चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Revision as of 08:47, 27 December 2022

चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए एक मास्टरकार्ड पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।^[1] सीएपी विनिर्देश एक हैंडहेल्ड डिवाइस (सीएपी रीडर) को एक स्मार्टकार्ड स्लॉट, एक न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, स्टारबर्स्ट डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित प्रमाणीकरण प्रोटोकॉल में से एक में भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि एक स्मार्ट कार्ड और एक वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित फ़िशिंग ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।^[2]

ऑपरेटिंग सिद्धांत

सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:

कोड/आइडेंटिटी: किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ एक दशमलव वन-टाइम पासवर्ड बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।

प्रतिक्रिया

यह मोड पिछले का एक विस्तार है, न केवल एक यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।

साइन: यह मोड पिछले का एक विस्तार है, जहां न केवल एक यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।

उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।

मोड1

यह एक व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में एक लेन-देन मूल्य और मुद्रा शामिल है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।

मोड2

यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा शामिल नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है

ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ: इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।^[3]

मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में शामिल करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में शामिल किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।

प्रोटोकॉल विवरण

एक नॉर्डिया ई-कोड रीडर

तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से एक डेटा पैकेट आउटपुट करने के लिए कहता है जो एक काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण शामिल होता है। इस पुष्टिकरण संदेश में एक संदेश प्रमाणीकरण कोड (आमतौर पर सीबीसी-मैक (CBC-MAC)/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का एक तरीका प्रदान किया कि एक पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।

एक ईएमवी स्मार्टकार्ड में एक (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि एक जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। एक छोटा सा उदाहरण नीचे दिया गया है:

कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए एक क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
एक सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
कैप डिवाइस IAI मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।

वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 80₁₆) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 77₁₆) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।

आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में एक मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि एक बैंक द्वारा एक प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो एक जालसाज के लिए एक ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में एक आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।^[4] इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।^{[clarification needed]} इसी तरह बेशक; एक बैंक जो आइडेंटिफाई कमांड को लागू करता है, एक जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "परीक्षण" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।^[4]

उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।

असंगति

मूल कैप विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन कैप लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।

हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस (APACS) द्वारा परिभाषित CAP सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।

भेद्यता

कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं सार ड्रिमर, स्टीवन मर्डोक, और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान^[4] किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय (Radboud University) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में एक भेद्यता पाई, जो एक हमलावर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी (USB) से जुड़े रीडर को आदेश देने की अनुमति देता है।^[5]

उपयोगकर्ता

स्वीडन

नवंबर 2007 में सीएपी का उपयोग करते हुए नॉर्डिया।^[6] नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो CAP का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस एक यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।

यूनाइटेड किंगडम

स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस

स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस

यूके भुगतान प्रशासन ने यूके के बैंकों द्वारा उपयोग के लिए एक कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
- बार्कलेस बैंक
- अलस्टर बैंक
- नेटवेस्ट
- को-ऑपरेटिव बैंक एंड स्माइल
- रॉयल बैंक ऑफ स्कॉटलैंड
- लॉयड्स बैंक
- नेशनवाइड
बार्कलेस, लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।^[7]^[8] उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
एचबीओएस द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।^[4]

सॉफ्टवेयर कार्यान्वयन

टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया एक सॉफ्टवेयर कार्यान्वयन मौजूद है^[9] जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।

ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, एक स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। एक गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि एक कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।

यह भी देखें

3-डी सिक्योर

संदर्भ

↑ Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe
↑ Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.
↑ Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden
↑ ^4.0 ^4.1 ^4.2 ^4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.
↑ Designed to Fail: A USB-Connected Reader for Online Banking
↑ New security solution | nordea.se, in Swedish.
↑ "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.
↑ Barclays to launch two-factor authentication, The Register, 2006-08-09.
↑ पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)

[1] Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe

[2] Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.

[3] Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden

[cambridge-4] 4.0 ^4.1 ^4.2 ^4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.

[radboud-5] Designed to Fail: A USB-Connected Reader for Online Banking

[6] New security solution | nordea.se, in Swedish.

[7] "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.

[8] Barclays to launch two-factor authentication, The Register, 2006-08-09.

