EMV-чип
EMV-чип — это микропроцессор, встраиваемый в пластиковые платёжные карты (дебетовые, кредитные, предоплаченные), который обеспечивает выполнение криптографических протоколов для аутентификации держателя и транзакции в соответствии со стандартом EMV (Europay, Mastercard, Visa). Название происходит от первых букв компаний-основателей спецификации: Europay, Mastercard и Visa. EMV-чип является ключевым элементом технологии чиповых карт, пришедшей на смену магнитной полосе для повышения безопасности безналичных расчётов.
История
Предпосылки создания
До внедрения EMV основным способом хранения данных на платёжных картах была магнитная полоса. Данные на ней записаны в статическом виде и легко считываются, копируются и подделываются. Уязвимость магнитной полосы привела к росту мошенничества, особенно при транзакциях в точках продаж (POS-терминалах), где злоумышленники могли установить скиммеры для кражи данных.
Разработка стандарта
В 1993 году компании Europay, Mastercard и Visa начали совместную работу над единым стандартом для чиповых карт. Целью было создание открытой спецификации, которая бы обеспечивала взаимную совместимость устройств и карт разных эмитентов. Первая версия спецификации EMV была опубликована в 1996 году. Впоследствии к консорциуму присоединились American Express, JCB и Discover, а управление стандартом перешло к организации EMVCo (основана в 1999 году).
Внедрение
Первыми регионами, массово внедрившими EMV-карты, стали Европа и Азия. В России переход на чиповые карты начался в середине 2000-х годов. К 2015 году большинство эмитентов в мире перешли на выпуск карт с EMV-чипом, а сети POS-терминалов были модернизированы для их приёма. В США, где долгое время доминировала магнитная полоса, массовый переход на EMV произошёл в 2015—2016 годах после введения правил, перекладывающих ответственность за мошенничество на сторону, не поддерживающую чип.
Устройство и принцип работы
Аппаратная часть
EMV-чип представляет собой микроконтроллер, размещённый на плате карты. Он включает:
- Центральный процессор (CPU) — выполняет программный код.
- Память:
- ROM (постоянная) — хранит операционную систему и базовые функции.
- EEPROM/Flash (энергонезависимая) — хранит данные держателя карты (номер счёта, срок действия, PIN-код в зашифрованном виде, криптографические ключи).
- RAM (оперативная) — используется для временного хранения данных во время транзакции.
- Криптографический сопроцессор — аппаратно ускоряет выполнение алгоритмов шифрования (RSA, DES, AES).
Чип контактирует с терминалом через металлические контактные площадки на поверхности карты (обычно 6 или 8 контактов). Бесконтактные EMV-карты (с интерфейсом NFC) содержат дополнительную антенну и работают по протоколу EMV Contactless (qVSDC или M/Chip).
Программная часть
На чипе работает специализированная операционная система, которая управляет выполнением приложений, эмулирующих платёжный продукт (например, Visa, Mastercard, «Мир»). Ключевые функции:
- Аутентификация карты — проверка подлинности карты терминалом (Static Data Authentication — SDA, Dynamic Data Authentication — DDA, Combined DDA/Application Cryptogram Generation — CDA).
- Аутентификация держателя — проверка PIN-кода (онлайн или офлайн) или подписи.
- Генерация криптограммы — создание уникального цифрового кода (Application Cryptogram — AC) для каждой транзакции.
Принцип работы транзакции
- Инициализация: Карта вставляется в терминал (или подносится к NFC-ридеру). Терминал подаёт питание на чип и считывает его идентификационные данные.
- Выбор приложения: Терминал определяет, какие платёжные системы поддерживает карта, и выбирает подходящее приложение.
- Аутентификация карты: Терминал проверяет цифровую подпись карты, используя сертификаты, хранящиеся в терминале. Это гарантирует, что карта не подделана.
- Аутентификация держателя: Если требуется, держатель вводит PIN-код. Чип проверяет его офлайн (сравнивая с хранящимся в памяти) или отправляет на онлайн-верификацию в банк.
- Генерация криптограммы: Чип на основе данных транзакции (сумма, валюта, дата, счётчик) и секретного ключа генерирует криптограмму (Application Cryptogram). Этот код уникален для каждой операции и не может быть использован повторно.
