चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Revision as of 07:54, 27 December 2022

चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए एक मास्टरकार्ड पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।^[1] सीएपी विनिर्देश एक हैंडहेल्ड डिवाइस (सीएपी रीडर) को एक स्मार्टकार्ड स्लॉट, एक न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, स्टारबर्स्ट डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित प्रमाणीकरण प्रोटोकॉल में से एक में भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि एक स्मार्ट कार्ड और एक वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित फ़िशिंग ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।^[2]

ऑपरेटिंग सिद्धांत

सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:

कोड/आइडेंटिटी: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ एक दशमलव वन-टाइम पासवर्ड बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।

प्रतिक्रिया

यह मोड पिछले का एक विस्तार है, न केवल एक यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।

साइन: यह मोड पिछले का एक विस्तार है, जहां न केवल एक यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।

उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।

मोड1

यह एक व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में एक लेन-देन मूल्य और मुद्रा शामिल है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।

मोड2

यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा शामिल नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है

ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ: इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।^[3]

मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में शामिल करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में शामिल किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।

प्रोटोकॉल विवरण

एक नॉर्डिया ई-कोड रीडर

सभी तीन मोड में, CAP रीडर EMV कार्ड से एक डेटा पैकेट आउटपुट करने के लिए कहता है जो एक काल्पनिक EMV भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज किए गए विवरण शामिल होते हैं। इस पुष्टिकरण संदेश में एक संदेश प्रमाणीकरण कोड (आमतौर पर CBC-MAC/ट्रिपल DES) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की सहायता से उत्पन्न होता है। इस तरह के रद्दीकरण संदेशों से नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं होता है, लेकिन इसे क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने CAP डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का एक तरीका प्रदान किया कि एक पिन-सक्रिय EMV कार्ड मौजूद है और पहले से उपयोग किए जा रहे EMV कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शंस जोड़ने के बिना कुछ दिए गए इनपुट डेटा को देखा है।

एक EMV स्मार्टकार्ड में एक (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या CAP लेनदेन के साथ बढ़ता है। CAP रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, MAC, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (IAI) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स में घटा दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि एक जारीकर्ता की इच्छा होनी चाहिए, यह प्रत्येक कार्ड के लिए प्रत्येक कार्ड के IAI का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, IAI में 0 का मतलब है कि कार्ड प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मान को बाइनरी से दशमलव संख्या में परिवर्तित किया जाता है और उपयोगकर्ता को प्रदर्शित किया जाता है। एक संक्षिप्त उदाहरण नीचे दिया गया है:

CAP डिवाइस EMV एप्लिकेशन का चयन करता है, कार्ड से IAI जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए एक क्रिया का चयन करता है (इस उदाहरण में, IAI 111011011000 होगा₂).
सफल पिन प्रविष्टि के बाद, कैप डिवाइस 011100111010 की चुनौती भेजता है₂ प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में।
स्मार्टकार्ड 110101110110 का जवाब देता है₂ और CAP डिवाइस नकली लेनदेन को रद्द कर देता है।
CAP डिवाइस IAI मास्क का उपयोग करता है: 111011011000₂ टुकड़े गिराने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
इसलिए अंतिम प्रतिक्रिया 1100110 है₂ या 102 दशमलव में।

वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड ARQC को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (आईडी। 80)₁₆) या अधिक जटिल प्रत्युत्तर संदेश टेम्पलेट प्रारूप 2 (आईडी. 77₁₆) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।

पहचान मोड में, प्रतिक्रिया केवल IAI से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका मतलब यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में एक वैध पहचान प्रतिक्रिया उत्पन्न करेगा। हालांकि इससे भी अधिक चिंता की बात यह है कि यदि किसी बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करने से फिर से एक वैध परिणाम उत्पन्न होगा जो एक धोखेबाज के लिए एक ग्राहक को एक परीक्षण चुनौती करने का निर्देश देने की संभावना पैदा करता है। ¤0.00 की राशि के लिए प्रतिक्रिया जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में प्राप्तकर्ता के रूप में खुद को जोड़ने के लिए प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग की जा रही है; ये हमले उन बैंकों के खिलाफ संभव थे जो मजबूत प्रमाणीकरण उपकरणों का उपयोग करते थे जो कम से कम 0.01 की राशि दर्ज किए जाने तक गतिविधियों को रद्द नहीं कर रहे थे।^[4]इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू किया गया था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।^{[clarification needed]} इसी तरह बेशक; एक बैंक जो आइडेंटीफिकेशन कमांड को लागू करता है, एक जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करके एक परीक्षण प्रतिक्रिया लेनदेन करने के लिए पीड़ित से अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉगिन करने में सक्षम होगा।^[4]

उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेन के रूप में किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह, सीएपी रीडर में एक पंक्ति में तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।

असंगति

मूल CAP विनिर्देश को सामान्य EMV लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा EMV कार्ड के फ़र्मवेयर को अपडेट किए बिना CAP एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग आवेदन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर) पर लागू होता है, इसलिए कि EMV और CAP लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मूल्यों द्वारा ओवरराइड किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारी करने वाले बैंकों के कार्ड के साथ संगत नहीं होते हैं।

हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर APACS द्वारा परिभाषित CAP उपसमुच्चय के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड एक अलग बैंक द्वारा जारी किए गए कार्ड रीडर में उपयोग किए जा सकते हैं।

भेद्यता

कैम्ब्रिज विश्वविद्यालय के शोधकर्ता सार ड्रिमर, स्टीवन मर्डोक और रॉस जे. एंडरसन ने शोध किया^[4] सीएपी के कार्यान्वयन में, प्रोटोकॉल में कई कमजोरियों की रूपरेखा और पाठकों और कार्ड दोनों के यूके संस्करण। कई कमियां पाई गईं। Radboud University के शोधकर्ताओं ने डच ABN AMRO e.dentifier2 में एक भेद्यता पाई, जिससे एक हमलावर USB कनेक्टेड रीडर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने का आदेश दे सकता है।^[5]

उपयोगकर्ता

स्वीडन

नवंबर 2007 में सीएपी का उपयोग करते हुए नॉर्डिया।^[6] नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के खिलाफ अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी कर घोषणा ऑनलाइन, या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस एक यूएसबी-पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।

यूनाइटेड किंगडम

स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस

स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस

*यूके भुगतान प्रशासन ने यूके के बैंकों द्वारा उपयोग के लिए एक कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:

बार्कलेज, लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
बार्कलेज ने 2007 में कैप रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।^[7]^[8] उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
एचबीओएस द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए सीएपी रीडर पेश नहीं किए हैं।^[4]

सॉफ्टवेयर कार्यान्वयन

वहां मौजूद^[9] टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन केवल शैक्षिक उद्देश्यों के लिए उपयोग किया जाता है। पहचान समारोह (चुनौती के बिना) चुनौती 00000000 के साथ एम 1 समारोह से मेल खाता है।

ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, एक स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। एक गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि एक कीलॉगर पिन को इंटरसेप्ट कर लेता है, और पॉइंट-ऑफ-सेल_मैलवेयर कार्ड विवरण तक पहुंच प्राप्त कर लेता है, या यहां तक कि इसे संशोधित करने के लिए लेनदेन को इंटरसेप्ट करता है या अपना लेनदेन संचालित करता है।

यह भी देखें

3-डी सुरक्षित

इस पेज में लापता आंतरिक लिंक की सूची

वीजा (कंपनी)
ट्रिपल डेस
मैन-इन-द-बीच हमला

संदर्भ

↑ Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe
↑ Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.
↑ Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden
↑ ^4.0 ^4.1 ^4.2 ^4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.
↑ Designed to Fail: A USB-Connected Reader for Online Banking
↑ New security solution | nordea.se, in Swedish.
↑ "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.
↑ Barclays to launch two-factor authentication, The Register, 2006-08-09.
↑ पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)

[1] Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe

[2] Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.

[3] Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden

[cambridge-4] 4.0 ^4.1 ^4.2 ^4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.

[radboud-5] Designed to Fail: A USB-Connected Reader for Online Banking

[6] New security solution | nordea.se, in Swedish.

[7] "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.

[8] Barclays to launch two-factor authentication, The Register, 2006-08-09.

