SoK: আধুনিক কার্ড পেমেন্টে আক্রমণ - EMV কন্টাক্টলেস নিরাপত্তা বিশ্লেষণ

সূচিপত্র

1 ভূমিকা

EMV স্মার্ট কার্ড পেমেন্টের বৈশ্বিক মান হয়ে উঠেছে, যেখানে ১২.৮ বিলিয়ন EMV কার্ড কার্ড-উপস্থিত চিপ লেনদেনের ৯৪% অ্যাকাউন্ট করে। NFC প্রযুক্তির উপর ভিত্তি করে কন্টাক্টলেস সংস্করণটি কার্ড-ভিত্তিক এবং মোবাইল পেমেন্ট উভয় ক্ষেত্রেই ব্যাপক গ্রহণযোগ্যতা পেয়েছে। যাইহোক, প্রোটোকলের জটিলতা—যা আটটি কার্নেল এবং ২৫০০ পৃষ্ঠার স্পেসিফিকেশন জুড়ে রয়েছে—উল্লেখযোগ্য নিরাপত্তা চ্যালেঞ্জ সৃষ্টি করে।

2 EMV কন্টাক্টলেস প্রোটোকল সংক্ষিপ্ত বিবরণ

2.1 প্রোটোকল আর্কিটেকচার

EMV কন্টাক্টলেস প্রোটোকল NFC ইন্টারফেসের মাধ্যমে কাজ করে এবং বিভিন্ন পেমেন্ট নেটওয়ার্ক সদস্য দ্বারা রক্ষণাবেক্ষণ করা আটটি স্বতন্ত্র কার্নেল অন্তর্ভুক্ত করে। প্রোটোকলটিতে একাধিক অথেন্টিকেশন ধাপ, ক্রিপ্টোগ্রাফিক যাচাইকরণ এবং লেনদেন অনুমোদন প্রক্রিয়া জড়িত।

2.2 নিরাপত্তা বৈশিষ্ট্য

মূল নিরাপত্তা বৈশিষ্ট্যগুলির মধ্যে রয়েছে লেনদেনের অখণ্ডতা, অথেন্টিকেশন, গোপনীয়তা এবং অ-অস্বীকৃতি। প্রোটোকলটির লক্ষ্য ডায়নামিক ক্রিপ্টোগ্রাম জেনারেশনের মাধ্যমে কার্ড ক্লোনিং, রিপ্লে আক্রমণ এবং লেনদেন হেরফের রোধ করা।

3 প্রতিপক্ষ মডেল এবং আক্রমণ কাঠামো

3.1 প্রতিপক্ষের সামর্থ্য

প্রতিপক্ষেরা কন্টাক্টলেস ইন্টারফেসে ওয়্যারলেস অ্যাক্সেসের সুবিধা নিতে পারে, স্মার্টফোনে কার্ড এমুলেটর বাস্তবায়ন করতে পারে এবং রিলে আক্রমণ পরিচালনা করতে পারে। ওয়্যারলেস প্রকৃতি এই আক্রমণগুলিকে ঐতিহ্যগত ওয়্যার্ড MITM আক্রমণের চেয়ে বেশি ব্যবহারিক করে তোলে।

3.2 আক্রমণের শ্রেণীবিভাগ

আক্রমণগুলিকে টার্গেট করা প্রোটোকল ফেজের উপর ভিত্তি করে শ্রেণীবদ্ধ করা হয়েছে: অথেন্টিকেশন বাইপাস, লেনদেন হেরফের, ক্রিপ্টোগ্রাফিক দুর্বলতা এবং রিলে আক্রমণ। প্রতিটি বিভাগ নির্দিষ্ট প্রোটোকল ত্রুটি কাজে লাগায়।

4 প্রোটোকল ত্রুটি এবং আক্রমণের ভেক্টর

4.1 অথেন্টিকেশন বাইপাস

কয়েকটি আক্রমণ কার্ড অথেন্টিকেশন প্রক্রিয়ার দুর্বলতার সুবিধা নেয়, যা অননুমোদিত লেনদেনের অনুমতি দেয়। এর মধ্যে রয়েছে PIN বাইপাস আক্রমণ এবং অফলাইন অথেন্টিকেশন দুর্বলতা।

