॉर्डिया ई-कोड रीडर]]सभी तीन मोड में, CAP रीडर EMV कार्ड से एक डेटा पैकेट आउटपुट करने के लिए कहता है जो एक काल्पनिक EMV भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज किए गए विवरण शामिल होते हैं। इस पुष्टिकरण संदेश में एक [[संदेश प्रमाणीकरण कोड]] (आमतौर पर [[CBC-MAC]]/ट्रिपल DES) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की सहायता से उत्पन्न होता है। इस तरह के रद्दीकरण संदेशों से नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं होता है, लेकिन इसे क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने CAP डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का एक तरीका प्रदान किया कि एक पिन-सक्रिय EMV कार्ड मौजूद है और पहले से उपयोग किए जा रहे EMV कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शंस जोड़ने के बिना कुछ दिए गए इनपुट डेटा को देखा है।
[[Image:Nordea e-kod.jpg|right|thumb|एक नॉर्डिया ई-कोड रीडर]]तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से डेटा पैकेट आउटपुट करने के लिए कहता है जो काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण सम्मिलित होता है। इस पुष्टिकरण संदेश में एक [[संदेश प्रमाणीकरण कोड]] (आमतौर पर सीबीसी-मैक ([[CBC-MAC]])/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का तरीका प्रदान किया कि पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।


एक EMV स्मार्टकार्ड में एक (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या CAP लेनदेन के साथ बढ़ता है। CAP रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, MAC, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (IAI) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स में घटा दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि एक जारीकर्ता की इच्छा होनी चाहिए, यह प्रत्येक कार्ड के लिए प्रत्येक कार्ड के IAI का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, IAI में 0 का मतलब है कि कार्ड प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मान को बाइनरी से दशमलव संख्या में परिवर्तित किया जाता है और उपयोगकर्ता को प्रदर्शित किया जाता है। एक संक्षिप्त उदाहरण नीचे दिया गया है:
ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:


# CAP डिवाइस EMV एप्लिकेशन का चयन करता है, कार्ड से IAI जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए एक क्रिया का चयन करता है (इस उदाहरण में, IAI 111011011000 होगा<sub>[[binary number|2]]</sub>).
# कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 111011011000<sub>2</sub> होगा)
# सफल पिन प्रविष्टि के बाद, कैप डिवाइस 011100111010 की चुनौती भेजता है<sub>2</sub> प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में।
# सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 011100111010<sub>2</sub> की चुनौती भेजता है।
# स्मार्टकार्ड 110101110110 का जवाब देता है<sub>2</sub> और CAP डिवाइस नकली लेनदेन को रद्द कर देता है।
# स्मार्टकार्ड 110101110110<sub>2</sub> का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
# CAP डिवाइस IAI मास्क का उपयोग करता है: 111011011000<sub>2</sub> टुकड़े गिराने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
# कैप डिवाइस आईएआई मास्क का उपयोग करता है: 111011011000<sub>2</sub> बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
# इसलिए अंतिम प्रतिक्रिया 1100110 है<sub>2</sub> या 102 दशमलव में।
# इसलिए अंतिम प्रतिक्रिया 1100110<sub>2</sub> या दशमलव में 102 है।


वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड ARQC को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (आईडी। 80){{sub|16}}) या अधिक जटिल प्रत्युत्तर संदेश टेम्पलेट प्रारूप 2 (आईडी. 77{{sub|16}}) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।
वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 80<sub>16</sub>) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 77<sub>16</sub>) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।


पहचान मोड में, प्रतिक्रिया केवल IAI से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका मतलब यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में एक वैध पहचान प्रतिक्रिया उत्पन्न करेगा। हालांकि इससे भी अधिक चिंता की बात यह है कि यदि किसी बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करने से फिर से एक वैध परिणाम उत्पन्न होगा जो एक धोखेबाज के लिए एक ग्राहक को एक परीक्षण चुनौती करने का निर्देश देने की संभावना पैदा करता है। ¤0.00 की राशि के लिए प्रतिक्रिया जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में प्राप्तकर्ता के रूप में खुद को जोड़ने के लिए प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग की जा रही है; ये हमले उन बैंकों के खिलाफ संभव थे जो मजबूत प्रमाणीकरण उपकरणों का उपयोग करते थे जो कम से कम 0.01 की राशि दर्ज किए जाने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/>इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू किया गया था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; एक बैंक जो आइडेंटीफिकेशन कमांड को लागू करता है, एक जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करके एक परीक्षण प्रतिक्रिया लेनदेन करने के लिए पीड़ित से अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉगिन करने में सक्षम होगा।<ref name="cambridge"/>
आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/> इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "टेस्ट" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।<ref name="cambridge"/>


उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेन के रूप में किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह, सीएपी रीडर में एक पंक्ति में तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।


== असंगति ==
== असंगति ==


मूल CAP विनिर्देश को सामान्य EMV लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा EMV कार्ड के फ़र्मवेयर को अपडेट किए बिना CAP एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग आवेदन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर) पर लागू होता है, इसलिए कि EMV और CAP लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मूल्यों द्वारा ओवरराइड किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारी करने वाले बैंकों के कार्ड के साथ संगत नहीं होते हैं।
मूल सीएपी विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक सामान्यतः अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।


हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर [[APACS]] द्वारा परिभाषित CAP उपसमुच्चय के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड एक अलग बैंक द्वारा जारी किए गए कार्ड रीडर में उपयोग किए जा सकते हैं।
हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस ([[APACS|APACS)]] द्वारा परिभाषित सीएपी सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।


== भेद्यता ==
== भेद्यता ==


[[कैम्ब्रिज विश्वविद्यालय]] के शोधकर्ता सार ड्रिमर, [[स्टीवन मर्डोक]] और रॉस जे. एंडरसन ने शोध किया<ref name="cambridge">{{cite conference |url=https://murdoch.is/papers/fc09optimised.pdf |title=असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर|last1=Drimer |first1=Saar |last2=Murdoch |first2=Steven J. |last3=Anderson |first3=Ross |author-link2=Steven Murdoch |authorlink3=Ross J. Anderson |year=2009 |publisher=Springer |series=LNCS |volume=5628 |pages=184–200 |conference=Financial Cryptography and Data Security |doi=10.1007/978-3-642-03549-4_11}}</ref> सीएपी के कार्यान्वयन में, प्रोटोकॉल में कई कमजोरियों की रूपरेखा और पाठकों और कार्ड दोनों के यूके संस्करण। कई कमियां पाई गईं। [[Radboud University]] के शोधकर्ताओं ने डच [[ABN AMRO]] e.dentifier2 में एक भेद्यता पाई, जिससे एक हमलावर [[USB]] कनेक्टेड रीडर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने का आदेश दे सकता है।<ref name="radboud">[https://www.cs.ru.nl/~rverdult/Designed_to_Fail_A_USB-Connected_Reader_for_Online_Banking-NORDSEC_2012.pdf Designed to Fail: A USB-Connected Reader for Online Banking]</ref>
[[कैम्ब्रिज विश्वविद्यालय]] के शोधकर्ताओं सार ड्रिमर, [[स्टीवन मर्डोक]], और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान<ref name="cambridge">{{cite conference |url=https://murdoch.is/papers/fc09optimised.pdf |title=असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर|last1=Drimer |first1=Saar |last2=Murdoch |first2=Steven J. |last3=Anderson |first3=Ross |author-link2=Steven Murdoch |authorlink3=Ross J. Anderson |year=2009 |publisher=Springer |series=LNCS |volume=5628 |pages=184–200 |conference=Financial Cryptography and Data Security |doi=10.1007/978-3-642-03549-4_11}}</ref> किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय ([[Radboud University]]) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में भेद्यता पाई, जो अटैकर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी ([[USB]]) से जुड़े रीडर को आदेश देने की अनुमति देता है।<ref name="radboud">[https://www.cs.ru.nl/~rverdult/Designed_to_Fail_A_USB-Connected_Reader_for_Online_Banking-NORDSEC_2012.pdf Designed to Fail: A USB-Connected Reader for Online Banking]</ref>
 