[9] पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

@@ Line 1: / Line 1: @@
-[[image:Barclays pinsentry.jpg|thumb|right|250px| Gemalto EZIO CAP डिवाइस बार्कलेज पिनसेंट्री स्टाइल के साथ
+चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए एक [[मास्टर कार्ड|मास्टरकार्ड]] पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश एक हैंडहेल्ड डिवाइस (सीएपी रीडर) को एक स्मार्टकार्ड स्लॉट, एक न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन|स्टारबर्स्ट]] डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से एक में भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि एक स्मार्ट कार्ड और एक वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
-चिप ऑथेंटिकेशन प्रोग्राम (CAP) एक [[मास्टर कार्ड]] पहल है और [[प्रमाणीकरण]] उपयोगकर्ताओं और ऑनलाइन और टेलीफोन बैंकिंग में लेनदेन के लिए [[EMV]] बैंकिंग [[स्मार्ट कार्ड]] का उपयोग करने के लिए तकनीकी विनिर्देश है। इसे वीज़ा (कंपनी) द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश एक हैंडहेल्ड डिवाइस (सीएपी रीडर) को एक स्मार्टकार्ड स्लॉट, एक न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन]]) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा CAP रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से एक में भाग लेने के लिए CAP रीडर में अपना [[चिप और पिन]] (EMV) कार्ड डाल सकते हैं। CAP [[दो तरीकों से प्रमाणीकरण]] का एक रूप है क्योंकि एक स्मार्ट कार्ड और एक वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपने विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
+== ऑपरेटिंग सिद्धांत ==
+सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
+; कोड/आइडेंटिटी: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ एक दशमलव [[एक बारी पासवर्ड|वन-टाइम पासवर्ड]] बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।
+'''प्रतिक्रिया'''
+यह मोड पिछले का एक विस्तार है, न केवल एक यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।
-== ऑपरेटिंग सिद्धांत ==
-सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन हैं:
-; कोड/पहचान: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ एक दशमलव [[एक बारी पासवर्ड]] बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।
-प्रतिक्रिया: यह मोड चुनौती-प्रतिक्रिया प्रमाणीकरण को लागू करता है, जहां बैंक की वेबसाइट ग्राहक को सीएपी रीडर में एक चुनौती संख्या दर्ज करने के लिए कहती है, और फिर सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया संख्या को वेब साइट में कॉपी करती है।
 ;साइन: यह मोड पिछले का एक विस्तार है, जहां न केवल एक यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।
-उपर्युक्त लेनदेन प्रकार दो में से एक मोड का उपयोग करके कार्यान्वित किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उन्हें इस तरह से नाम नहीं दिया गया है।
+उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
-;मोड1: यह सामान्य मौद्रिक लेन-देन का तरीका है जैसे किसी व्यापारी के माध्यम से ऑनलाइन खरीदारी। क्रिप्टोग्राम की गणना में एक लेनदेन मूल्य और मुद्रा शामिल हैं। यदि कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट कर दिया जाता है।
+;मोड1: यह एक व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में एक लेन-देन मूल्य और मुद्रा शामिल है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
-;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉग इन करना। कोई लेन-देन मूल्य, मुद्रा या अन्य डेटा शामिल नहीं है, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है।{{paragraph break}}{{glossary}}{{term|With transaction data signing (TDS)}}{{defn|This mode may be used for more complicated transactions, such as a funds transfer between accounts. Multiple data fields pertaining to the transaction are concatenated and then hashed with a Mode2 cryptogram as the key for the hashing algorithm. The resultant hash is used in place of the cryptogram calculated in a non-TDS Mode2 operation.<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
+;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा शामिल नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है{{paragraph break}}{{glossary}}{{term|ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ}}{{defn|इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
-मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में शामिल करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में शामिल किया जाता है। . यदि यह इस अंतर के लिए नहीं होता, तो सभी कार्यों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल ऑपरेशन के रूप में सामान्यीकृत किया जा सकता था।
+मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में शामिल करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में शामिल किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।
 == प्रोटोकॉल विवरण ==

Anonymous

Search

चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Namespaces

More

Page actions

Revision as of 07:54, 27 December 2022

Contents

ऑपरेटिंग सिद्धांत

प्रोटोकॉल विवरण

असंगति

भेद्यता

उपयोगकर्ता

स्वीडन

यूनाइटेड किंगडम

सॉफ्टवेयर कार्यान्वयन

यह भी देखें

इस पेज में लापता आंतरिक लिंक की सूची

संदर्भ

Navigation

Navigation

Wiki tools

Wiki tools

Anonymous

Search

चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Revision as of 07:54, 27 December 2022

ऑपरेटिंग सिद्धांत

प्रोटोकॉल विवरण

असंगति

भेद्यता

उपयोगकर्ता

स्वीडन

यूनाइटेड किंगडम

सॉफ्टवेयर कार्यान्वयन

यह भी देखें

इस पेज में लापता आंतरिक लिंक की सूची

संदर्भ

Navigation

Wiki tools

Page tools

Other projects

Categories