金融IC卡磁條將停刷 支持非接功能的手刷將被熱捧

　　這是一家手刷品牌的一則風(fēng)險預(yù)警提示，做手刷很賺錢這個共識在行業(yè)內(nèi)幾乎沒人否認(rèn)，很多代理商頭疼的是“盜刷”和“惡意拒付”，如果您的手刷不接受磁條卡刷卡消費(fèi)或者只能小額消費(fèi)，而只接受芯片卡插卡或者揮卡消費(fèi)，或許一切煩惱都會被解決。因?yàn)椴还苁遣蹇ㄟ€是揮卡基于的都是讀取芯片傳送數(shù)據(jù)信息，芯片卡目前很難有黑科技有技術(shù)能夠復(fù)制，而犯罪分子的大規(guī)模復(fù)制盜刷幾乎不可能。而芯片卡由于很難被復(fù)制所以一般對那些惡意拒付的人也能起到警戒作用，就算被拒付了我們也能幾乎確認(rèn)是持卡人本人或身邊人消費(fèi)的，剩下來調(diào)查取證就會變得方向明確很多。

　　目前市場上手刷主要分為不帶密碼鍵盤的個人支付終端俗稱：刷卡頭，以及帶密碼鍵盤的商用終端俗稱：MPOS，而刷卡頭由于較低的成本深受市場認(rèn)可，布放量極大，但是目前95%刷卡頭只支持：磁條刷卡和芯片插卡，而不支持NPC非接支付，但根據(jù)手刷市場目前出現(xiàn)的風(fēng)險狀況，以及芯片卡普及的趨勢來看，帶非接功能的刷卡頭以及MPOS或許會遭熱捧。目前已經(jīng)有部分廠家開始量產(chǎn)非接刷卡頭。

　　我們也建議各家手刷品牌禁止磁條卡交易或禁止磁條卡大額交易，倡導(dǎo)使用插卡或揮卡的芯片交易。為什么倡導(dǎo)非接揮卡支付?因?yàn)檫@種交易完全可以作為前期風(fēng)控的手段之一，甚至可以要求使用者第一次必須使用名下芯片卡需“閃付”揮卡消費(fèi)一次，(系統(tǒng)內(nèi)有針對不同的磁條交易或閃付交易會有不同的記錄)，就能證明使用者擁有的是真的芯片卡也就能順便倒推出是持卡人本人。簡單點(diǎn)說，搞復(fù)制卡的犯罪分子不可能有芯片卡(不能說絕對但真的很難有)，所以不可能有芯片卡的閃付非接交易，這樣就能在很大程度上杜絕掉“盜刷”和“惡意拒付”。

　　目前市面上所發(fā)的芯片卡，大多是“磁條芯片復(fù)合卡”，也即“雙介質(zhì)金融IC卡”，是指在同一張卡片上，同時有芯片和磁條兩種介質(zhì)。發(fā)行復(fù)合卡，央行曾解釋稱，是受金融IC卡受理環(huán)境改造進(jìn)度及ATM磁條預(yù)判等限制，因此被外界認(rèn)為是“過渡產(chǎn)品”。

　　為什么“芯片卡”安全?

　　卡片防復(fù)制機(jī)制是在交易的時候有一個動態(tài)數(shù)據(jù)驗(yàn)證，芯片卡內(nèi)有一部分存儲區(qū)域是不能被隨便讀取的，是每張卡片特有的，就算復(fù)制卡片，這片區(qū)域內(nèi)的數(shù)據(jù)是不能被讀取出來;做交易的時候有一個動態(tài)驗(yàn)證，需要終端向卡片發(fā)送隨機(jī)數(shù)指令，卡片用卡內(nèi)的私鑰對收到的數(shù)據(jù)加上卡片內(nèi)其他數(shù)據(jù)做加密運(yùn)算，產(chǎn)生一個動態(tài)的證書，返回給終端。

　　根據(jù)中國人民銀行發(fā)布的《中國集成電路卡規(guī)范》，卡片認(rèn)證終端合法性的過程，叫做外部認(rèn)證。終端認(rèn)證卡片合法性的過程，叫做內(nèi)部認(rèn)證。

　　外部認(rèn)證：

　　外部認(rèn)證使用對稱算法。每張卡片中都會有一個用于外部認(rèn)證的秘鑰——其實(shí)就是一串?dāng)?shù)字，有16個字節(jié)長。

　　每一張銀行卡的這個秘鑰都是不同的，發(fā)卡的時候是使用銀行的一個母秘鑰對卡內(nèi)數(shù)據(jù)，比如卡號，進(jìn)行運(yùn)算，得到這張卡得秘鑰，然后寫進(jìn)卡里。進(jìn)行交易的時候，卡片要求終端使用該秘鑰對當(dāng)次交易的數(shù)據(jù)(比如交易金額，交易時間，交易貨幣代碼等等)進(jìn)行運(yùn)算，算出密文輸入進(jìn)卡片。合法終端可以從后臺獲取銀行的那個母秘鑰，并且能夠讀取到卡中的卡號等公開信息。(是的，卡號是隨便讀的，畢竟它不就印在你的卡上么)終端就可以算出你卡內(nèi)寫的那個秘鑰是多少，然后用這個秘鑰按照卡片的要求加密數(shù)據(jù)傳送到卡片中，卡片用內(nèi)置的秘鑰進(jìn)行校驗(yàn)，校驗(yàn)通過，則認(rèn)為該終端是合法終端。

　　認(rèn)證了終端的合法性以后卡片才允許終端做一些高級別的交易，比如修改電子現(xiàn)金余額。然而卡號，有效期這樣的數(shù)據(jù)是不需要認(rèn)證就可以從卡片中讀出來的。

　　于是有的人說了，這不還是可以隨便復(fù)制么?找張白卡寫上同樣的卡號?好，關(guān)鍵點(diǎn)來了：終端認(rèn)證卡片合法的依據(jù)是IC卡私鑰!IC卡私鑰!IC卡私鑰!