 
== उपयोगकर्ता ==
== उपयोगकर्ता ==


=== स्वीडन ===
=== स्वीडन ===
* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के खिलाफ अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी कर घोषणा ऑनलाइन, या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस एक यूएसबी-पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।
* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।


=== यूनाइटेड किंगडम ===
=== यूनाइटेड किंगडम ===
[[Image:nationwide-CAP-reader.jpg|right|thumb|स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस]]
[[Image:nationwide-CAP-reader.jpg|right|thumb|स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस]]
[[Image:Natwest--CAP-reader.jpg|right|thumb|स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस]]*[[यूके भुगतान प्रशासन]] ने यूके के बैंकों द्वारा उपयोग के लिए एक कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
[[Image:Natwest--CAP-reader.jpg|right|thumb|स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस]]
**[[बार्कलेस बैंक]]
 
**[[उल्स्टर बैंक]]
* [[यूके भुगतान प्रशासन]] ने यूके के बैंकों द्वारा उपयोग के लिए कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
**[[उल्स्टर बैंक|बार्कलेस बैंक]]
**अलस्टर बैंक
**[[नेटवेस्ट]]
**[[नेटवेस्ट]]
** [[सहकारी बैंक]] | सहकारी बैंक और [[मुस्कान बैंक]]
** को-ऑपरेटिव बैंक एंड स्माइल
** [[रॉयल बैंक ऑफ स्कॉटलैंड]]
** [[रॉयल बैंक ऑफ स्कॉटलैंड]]
** [[लॉयड्स बैंक]]
** [[लॉयड्स बैंक]]
** [[राष्ट्रव्यापी बिल्डिंग सोसायटी]]
** [[राष्ट्रव्यापी बिल्डिंग सोसायटी|नेशनवाइड]]
*[[बार्कलेज]], लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
*[[बार्कलेज|बार्कलेस]], लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
*बार्कलेज ने 2007 में कैप रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।<ref>{{cite web|url=http://www.barclays.co.uk/pinsentry/|title=बार्कलेज पिनसेंट्री|archiveurl=https://web.archive.org/web/20070616213459/http://www.barclays.co.uk/pinsentry/|archivedate=16 June 2007|url-status=dead}}</ref><ref>[https://www.theregister.co.uk/2006/08/09/barclays_launches_cardreaders/ Barclays to launch two-factor authentication], The Register, 2006-08-09.</ref> उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
*बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।<ref>{{cite web|url=http://www.barclays.co.uk/pinsentry/|title=बार्कलेज पिनसेंट्री|archiveurl=https://web.archive.org/web/20070616213459/http://www.barclays.co.uk/pinsentry/|archivedate=16 June 2007|url-status=dead}}</ref><ref>[https://www.theregister.co.uk/2006/08/09/barclays_launches_cardreaders/ Barclays to launch two-factor authentication], The Register, 2006-08-09.</ref> उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
*[[एचबीओएस]] द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए सीएपी रीडर पेश नहीं किए हैं।<ref name="cambridge" />
*[[एचबीओएस]] द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।<ref name="cambridge" />
 


== सॉफ्टवेयर कार्यान्वयन ==
== सॉफ्टवेयर कार्यान्वयन ==
वहां मौजूद<ref>{{Cite web|title=आवेदन पत्र|url=https://sites.uclouvain.be/EMV-CAP/आवेदन पत्र/|access-date=2021-04-30|website=sites.uclouvain.be}}</ref> टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन केवल शैक्षिक उद्देश्यों के लिए उपयोग किया जाता है।
टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन मौजूद है<ref>{{Cite web|title=आवेदन पत्र|url=https://sites.uclouvain.be/EMV-CAP/आवेदन पत्र/|access-date=2021-04-30|website=sites.uclouvain.be}}</ref> जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।
पहचान समारोह (चुनौती के बिना) चुनौती 00000000 के साथ एम 1 समारोह से मेल खाता है।


ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, एक स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। एक गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि एक कीलॉगर पिन को इंटरसेप्ट कर लेता है, और पॉइंट-ऑफ-सेल_मैलवेयर कार्ड विवरण तक पहुंच प्राप्त कर लेता है, या यहां तक ​​कि इसे संशोधित करने के लिए लेनदेन को इंटरसेप्ट करता है या अपना लेनदेन संचालित करता है।
ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।