4.2 লেনদেন হেরফের

আক্রমণকারীরা ওয়্যারলেস কমিউনিকেশন ফেজের期间 লেনদেনের পরিমাণ, মুদ্রা কোড বা অন্যান্য গুরুত্বপূর্ণ ডেটা হেরফের করতে পারে। প্রোটোকলের ঐচ্ছিক নিরাপত্তা বৈশিষ্ট্যগুলি এই হেরফের সক্ষম করে।

5 পরীক্ষামূলক ফলাফল

গবেষণাটি একাধিক ব্যবহারিক আক্রমণ প্রদর্শন করে যা পরীক্ষাগারের অবস্থায় ৮০% এর বেশি সাফল্যের হার সহ। আক্রমণ বাস্তবায়নের জন্য স্ট্যান্ডার্ড NFC-সক্ষম ডিভাইস এবং কাস্টম সফ্টওয়্যারের প্রয়োজন, যা এগুলিকে প্রেরণাদায়ক আক্রমণকারীদের জন্য অ্যাক্সেসযোগ্য করে তোলে।

প্রযুক্তিগত ডায়াগ্রাম: আক্রমণ কাঠামোটি চিত্রিত করে যে কীভাবে প্রোটোকল ত্রুটিগুলিকে একসাথে চেইন করা যেতে পারে। গাণিতিক ভিত্তিতে ফর্মাল ভেরিফিকেশন পদ্ধতি ব্যবহার করে ক্রিপ্টোগ্রাফিক প্রোটোকল বিশ্লেষণ জড়িত, যেখানে নিরাপত্তা বৈশিষ্ট্যগুলিকে মডেল করা হয়েছে:

$P_{security} = \forall t \in T, \forall a \in A: \neg Compromise(t,a)$

যেখানে $T$ লেনদেনগুলিকে এবং $A$ প্রতিপক্ষদের প্রতিনিধিত্ব করে।

6 প্রযুক্তিগত বিশ্লেষণ কাঠামো

বিশ্লেষণ কাঠামো উদাহরণ

কেস স্টাডি: রিলে আক্রমণ বিশ্লেষণ
একজন প্রতিপক্ষ একটি বৈধ কার্ডের কাছে একটি প্রক্সি ডিভাইস স্থাপন করে যখন একজন সহযোগী একটি পেমেন্ট টার্মিনালে একটি মোবাইল ডিভাইস ব্যবহার করে। আক্রমণটি রিয়েল-টাইমে অথেন্টিকেশন ডেটা রিলে করে, দূরত্বের সীমাবদ্ধতা এড়িয়ে যায়। এটি প্রদর্শন করে যে কীভাবে প্রোটোকলের নিকটতা যাচাইকরণের অভাব ব্যবহারিক আক্রমণ সক্ষম করে।

7 ভবিষ্যতের দিকনির্দেশ

ভবিষ্যতের উন্নয়নগুলি প্রোটোকল সরলীকরণ, বাধ্যতামূলক নিরাপত্তা বৈশিষ্ট্য এবং কোয়ান্টাম-প্রতিরোধী ক্রিপ্টোগ্রাফির একীকরণের উপর ফোকাস করা উচিত। সেন্ট্রাল ব্যাংক ডিজিটাল কারেন্সি (CBDC) এবং ব্লকচেইন-ভিত্তিক পেমেন্ট সিস্টেমের আবির্ভাব EMV-এর মৌলিক সীমাবদ্ধতাগুলি সমাধান করে এমন বিকল্প আর্কিটেকচার প্রদান করতে পারে।

8 তথ্যসূত্র

1. EMVCo. EMV Integrated Circuit Card Specifications. সংস্করণ ৪.৩, ২০২১
2. Roland, M. et al. "Practical Attack Scenarios on Contactless Payment Cards." Financial Cryptography ২০২৩
3. Anderson, R. "Security Engineering: A Guide to Building Dependable Distributed Systems." ৩য় সংস্করণ, Wiley ২০২০
4. Chothia, T. et al. "A Survey of EMV Payment System Vulnerabilities." ACM Computing Surveys, ২০২৪
5. ISO/IEC 14443. Identification cards - Contactless integrated circuit cards. ২০১৮

মূল বিশ্লেষণ