Pre-play攻撃
カードとホストシステム間で共有しているカード固有鍵(Long-term key)を元にDeriveしたセッション鍵を元にMACで取引内容の改竄検知を行う
端末にセッションキーが漏れない限り不正なMACを生成することはできない
https://gyazo.com/b4e8b290924b9d83fdcb08d3eb35301c
一般的なChallengeである乱数とは異なりUN+取引金額を送信
カードでATCをインクリメント
https://gyazo.com/de23a6c21e15318cbb63fbb47604ad25
https://gyazo.com/ea35389029a57f73f97338254390a905
Pre-play attack
攻撃者が端末・カード間の通信であるチャレンジとレスポン スを不正に収集しておくことにより、ある前提を満たす状況において、正規カード を所有していないにもかかわらず、ターゲット(被害者)のカードを模倣した振舞 いを行える不正なカードを作製することが出来る攻撃手法
Random Number Attack
UN生成の特徴を把握(counter等)
UNとARQCのペアリストを細工端末等で収集
細工カード等により受信したUNがリストと一致するものがあれば対応するARQCを利用することが可能
Protocol Flaw Attack
チャレンジ生成者(端末)とチャレンジ検証者(ホストシステム)が異なるのでチャレンジが改竄されたことを検証できない