== यह भी देखें ==
== यह भी देखें ==
* [[3-डी सुरक्षित]]
* [[3-डी सुरक्षित|3-डी सिक्योर]]
 
 
==इस पेज में लापता आंतरिक लिंक की सूची==
 
*वीजा (कंपनी)
*ट्रिपल डेस
*मैन-इन-द-बीच हमला
==संदर्भ==
==संदर्भ==


<references/>
<references/>
[[Category: भुगतान कार्ड]]
[[Category:स्मार्ट कार्ड]]


 
[[Category:Articles with invalid date parameter in template]]
[[Category: Machine Translated Page]]
[[Category:CS1 English-language sources (en)]]
[[Category:CS1 errors]]
[[Category:CS1 français-language sources (fr)]]
[[Category:CS1 maint]]
[[Category:CS1 Ελληνικά-language sources (el)]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates]]
[[Category:Created On 16/12/2022]]
[[Category:Created On 16/12/2022]]
[[Category:Machine Translated Page]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages with broken file links]]
[[Category:Pages with script errors]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates based on the Citation/CS1 Lua module]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia articles needing clarification from August 2012]]
[[Category:Wikipedia fully protected templates|Cite web]]
[[Category:Wikipedia metatemplates]]
[[Category:भुगतान कार्ड]]
[[Category:स्मार्ट कार्ड]]

Latest revision as of 12:55, 4 September 2023

चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए मास्टरकार्ड पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।[1] सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, स्टारबर्स्ट डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित प्रमाणीकरण प्रोटोकॉल में से भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित फ़िशिंग ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।[2]

ऑपरेटिंग सिद्धांत

सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:

कोड/आइडेंटिटी
किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ दशमलव वन-टाइम पासवर्ड बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।

प्रतिक्रिया

यह मोड पिछले का विस्तार है, न केवल यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।

साइन
यह मोड पिछले का विस्तार है, जहां न केवल यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।

उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।

मोड1
यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
मोड2
यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है
ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ
इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।[3]

मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।

प्रोटोकॉल विवरण

एक नॉर्डिया ई-कोड रीडर

तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से डेटा पैकेट आउटपुट करने के लिए कहता है जो काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण सम्मिलित होता है। इस पुष्टिकरण संदेश में एक संदेश प्रमाणीकरण कोड (आमतौर पर सीबीसी-मैक (CBC-MAC)/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का तरीका प्रदान किया कि पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।

ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:

  1. कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
  2. सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
  3. स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
  4. कैप डिवाइस आईएआई मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
  5. इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।

वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 8016) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 7716) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।

आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।[4] इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।[clarification needed] इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "टेस्ट" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।[4]

उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।

असंगति

मूल सीएपी विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक सामान्यतः अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।

हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस (APACS) द्वारा परिभाषित सीएपी सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।

भेद्यता

कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं सार ड्रिमर, स्टीवन मर्डोक, और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान[4] किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय (Radboud University) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में भेद्यता पाई, जो अटैकर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी (USB) से जुड़े रीडर को आदेश देने की अनुमति देता है।[5]

उपयोगकर्ता

स्वीडन

  • नवंबर 2007 में सीएपी का उपयोग करते हुए नॉर्डिया[6] नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।

यूनाइटेड किंगडम

स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस
स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस
  • यूके भुगतान प्रशासन ने यूके के बैंकों द्वारा उपयोग के लिए कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
  • बार्कलेस, लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
  • बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।[7][8] उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
  • एचबीओएस द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।[4]

सॉफ्टवेयर कार्यान्वयन

टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन मौजूद है[9] जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।

ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।

यह भी देखें

संदर्भ

  1. Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe
  2. Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.
  3. Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden
  4. 4.0 4.1 4.2 4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.
  5. Designed to Fail: A USB-Connected Reader for Online Banking
  6. New security solution | nordea.se, in Swedish.
  7. "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.
  8. Barclays to launch two-factor authentication, The Register, 2006-08-09.
  9. पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)