भाषा चुनें

SoK: आधुनिक कार्ड भुगतानों पर हमले - EMV कॉन्टैक्टलेस सुरक्षा विश्लेषण

आधुनिक भुगतान प्रणालियों में EMV कॉन्टैक्टलेस भुगतान प्रोटोकॉल की कमजोरियों, सुरक्षा गुणों, प्रतिकूल मॉडलों और हमले के वैक्टरों का व्यवस्थित विश्लेषण।
contact-less.com | PDF Size: 0.4 MB
रेटिंग: 4.5/5
आपकी रेटिंग
आपने पहले ही इस दस्तावेज़ को रेट कर दिया है
PDF दस्तावेज़ कवर - SoK: आधुनिक कार्ड भुगतानों पर हमले - EMV कॉन्टैक्टलेस सुरक्षा विश्लेषण
PDF दस्तावेज़ देखें PDF डाउनलोड करें PDF अनुवाद करें
होम » दस्तावेज़ीकरण » SoK: आधुनिक कार्ड भुगतानों पर हमले - EMV कॉन्टैक्टलेस सुरक्षा विश्लेषण

विषय सूची

1 परिचय

EMV स्मार्ट कार्ड भुगतानों के लिए वैश्विक मानक बन गया है, जिसमें 12.8 बिलियन EMV कार्ड कार्ड-मौजूदा चिप लेनदेन के 94% के लिए जिम्मेदार हैं। NFC तकनीक पर आधारित कॉन्टैक्टलेस संस्करण को कार्ड-आधारित और मोबाइल भुगतान दोनों के लिए व्यापक अपनाया गया है। हालांकि, प्रोटोकॉल की जटिलता—आठ कर्नेल और 2500 से अधिक पृष्ठों के विशिष्टता विवरण—महत्वपूर्ण सुरक्षा चुनौतियां पैदा करती है।

12.8B

प्रचलन में EMV कार्ड

94%

कार्ड-मौजूदा चिप लेनदेन

8

प्रोटोकॉल कर्नेल

2 EMV कॉन्टैक्टलेस प्रोटोकॉल अवलोकन

2.1 प्रोटोकॉल आर्किटेक्चर

EMV कॉन्टैक्टलेस प्रोटोकॉल NFC इंटरफेस पर काम करता है और इसमें विभिन्न भुगतान नेटवर्क सदस्यों द्वारा बनाए रखे गए आठ अलग-अलग कर्नेल शामिल हैं। प्रोटोकॉल में कई प्रमाणीकरण चरण, क्रिप्टोग्राफिक सत्यापन और लेनदेन प्राधिकरण प्रक्रियाएं शामिल हैं।

2.2 सुरक्षा गुण

मुख्य सुरक्षा गुणों में लेनदेन अखंडता, प्रमाणीकरण, गोपनीयता और अखंडता शामिल हैं। प्रोटोकॉल का उद्देश्य गतिशील क्रिप्टोग्राम जनरेशन के माध्यम से कार्ड क्लोनिंग, रिप्ले हमलों और लेनदेन हेरफेर को रोकना है।

3 प्रतिकूल मॉडल और हमला ढांचा

3.1 प्रतिकूल क्षमताएं

प्रतिकूल कॉन्टैक्टलेस इंटरफेस तक वायरलेस पहुंच का लाभ उठा सकते हैं, स्मार्टफोन पर कार्ड एमुलेटर लागू कर सकते हैं और रिले हमले कर सकते हैं। वायरलेस प्रकृति इन हमलों को पारंपरिक वायर्ड MITM हमलों की तुलना में अधिक व्यावहारिक बनाती है।

3.2 हमला वर्गीकरण

हमलों को लक्षित प्रोटोकॉल चरण के आधार पर वर्गीकृत किया जाता है: प्रमाणीकरण बायपास, लेनदेन हेरफेर, क्रिप्टोग्राफिक कमजोरियां, और रिले हमले। प्रत्येक श्रेणी विशिष्ट प्रोटोकॉल दोषों का फायदा उठाती है।

4 प्रोटोकॉल दोष और हमला वैक्टर

4.1 प्रमाणीकरण बायपास

कई हमले कार्ड प्रमाणीकरण प्रक्रिया में कमजोरियों का फायदा उठाते हैं, जिससे अनधिकृत लेनदेन की अनुमति मिलती है। इनमें PIN बायपास हमले और ऑफलाइन प्रमाणीकरण कमजोरियां शामिल हैं।