- Авторизация: Криптограмма отправляется в платёжную систему и банк-эмитент для проверки. Если она верна и на счёте достаточно средств, транзакция одобряется.
Классификация EMV-карт
По способу взаимодействия
- Контактные: Требуют физического контакта с терминалом. Используют контактную площадку.
- Бесконтактные (NFC): Работают на расстоянии до 4 см. Используют радиоинтерфейс. Скорость транзакции выше, часто не требуется ввод PIN-кода для малых сумм.
- Дуальные (Dual Interface): Поддерживают оба режима — контактный и бесконтактный.
По уровню безопасности
- SDA (Static Data Authentication): Простейший уровень. Карта предоставляет статический сертификат. Уязвима для клонирования, если злоумышленник получает доступ к чипу.
- DDA (Dynamic Data Authentication): Карта генерирует динамический криптографический код на основе случайного числа от терминала. Защищает от клонирования.
- CDA (Combined DDA/Application Cryptogram Generation): Самая современная и безопасная схема. Аутентификация карты и генерация криптограммы объединены в один процесс. Используется в большинстве современных карт.
Применение
EMV-чипы используются во всех основных платёжных системах мира: Visa, Mastercard, American Express, JCB, Discover, а также в национальных системах, таких как «Мир» (Россия), UPI (Индия), RuPay (Индия), BC Card (Южная Корея). Помимо банковских карт, EMV-стандарт применяется в:
- Транспортных картах (например, для оплаты проезда в метро).
- Идентификационных картах (например, в некоторых странах — водительские права с платёжной функцией).
- SIM-картах (для мобильных платежей с использованием NFC).
Преимущества и недостатки
Преимущества
- Безопасность: Динамическая криптограмма делает каждую транзакцию уникальной, что практически исключает клонирование карты при считывании данных с чипа.
- Офлайн-аутентификация: Возможность проверки подлинности карты без связи с банком (например, в самолёте или поезде).
- Снижение мошенничества: По данным EMVCo, внедрение EMV-чипов привело к значительному сокращению случаев мошенничества с поддельными картами в точках продаж.
- Многофункциональность: На одном чипе могут храниться приложения нескольких платёжных систем и других сервисов (например, бонусные программы).
Недостатки
- Стоимость: Производство чиповых карт дороже, чем карт с магнитной полосой.
- Сложность инфраструктуры: Требуется модернизация POS-терминалов и банкоматов для поддержки EMV.
- Уязвимость для атак на канале связи: Если терминал скомпрометирован, данные транзакции могут быть перехвачены, хотя их использование для подделки карты затруднено.
- Ограниченная защита от мошенничества в интернете: EMV-чип не защищает от CNP-транзакций (Card Not Present — транзакции без физического присутствия карты), таких как покупки в интернете.
Критика и инциденты
Несмотря на высокий уровень безопасности, EMV-чипы не являются абсолютно неуязвимыми. Известны атаки:
- Атака на терминал: Злоумышленник может модифицировать терминал, чтобы он не запрашивал PIN-код или передавал неверные данные.
- Атака «встреча посередине» (Man-in-the-Middle): В редких случаях возможна подмена данных между чипом и терминалом, если используются устаревшие протоколы.
- Отказ в обслуживании (DoS): С помощью физического воздействия (например, сильного магнитного поля) можно вывести чип из строя, что вынудит использовать магнитную полосу (если она есть).
- Проблемы с PIN-кодом: В некоторых реализациях офлайн-PIN может быть перехвачен при вводе на терминале.
Тем не менее, EMV-чип остаётся стандартом де-факто для физических платёжных карт, и его внедрение привело к существенному снижению масштабов мошенничества с пластиковыми картами.
Источники
- EMVCo. «EMV Integrated Circuit Card Specifications for Payment Systems» (Book 1—4).
- Mastercard. «M/Chip Advance Card Application Specification».
- Visa. «Visa Integrated Circuit Card Specification».
- Банк России. «Стандарты безопасности платёжных карт».
- Отчёты EMVCo по внедрению и статистике мошенничества (2015—2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →