1.情況和目的

　　有時可能會出現這種情況，用卡人需檢測終端是不是真實的。一個例子是在超市的終端，在插人卡后用戶必須向其中輸入-pin，一個假冒的終端可能被用來探測秘密的pin代碼。①如果卡接著被偷走（或被仿制），則知道pin的小偷就可用這張卡去購物或從自動現鈔機取錢。

　　1977年夏天，在慕尼黑的marienplatz的地方就使用了一臺偽冒的自動現鈔機，用這種方式來非法地搜索磁卡數據和相關的pin代碼。如果使用的是智能卡，其中的防范設計可以提供對這種類型的攻擊的良好保護。

　　2.需求

　　有必要設計一個智能卡應用的部件使得卡的用戶去識別出一臺假冒的智能卡終端（但不是受操縱的終端），用戶必須不需要用任何輔助的技術或設各來核查終端。

　　3.建議方案

　　所建議的方案包括存儲一個只有用卡人知道的口令，在智能卡的文件中只有當終端本身用一個秘密密鑰向智能卡成功地鑒明自己之后才能被它讀出。

　　在此鑒別過程之后，終端被允許從文件中讀出口令并把它顯示出來，當卡用戶看到口令并驗證了它是正確的之后，才可以認為終端是真實的，因為只有用戶知道這一口令，并在驗證了口令后，用戶才鍵人pin，使得以后的交易成為可能。

　　剛才所敘述的方法是pin規范為德國簽名卡所推薦的，例如，為了使用卡人斷定公開簽名終端是否真實的。①

　　必須說明該方案的一個重大限制，這就是它可以鑒別一個假冒的終端，但不是一個受操縱的終端。如果有可能修改終端的軟件而在此過程中又不丟失秘密密鑰，就有可能使一臺受操縱的終端正確地向智能卡鑒明其本身并顯示出口令（這個限制應當被所有采用這一技術的應用考慮在內）然而，這基本上不是一個關鍵的問題，因為一個可以在這種規模上受操縱的終端將使廣泛得多的攻擊形式得以施展而不僅僅是探測pin代碼。

　　所建議的方案以專用文件和訪問條件的形式列舉在表1和表2中，它不是一個完整的智能卡應用。相反，它是一個設計模板可以編入任何需要的應用中。因此，其fid和狀態轉換以及在圖1中所說明的過程，可以按需要予以修改以使用不同的數值和命令序列。這個例子的主要意圖是傳達如何測試一終端的真實性的基本概念，而不是去充當一個實際的應用。

　　表1 測試一終端真實性所需用之密鑰

　　表2 測試終端真實性的文件樹和訪問條件（≥0：可，＜0：否）

　　圖1 驗證一終端真實性的命令序列

　　歡迎轉載，信息來源維庫電子市場網（www.dzsc.com）