4.2 लेनदेन हेरफेर

हमलावर वायरलेस संचार चरण के दौरान लेनदेन राशि, मुद्रा कोड, या अन्य महत्वपूर्ण डेटा में हेरफेर कर सकते हैं। प्रोटोकॉल की वैकल्पिक सुरक्षा सुविधाएं इन हेरफेरों को सक्षम करती हैं।

5 प्रायोगिक परिणाम

अनुसंधान प्रयोगशाला परिस्थितियों में 80% से अधिक सफलता दर के साथ कई व्यावहारिक हमलों का प्रदर्शन करता है। हमले कार्यान्वयन के लिए मानक NFC-सक्षम उपकरणों और कस्टम सॉफ्टवेयर की आवश्यकता होती है, जो उन्हें प्रेरित हमलावरों के लिए सुलभ बनाता है।

तकनीकी आरेख: हमला ढांचा दर्शाता है कि प्रोटोकॉल दोषों को एक साथ कैसे जोड़ा जा सकता है। गणितीय आधार में औपचारिक सत्यापन विधियों का उपयोग करके क्रिप्टोग्राफिक प्रोटोकॉल का विश्लेषण शामिल है, जहां सुरक्षा गुणों को इस प्रकार मॉडल किया गया है:

$P_{security} = \forall t \in T, \forall a \in A: \neg Compromise(t,a)$

जहां $T$ लेनदेन का प्रतिनिधित्व करता है और $A$ प्रतिकूलों का प्रतिनिधित्व करता है।

6 तकनीकी विश्लेषण ढांचा

मुख्य अंतर्दृष्टि

EMV कॉन्टैक्टलेस प्रोटोकॉल की जटिलता और पिछड़े संगतता आवश्यकताएं मौलिक सुरक्षा व्यापार-नापैदा करती हैं जिनका हमलावर व्यवस्थित रूप से फायदा उठाते हैं।

तार्किक प्रवाह

प्रोटोकॉल जटिलता → कार्यान्वयन परिवर्तनशीलता → सुरक्षा सुविधा वैकल्पिकता → हमला सतह विस्तार → व्यावहारिक शोषण

शक्तियां और दोष

शक्तियां: व्यापक अपनाना, पिछड़ी संगतता, व्यापारी स्वीकृति
दोष: अत्यधिक जटिल विशिष्टता, वैकल्पिक सुरक्षा सुविधाएं, अपर्याप्त क्रिप्टोग्राफिक सत्यापन

कार्रवाई योग्य अंतर्दृष्टि

भुगतान नेटवर्कों को मजबूत प्रमाणीकरण अनिवार्य करना होगा, वैकल्पिक सुरक्षा सुविधाओं को समाप्त करना होगा, और प्रोटोकॉल कार्यान्वयन के औपचारिक सत्यापन को लागू करना होगा। उद्योग को कॉन्टैक्टलेस तैनाती में सुविधा पर सुरक्षा को प्राथमिकता देनी चाहिए।

विश्लेषण ढांचा उदाहरण

केस स्टडी: रिले हमला विश्लेषण
एक प्रतिकूल वैध कार्ड के पास एक प्रॉक्सी उपकरण रखता है जबकि एक साथी भुगतान टर्मिनल पर एक मोबाइल उपकरण का उपयोग करता है। हमला दूरी सीमाओं को दरकिनार करते हुए प्रमाणीकरण डेटा को वास्तविक समय में रिले करता है। यह दर्शाता है कि कैसे प्रोटोकॉल की निकटता सत्यापन की कमी व्यावहारिक हमलों को सक्षम करती है।

7 भविष्य की दिशाएं

भविष्य के विकास को प्रोटोकॉल सरलीकरण, अनिवार्य सुरक्षा सुविधाओं, और क्वांटम-प्रतिरोधी क्रिप्टोग्राफी के एकीकरण पर ध्यान केंद्रित करना चाहिए। केंद्रीय बैंक डिजिटल मुद्राओं (CBDCs) और ब्लॉकचेन-आधारित भुगतान प्रणालियों का उदय वैकल्पिक आर्किटेक्चर प्रदान कर सकता है जो EMV की मौलिक सीमाओं को संबोधित करते हैं।