[9] पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

@@ Line 14: / Line 14: @@
 == प्रोटोकॉल विवरण ==
-[[Image:Nordea e-kod.jpg|right|thumb|एक नॉर्डिया ई-कोड रीडर]]सभी तीन मोड में, CAP रीडर EMV कार्ड से एक डेटा पैकेट आउटपुट करने के लिए कहता है जो एक काल्पनिक EMV भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज किए गए विवरण शामिल होते हैं। इस पुष्टिकरण संदेश में एक [[संदेश प्रमाणीकरण कोड]] (आमतौर पर [[CBC-MAC]]/ट्रिपल DES) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की सहायता से उत्पन्न होता है। इस तरह के रद्दीकरण संदेशों से नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं होता है, लेकिन इसे क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने CAP डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का एक तरीका प्रदान किया कि एक पिन-सक्रिय EMV कार्ड मौजूद है और पहले से उपयोग किए जा रहे EMV कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शंस जोड़ने के बिना कुछ दिए गए इनपुट डेटा को देखा है।
+[[Image:Nordea e-kod.jpg|right|thumb|एक नॉर्डिया ई-कोड रीडर]]तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से एक डेटा पैकेट आउटपुट करने के लिए कहता है जो एक काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण शामिल होता है। इस पुष्टिकरण संदेश में एक [[संदेश प्रमाणीकरण कोड]] (आमतौर पर सीबीसी-मैक ([[CBC-MAC]])/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का एक तरीका प्रदान किया कि एक पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।
-एक EMV स्मार्टकार्ड में एक (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या CAP लेनदेन के साथ बढ़ता है। CAP रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, MAC, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (IAI) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स में घटा दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि एक जारीकर्ता की इच्छा होनी चाहिए, यह प्रत्येक कार्ड के लिए प्रत्येक कार्ड के IAI का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, IAI में 0 का मतलब है कि कार्ड प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मान को बाइनरी से दशमलव संख्या में परिवर्तित किया जाता है और उपयोगकर्ता को प्रदर्शित किया जाता है। एक संक्षिप्त उदाहरण नीचे दिया गया है:
+एक ईएमवी स्मार्टकार्ड में एक (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि एक जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। एक छोटा सा उदाहरण नीचे दिया गया है:
-# CAP डिवाइस EMV एप्लिकेशन का चयन करता है, कार्ड से IAI जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए एक क्रिया का चयन करता है (इस उदाहरण में, IAI 111011011000 होगा<sub>[[binary number|2]]</sub>).
+# कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए एक क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
-# सफल पिन प्रविष्टि के बाद, कैप डिवाइस 011100111010 की चुनौती भेजता है<sub>2</sub> प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में।
+# एक सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
-# स्मार्टकार्ड 110101110110 का जवाब देता है<sub>2</sub> और CAP डिवाइस नकली लेनदेन को रद्द कर देता है।
+# स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
-# CAP डिवाइस IAI मास्क का उपयोग करता है: 111011011000<sub>2</sub> टुकड़े गिराने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
+# कैप डिवाइस IAI मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
-# इसलिए अंतिम प्रतिक्रिया 1100110 है<sub>2</sub> या 102 दशमलव में।
+# इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।
-वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड ARQC को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (आईडी। 80){{sub|16}}) या अधिक जटिल प्रत्युत्तर संदेश टेम्पलेट प्रारूप 2 (आईडी. 77{{sub|16}}) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।
+वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 80<sub>16</sub>) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 77<sub>16</sub>) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।
-पहचान मोड में, प्रतिक्रिया केवल IAI से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका मतलब यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में एक वैध पहचान प्रतिक्रिया उत्पन्न करेगा। हालांकि इससे भी अधिक चिंता की बात यह है कि यदि किसी बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करने से फिर से एक वैध परिणाम उत्पन्न होगा जो एक धोखेबाज के लिए एक ग्राहक को एक परीक्षण चुनौती करने का निर्देश देने की संभावना पैदा करता है। ¤0.00 की राशि के लिए प्रतिक्रिया जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में प्राप्तकर्ता के रूप में खुद को जोड़ने के लिए प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग की जा रही है; ये हमले उन बैंकों के खिलाफ संभव थे जो मजबूत प्रमाणीकरण उपकरणों का उपयोग करते थे जो कम से कम 0.01 की राशि दर्ज किए जाने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/>इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू किया गया था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; एक बैंक जो आइडेंटीफिकेशन कमांड को लागू करता है, एक जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करके एक परीक्षण प्रतिक्रिया लेनदेन करने के लिए पीड़ित से अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉगिन करने में सक्षम होगा।<ref name="cambridge"/>
+आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में एक मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि एक बैंक द्वारा एक प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो एक जालसाज के लिए एक ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में एक आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/> इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; एक बैंक जो आइडेंटिफाई कमांड को लागू करता है, एक जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "परीक्षण" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।<ref name="cambridge"/>
-उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेन के रूप में किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह, सीएपी रीडर में एक पंक्ति में तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
+उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
 == असंगति ==
-मूल CAP विनिर्देश को सामान्य EMV लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा EMV कार्ड के फ़र्मवेयर को अपडेट किए बिना CAP एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग आवेदन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर) पर लागू होता है, इसलिए कि EMV और CAP लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मूल्यों द्वारा ओवरराइड किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारी करने वाले बैंकों के कार्ड के साथ संगत नहीं होते हैं।
+मूल कैप विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन कैप लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।
-हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर [[APACS]] द्वारा परिभाषित CAP उपसमुच्चय के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड एक अलग बैंक द्वारा जारी किए गए कार्ड रीडर में उपयोग किए जा सकते हैं।
+हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस ([[APACS|APACS)]] द्वारा परिभाषित CAP सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।
 == भेद्यता ==
-[[कैम्ब्रिज विश्वविद्यालय]] के शोधकर्ता सार ड्रिमर, [[स्टीवन मर्डोक]] और रॉस जे. एंडरसन ने शोध किया<ref name="cambridge">{{cite conference |url=https://murdoch.is/papers/fc09optimised.pdf |title=असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर|last1=Drimer |first1=Saar |last2=Murdoch |first2=Steven J. |last3=Anderson |first3=Ross |author-link2=Steven Murdoch |authorlink3=Ross J. Anderson |year=2009 |publisher=Springer |series=LNCS |volume=5628 |pages=184–200 |conference=Financial Cryptography and Data Security |doi=10.1007/978-3-642-03549-4_11}}</ref> सीएपी के कार्यान्वयन में, प्रोटोकॉल में कई कमजोरियों की रूपरेखा और पाठकों और कार्ड दोनों के यूके संस्करण। कई कमियां पाई गईं। [[Radboud University]] के शोधकर्ताओं ने डच [[ABN AMRO]] e.dentifier2 में एक भेद्यता पाई, जिससे एक हमलावर [[USB]] कनेक्टेड रीडर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने का आदेश दे सकता है।<ref name="radboud">[https://www.cs.ru.nl/~rverdult/Designed_to_Fail_A_USB-Connected_Reader_for_Online_Banking-NORDSEC_2012.pdf Designed to Fail: A USB-Connected Reader for Online Banking]</ref>
+[[कैम्ब्रिज विश्वविद्यालय]] के शोधकर्ताओं सार ड्रिमर, [[स्टीवन मर्डोक]], और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान<ref name="cambridge">{{cite conference |url=https://murdoch.is/papers/fc09optimised.pdf |title=असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर|last1=Drimer |first1=Saar |last2=Murdoch |first2=Steven J. |last3=Anderson |first3=Ross |author-link2=Steven Murdoch |authorlink3=Ross J. Anderson |year=2009 |publisher=Springer |series=LNCS |volume=5628 |pages=184–200 |conference=Financial Cryptography and Data Security |doi=10.1007/978-3-642-03549-4_11}}</ref> किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय ([[Radboud University]]) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में एक भेद्यता पाई, जो एक हमलावर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी ([[USB]]) से जुड़े रीडर को आदेश देने की अनुमति देता है।<ref name="radboud">[https://www.cs.ru.nl/~rverdult/Designed_to_Fail_A_USB-Connected_Reader_for_Online_Banking-NORDSEC_2012.pdf Designed to Fail: A USB-Connected Reader for Online Banking]</ref>
 == उपयोगकर्ता ==
 === स्वीडन ===
-* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के खिलाफ अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी कर घोषणा ऑनलाइन, या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस एक यूएसबी-पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।
+* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो CAP का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस एक यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।
 === यूनाइटेड किंगडम ===
 [[Image:nationwide-CAP-reader.jpg|right|thumb|स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस]]
-[[Image:Natwest--CAP-reader.jpg|right|thumb|स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस]]*[[यूके भुगतान प्रशासन]] ने यूके के बैंकों द्वारा उपयोग के लिए एक कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
+[[Image:Natwest--CAP-reader.jpg|right|thumb|स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस]]
-**[[बार्कलेस बैंक]]
-**[[उल्स्टर बैंक]]
+* [[यूके भुगतान प्रशासन]] ने यूके के बैंकों द्वारा उपयोग के लिए एक कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
+**[[उल्स्टर बैंक|बार्कलेस बैंक]]
+**अलस्टर बैंक
 **[[नेटवेस्ट]]
-** [[सहकारी बैंक]] | सहकारी बैंक और [[मुस्कान बैंक]]
+** को-ऑपरेटिव बैंक एंड स्माइल
 ** [[रॉयल बैंक ऑफ स्कॉटलैंड]]
 ** [[लॉयड्स बैंक]]
-** [[राष्ट्रव्यापी बिल्डिंग सोसायटी]]
+** [[राष्ट्रव्यापी बिल्डिंग सोसायटी|नेशनवाइड]]
-*[[बार्कलेज]], लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
+*[[बार्कलेज|बार्कलेस]], लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
-*बार्कलेज ने 2007 में कैप रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।<ref>{{cite web|url=http://www.barclays.co.uk/pinsentry/|title=बार्कलेज पिनसेंट्री|archiveurl=https://web.archive.org/web/20070616213459/http://www.barclays.co.uk/pinsentry/|archivedate=16 June 2007|url-status=dead}}</ref><ref>[https://www.theregister.co.uk/2006/08/09/barclays_launches_cardreaders/ Barclays to launch two-factor authentication], The Register, 2006-08-09.</ref> उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
+*बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।<ref>{{cite web|url=http://www.barclays.co.uk/pinsentry/|title=बार्कलेज पिनसेंट्री|archiveurl=https://web.archive.org/web/20070616213459/http://www.barclays.co.uk/pinsentry/|archivedate=16 June 2007|url-status=dead}}</ref><ref>[https://www.theregister.co.uk/2006/08/09/barclays_launches_cardreaders/ Barclays to launch two-factor authentication], The Register, 2006-08-09.</ref> उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
-*[[एचबीओएस]] द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए सीएपी रीडर पेश नहीं किए हैं।<ref name="cambridge" />
+*[[एचबीओएस]] द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।<ref name="cambridge" />
 == सॉफ्टवेयर कार्यान्वयन ==
-वहां मौजूद<ref>{{Cite web|title=आवेदन पत्र|url=https://sites.uclouvain.be/EMV-CAP/आवेदन पत्र/|access-date=2021-04-30|website=sites.uclouvain.be}}</ref> टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन केवल शैक्षिक उद्देश्यों के लिए उपयोग किया जाता है।
+टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया एक सॉफ्टवेयर कार्यान्वयन मौजूद है<ref>{{Cite web|title=आवेदन पत्र|url=https://sites.uclouvain.be/EMV-CAP/आवेदन पत्र/|access-date=2021-04-30|website=sites.uclouvain.be}}</ref> जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।
-पहचान समारोह (चुनौती के बिना) चुनौती 00000000 के साथ एम 1 समारोह से मेल खाता है।
-ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, एक स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। एक गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि एक कीलॉगर पिन को इंटरसेप्ट कर लेता है, और पॉइंट-ऑफ-सेल_मैलवेयर कार्ड विवरण तक पहुंच प्राप्त कर लेता है, या यहां तक कि इसे संशोधित करने के लिए लेनदेन को इंटरसेप्ट करता है या अपना लेनदेन संचालित करता है।
+ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, एक स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। एक गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि एक कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।
 == यह भी देखें ==
-* [[3-डी सुरक्षित]]
+* [[3-डी सुरक्षित|3-डी सिक्योर]]
-==इस पेज में लापता आंतरिक लिंक की सूची==
-*वीजा (कंपनी)
-*ट्रिपल डेस
-*मैन-इन-द-बीच हमला
 ==संदर्भ==

Anonymous

Search

चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Namespaces

More

Page actions

Revision as of 08:47, 27 December 2022

Contents

ऑपरेटिंग सिद्धांत

प्रोटोकॉल विवरण

असंगति

भेद्यता

उपयोगकर्ता

स्वीडन

यूनाइटेड किंगडम

सॉफ्टवेयर कार्यान्वयन

यह भी देखें

संदर्भ

Navigation

Navigation

Wiki tools

Wiki tools

Anonymous

Search

चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

Revision as of 08:47, 27 December 2022

ऑपरेटिंग सिद्धांत

प्रोटोकॉल विवरण

असंगति

भेद्यता

उपयोगकर्ता

स्वीडन

यूनाइटेड किंगडम

सॉफ्टवेयर कार्यान्वयन

यह भी देखें

संदर्भ

Navigation

Wiki tools

Page tools

Other projects

Categories