Europay master visa standardında akıllı kart kişiselleştirilmesi

Abstract

Akıllı kart, içine bir mikroişlemci ve bir bellek tümdevresi veya programlanabilme özelliği olmadan yalnızca bellek tümdevresi yerleştirilmiş bir elektronik karttır. Mikroişlemcili kartlar, kart üzerinde bulunan veriler üzerinde değişiklik yapılmasına olanak tanırken bellek kartları yalmzca önceden tanımlanmış işlemleri yürütebilir. Mikroişlemcili kartların yapısı bilgisayarda bulunan temel özelliklere sahiptir. Akıllı kartların sunduğu teknolojik imkanların kart ile alış veriş yapmanın veya güvenlik uygulamalarının şeklini değiştirdiğini söyleyebiliriz. Manyetik kart sistemlerinde kart üzerinde sadece müşteri numarası bulunduğu için gerekli bilgi ve güvenlik kontrolü sadece merkezdeki bilgisayarda yapılıp sonuç satış noktasına bildirilmektedir. Akıllı kartlar ise güvenlik sorgulamasını kendisi yaptığından ve para bakiyesi, kimlik bilgisi gibi bilgileri kendi üzerinde taşıyabildiğinden eski sistemlere göre çok daha esnek uygulama imkanları sunmaktadır. Eskiden yapılamayan pek çok uygulama akıllı kartlar ile hayata geçmektedir. Akıllı kartlar son derece güvenli oldukları için elektronik ticarette gün geçtikçe daha fazla kullanılmaktadır. 1 994 yılı Haziran ayında Europay, MasterCard ve VISA, manyetik bant teknolojisinin yerine çip teknolojisini başlatmak için ilk uluslararası kart ödeme organizasyonunu başlatmıştır. Europay, MasterCard ve VISA'nm çip teknolojisi dört ana alanda odaklanmaktadır. Bunlar; dolandırıcılığı azaltma, telekomünikasyon maliyetlerini azaltma, kredi risk yönetimi ve elektronik cüzdandır. EMV (Europay, MasterCard, Visa), Europay, Mastercard ve Visa tarafından tanımlanan bir güvenli haberleşme veri iletimi standardıdır. EMV standardı dolandırıcılık, kopyalanma, kayıp ve çalıntı kartların kullanımının engellenmesi açısından gerekli teknolojik alt yapıya sahiptir. EMV kartı kişiselleştirme aşamasında karta veri yazabilmek ve kartın üstünde dosya yapısı oluşturmak için kartı kişiseli eştiren kurumun ve veri bütünlüğünün asili anması ve bazı anahtarların ve PIN (Personal Identification Number) gibi özel bilgilerin şifrelenerek karta yazılması xııı gerekir. EMV kartının kişiselleştirme ve uygulama gibi iki aşaması vardır. Kişiselleştirme aşamasında EMV kartının üzerine yazılan EMV verileri, anahtarlar, sertifikalar ve sayısal imzalar yazılır, bu veriler uygulama aşamasında kullanılır. EMV kartının kişiselleştirme aşamasında asıllama ve veri bütünlüğü, EMV kartının uygulama aşamasında asıllama, veri bütünlüğü ve kimlik tanıma için asimetrik ve simetrik anahtar şifreleme algoritmaları kullanılır. Çevrimdışı (offline) statik veri asıllama (Offline Static Data Authentication-SDA) ve dinamik veri asıllama (Dynamic Data Authentication-DDA) yapabilen iki türlü EMV kartı vardır. Tez kapsamında gerçeklenen sistemde statik veri asıllama yapabilen kart kullanılmaktadır. EMV standardı, çevrimdışı işlemlere olanak sağladığı için operasyon maliyetlerinin azaltılmasına olanak sağlar, ayrıca bu özelliği sayesinde gerekli haberleşme altyapısına sahip olmayan bölgelerde de uygulama alam oluşturmaktadır. EMV kartının çevrimdışı işlem yapması için DDA yapabilen kartlarda, çevrimdışı dinamik veri asıllama ve çevrimdışı PIN doğrulama (Offline PIN Verification) işlemlerinin başarılı olması gereklidir. SDA yapabilen kartlarda çevrimdışı statik veri asıllama işlemlerinin başarılı olması gereklidir. Bu çalışmada bankacılık sisteminde kullanılan EMV kartı basan kart basım sistemi incelenmiş, sistem bir bilgisayar ve kart okuyucu kullanılarak gerçeklenmiştir. Bankaların kart basım makinelerinin üzerinde çalışan üretici firma yazılımı, kart basım makinesine EMV verisi hazırlayan P3 (Personalization Preparetion Process) sistem yazılımı ve karta, anahtar, sertifika ve sayısal imza hazırlayan HSM (Host Security Modül) cihazımn yapması gereken işlemler bir pilot sistem üzerinde gerçeklenmiştir.

Smart card is a type of plastic card that which holds inside or embedded outside a microprocessor chip. Microprocessor embedded smartcards give option to change data on them. The structure of the microprocessor cards carries the basic properties of the computer processor. It can be said that the futures of the microprocessor cards affected on the principles of the trading of goods and the cryptological approvements. On magnetic cards only the card number is hold on the track data and the online system proves the customer to the aim of giving authorization to merchant. Due to holding cash and identification information of customer and making cryptologic authantications microprocessor cards give more flexible facilities for trading based application developments. Nowadays many giving impossible applications for developing can be made by smart cards at trading. Being more secure is increasing the usage of smartcards day by day. At 1994 Visa, MasterCard, Europay established the first international electronic card payment organisation. The chip technology that focused by Visa, MasterCard and Europay based on four basic subjects. These are decreasing the frauds, telecomunication costs, credit risk management, and generating the electronic wallet. EMV is a standart which generated by Visa, MasterCard, Europay focuses on secure communication. At the development of this workshop a card reader, an emv card, a computer is used by examinig the card embosment machines of banks. The data preparation phase of EMV Data (P3), the key management duty (Digital Signature Generating, Verifying, Key Generating..) of HSM (Host Security Moudle) is developed on this pilot application. EMV standart has the necessary technologic background to avoid the use of copied, lost, stolen cards. During EMV card personalization process, to write data to the card and to create a file structure in the card, the personalizer company and the data integrity has to be authenticated. Also some keys and PIN (Personal Identification xv Number) have to be encrypted and then written on the card. EMV Card has to steps; Application and Personalization. EMV Data on the card, keys, certificates and digital signatures,that are written on the card during personalization process, are used in the application proccess. All the asymetric and symetric key encryption algorithms used for authentication, data integrity and verification during the application and personalization process' are examined. There are two types of EMV Cards; a-) Offline Static Data Authentication (SDA) and Dynamic Data Authentication (DDA). We used SDA in our pilot system. Because The EMV Standard provides Offline operation, it reduces Operation Expenses. Also with this facility one can make operations even in a place that does not have necessary communication substructure. EMV Cards that supports DDA has to pass Offline Dynamic Data Authentication and Offline PIN Verification to make successful Offline Operations. For EMV Cards that supports SDA has to only pass Offline Data Authentication.