Si une Postcard avec un terminal TPE (terminal de paiement électronique)/PDV(point de vente) est utilisé, le terminal dans une première étape essaye d'identifier la carte introduite. Cela arrive par l'analyse du dit ATR (Answer To Reset) que la carte sorte, si elle devient « activée » par le terminal. Des Postcards répondent avec la séquence suivante:
3F 65 35 10 02 04 6C 90
00 |
3B 65 00 00 02 04 6C 90
00 |
| cartes avant l’été 2006 | cartes après l'été 2006 |
Dans une prochaine étape, le terminal TPE/PDV doit examiner l'authenticité de la carte; Cette étape est appelée à l’authentification de la carte.
L'authentification de Postcard se base sur une procédure de signature simplifiée par moyen d’algorithme cryptographique RSA. Lors de l’émission de la carte, les données en clair de la carte sont signées (composé entre autres du numéro de carte et la période de validité) avec la clé privée de l'éditeur (PostFinance). Le cryptogramme reçu est enregistré ensemble avec les données de la carte dans le secteur ROM de celle-ci.
Un terminal de carte lit maintenant les deux blocs de données (cryptogramme, données de carte) et décode le cryptogramme avec la clé publique de l'éditeur de la carte; si les données de la carte correspondent avec les données décodées, l'authenticité de la carte est prouvée (par moyen d'examen de signature simplifié). La clé publique des PostFinance est stockée dans le terminal lui-même.
Cela signifie dans la conclusion inverse: Si la clé secrète (privé) de l'éditeur de la carte est connu, des nouvelles cartes authentiques peuvent être faites. Celles-ci seraient reconnues dans la procédure décrite par des terminaux comme des véritables cartes. Ces cartes ne doivent pas être assignées nécessairement avec cela à un compte réel.
Dans le prochain chapitre, nous verrons comment les commandes de la Postcard sont utiliser…