　　內(nèi)部認(rèn)證：

　　IC卡私鑰就是內(nèi)部認(rèn)證用的。內(nèi)部認(rèn)證使用的是非對稱算法。國際算法是RSA，現(xiàn)在在努力推行國密算法sm2，然而……呵呵。

　　非對稱算法的特點(diǎn)是，有兩個秘鑰(也就是兩串?dāng)?shù)字)，分別叫做公鑰和私鑰。一段明文經(jīng)過私鑰運(yùn)算之后，就變的他媽都認(rèn)不得了。但私鑰并不能把它變回原樣，必須用對應(yīng)的公鑰才可以讓它重回母親懷抱。銀行卡內(nèi)就存著一個IC卡私鑰，這個私鑰也是每張卡都不一樣的。一旦寫入卡里，就再也沒人知道這私鑰是什么了。

　　卡片負(fù)責(zé)保證IC卡私鑰的安全，任何情況下都不會被泄露。連發(fā)卡的銀行也不知道一張卡片里面的IC卡私鑰是什么。進(jìn)行內(nèi)部認(rèn)證的時候，終端根據(jù)卡片內(nèi)讀出的公開的信息，可以計算出卡片的IC卡私鑰對應(yīng)的公鑰是什么。(這個過程很復(fù)雜，期間需要跟發(fā)卡行的后臺以及CA認(rèn)證中心進(jìn)行認(rèn)證，就不展開說了，反正合法的終端可以獲得IC卡公鑰)然后終端發(fā)給卡片一些數(shù)據(jù)，通常是隨機(jī)數(shù)，卡片用卡內(nèi)存儲的IC卡私鑰對這個數(shù)據(jù)進(jìn)行加密，把密文輸出給終端。終端用IC卡公鑰解密，確認(rèn)是剛才自己發(fā)給卡得那幾個隨機(jī)數(shù)，則認(rèn)為卡片是合法的卡片。

　　所以，如果要復(fù)制芯片卡，就必須要得到這個每張卡都不一樣的，連銀行都不知道是什么的，從來都不會被以任何形式輸出IC卡私鑰!

　　磁條降級交易

　　但多位業(yè)內(nèi)人士表示，實(shí)際上當(dāng)復(fù)合卡被當(dāng)做磁條卡來刷卡消費(fèi)時，“安全性與磁條卡一樣，沒有絲毫提高。”一位不愿具名的中國銀聯(lián)技術(shù)工程師證實(shí)了這個說法，“復(fù)合卡是物理上兼容了芯片卡的功能，和磁條卡符合的標(biāo)準(zhǔn)是一樣的?！睆?fù)合卡原則上應(yīng)該插入芯片消費(fèi)，但如果消費(fèi)不成功，磁條刷卡也是可以的。上述銀聯(lián)技術(shù)工程師從技術(shù)上印證了這一說法：“復(fù)合卡有一種功能，當(dāng)芯片交易失敗后，就會‘降級’為磁條卡交易方式?！?/p>

　　但“降級交易”始終屬于過度，央媽覺得過渡期已經(jīng)夠長的了，于是2016年6月13日，央行下發(fā)特急文件《中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險管理的通知》，通知中規(guī)定：自2017年5月1日起，全面關(guān)閉芯片磁條復(fù)合卡的磁條交易。各商業(yè)銀行應(yīng)采取換卡不換號、實(shí)時發(fā)卡等措施加快存量磁條卡更換為金融IC卡的進(jìn)度。

　　眾所周知目前幾乎所有的盜刷行為都發(fā)生在磁條卡上面，這是因?yàn)槠胀ǖ你y行卡磁條上僅有三軌信息，很容易被復(fù)制，而犯罪分子就瞅準(zhǔn)了這個漏洞，專門利用ATM機(jī)、POS機(jī)加裝盜取銀行卡信息設(shè)備盜取銀行卡信息，進(jìn)而制作“復(fù)制卡”進(jìn)行盜刷，但如果換成芯片卡，復(fù)制克隆卡的難度就增加很多，小編目前還未曾聽說過單芯片卡被復(fù)制盜刷的案例。

　　所以鑒于以上原因，POS圈支付網(wǎng)推測，傳統(tǒng)手刷或漸漸遭到淘汰，而市場將贏來較大變動，因?yàn)槿缃竦氖袌鋈鄙俅碳c(diǎn)，大部分手刷品牌不論從費(fèi)率還是功能方面都是千篇一律，而非接功能的刷卡頭的出現(xiàn)或許會成為一張超級安全牌，誰能最先打出這張安全牌成為熱門噱頭，讓我們拭目以待。