8 संदर्भ

  1. EMVCo. EMV इंटीग्रेटेड सर्किट कार्ड विशिष्टताएं। संस्करण 4.3, 2021
  2. रोलैंड, एम. एट अल। "कॉन्टैक्टलेस भुगतान कार्डों पर व्यावहारिक हमला परिदृश्य।" फाइनेंशियल क्रिप्टोग्राफी 2023
  3. एंडरसन, आर। "सुरक्षा इंजीनियरिंग: विश्वसनीय वितरित सिस्टम बनाने के लिए एक गाइड।" तीसरा संस्करण, विले 2020
  4. चोथिया, टी. एट अल। "EMV भुगतान प्रणाली कमजोरियों का एक सर्वेक्षण।" ACM कंप्यूटिंग सर्वे, 2024
  5. ISO/IEC 14443. पहचान कार्ड - कॉन्टैक्टलेस इंटीग्रेटेड सर्किट कार्ड। 2018

मूल विश्लेषण

EMV कॉन्टैक्टलेस भुगतान कमजोरियों के व्यवस्थित विश्लेषण से उद्योग-व्यापी एक महत्वपूर्ण चुनौती का पता चलता है: भुगतान प्रणालियों में सुरक्षा और सुविधा के बीच तनाव। शैक्षणिक अनुसंधान में सावधानीपूर्वक डिजाइन किए गए क्रिप्टोग्राफिक प्रोटोकॉल के विपरीत, जैसे कि CycleGAN पेपर में जो स्पष्ट सुरक्षा सीमाओं के साथ डोमेन परिवर्तन पर केंद्रित था, EMV के वास्तविक दुनिया कार्यान्वयन में विरासत बाधाओं और वाणिज्यिक दबावों से पीड़ित है।

मौलिक मुद्दा EMV के विकासवादी डिजाइन दृष्टिकोण में निहित है। जैसा कि एंडरसन की सुरक्षा इंजीनियरिंग में उल्लेख किया गया है, भुगतान प्रणालियां जो पुनः डिजाइन के बजाय संचय के माध्यम से बढ़ती हैं, सुरक्षा ऋण जमा करती हैं। 2,500+ पृष्ठ विशिष्टता कार्यान्वयन परिवर्तनशीलता पैदा करती है जिसका हमलावर फायदा उठाते हैं। यह सफल सुरक्षा प्रोटोकॉल जैसे सिग्नल में देखे गए न्यूनतम डिजाइन दर्शन के विपरीत है, जो सुविधा पूर्णता पर सत्यापन योग्य सुरक्षा को प्राथमिकता देता है।

तकनीकी रूप से, हमले दर्शाते हैं कि कैसे वैकल्पिक सुरक्षा सुविधाएं हमला वैक्टर बन जाती हैं। क्रिप्टोग्राफिक शब्दों में, प्रोटोकॉल की सुरक्षा सबसे मजबूत विशिष्टता के बजाय सबसे कमजोर कार्यान्वयन पर निर्भर करती है। औपचारिक सत्यापन में उपयोग किए गए गणितीय मॉडल, जैसे कि ProVerif टीम द्वारा TLS प्रोटोकॉल का विश्लेषण करते समय उपयोग किए गए, प्रमाणन के दौरान अनिवार्य किए जाने पर EMV सुरक्षा में महत्वपूर्ण सुधार कर सकते हैं।

मोबाइल भुगतान एकीकरण इन मुद्दों को बढ़ा देता है। जैसे ही स्मार्टफोन-आधारित भुगतान दुर्भावनापूर्ण एमुलेशन से अविभेद्य हो जाते हैं, हमला सतह नाटकीय रूप से विस्तारित हो जाती है। तेज लेनदेन के लिए उद्योग का दबाव मजबूत सुरक्षा सत्यापन के साथ संघर्ष करता है, जिससे व्यावहारिक हमलों के लिए एकदम सही तूफान पैदा होता है।

आगे देखते हुए, समाधान के लिए वृद्धिशील पैच के बजाय आर्किटेक्चरल परिवर्तनों की आवश्यकता है। भुगतान उद्योग को TLS 1.3 पुनः डिजाइन से सीखना चाहिए, जिसने समस्याग्रस्त वैकल्पिक सुविधाओं को समाप्त कर दिया। इसके अतिरिक्त, एथेरियम के औपचारिक सत्यापन प्रयासों में देखे गए ब्लॉकचेन सत्यापन तकनीकों को शामिल करना, कठोर सुरक्षा विश्लेषण प्रदान कर सकता है जिसकी EMV को सख्त आवश्यकता है।

अंततः, EMV केस स्टडी साइबर सुरक्षा में एक व्यापक पैटर्न को दर्शाती है: कई हितधारकों वाली जटिल विशिष्टताएं अक्सर सुरक्षा पर अंतरसंचालनीयता को प्राथमिकता देती हैं, जिससे प्रणालीगत कमजोरियां पैदा होती हैं जो दशकों तक बनी रहती हैं।