Madrock

Finansiel transaktion Processing

af Derek om Jul.02, 2008, under Banking og Eftpos

Jeg er for nylig blevet arbejder inde i en af de større banker i Australien.
Gennem dette arbejde har jeg kigget på den kontrol og mekanismer omkring behandling af kredit-og debitkort omkring Asien og Stillehavsområdet.

Jeg får udføre mange sikkerhedsarkitektur og betalingssystemer vurderinger.
Gennem årene har jeg altid betragtet beskyttelsen af kortet data som en af de vigtigste overvejelser.

Indtil i går havde jeg aldrig set en CVV eller PVV dekryptering værktøjer. Jeg tror, nogle scripted brugen af disse værktøjer kunne være meget interessant.
Webstedet hziggurat29.com

Mange af de andre værktøjer på dette site er også meget unik og værd at se.
Stor tak til ziggurat29 for at yde en sådan awesome værktøj.

Da mange af disse lokaliteter er af denne art er vanskelige at finde og ofte synes at forsvinde i løbet af de år har jeg valgt at kopiere teksten fra denne side og give lokale kopier på filerne.
Det er værd at jævne besøge ziggurat29 site i ny og næ for at se om eventuelle yderligere værktøjer er blevet sendt.

En af de mere usædvanlige sager er Atalla Hardware Security Module (HSM) Â og BogoAtalla for Linksys emulering (simulering) værktøjer. Så jeg spekulerer på, om Eracom og Thales ryster i deres støvler. Nogle hvordan jeg tror det ikke. ;-)

--- Ziggurat29 Tekst ---

Disse er alle Windows-kommandolinjefunktioner (medmindre andet er angivet) effektuere med-hjælp option
at afgøre brug.

DUKPT Afmatning (<- den faktiske fil til download)

Dette er et hjælpeprogram, der vil dekryptere krypterede PIN Blocks, der er produceret via DUKPT triple-DES-metoden. Jeg brugte dette til at teste produktionen af nogle PIN Pad software jeg havde skabt, men er også smart for andre fejlsøgningsformål.

VISA PVV Calculator (<- den faktiske
fil til download)

Dette er et hjælpeprogram, der vil beregne og kontrollere PIN Kontrol Værdier, som er produceret ved hjælp af VISA PVV teknik. Det har en flok hjælpeudstyr, såsom kontrol og fastsættelse af en PAN (Luhn beregninger), skabe og kryptering PIN blokke, dekryptering og udvinder PIN fra krypteret PIN-blokke, etc.

VISA CVV Calculator (<- den faktiske fil til download)

Dette er et hjælpeprogram, der vil beregne kontrolkode Værdier, som er produceret ved hjælp af VISA CVV teknik. MasterCard CVC bruger CVV algoritme, så den vil arbejde for, at så godt. Det vil beregne CVV, CVV2, CVV3, iCVV, CAVV, da disse er blot variationer over service-kode og
formatet for udløbsdatoen. Verifikation er simpelthen at sammenligne den beregnede værdi med det, du har modtaget, så der er ingen eksplicit kontrol funktion.

Atalla AKB Calculator (<- den faktiske fil til download)

Dette er et hjælpeprogram, der både vil generere og dekryptere Atalla AKB kryptogrammer. Du skal bruge alm MFK til at udføre disse operationer. Når dekryptere, vil MAC også kontrolleres, og resultaterne vises.

BogoAtalla (<- den faktiske fil til
download)

Dette er en Atalla emulator (eller simulator). Denne software-emulering (simulering) af den velkendte Atalla Hardware Security Module (HSM), der anvendes af banker og forarbejdningsvirksomheder for kryptografiske operationer, såsom at kontrollere / oversætte PIN blokke, som tillader transaktioner kontrol
CVV / CSC numre, og udfører nøgleudveksling procedurer, blev fremstillet til testformål. Gennemførelsen er ikke den komplette HP Atalla kommando sæt, men snarere blot
portioner, at jeg selv brug for. Når det er sagt, er det fuldstændig nok, hvis du udfører erhverve og / eller udstedelse behandling funktioner, og bruger mere moderne ordninger såsom Visa PVV og DUKPT, og behovet for at gøre generation, kontrol og oversættelse.

Dette kører som et lyttende socket-server og håndterer de indfødte Atalla kommando sæt. Jeg har taget nogle friheder med den fejl tilbage værdier og ikke har stræbt efter high-fidelity der (dvs., kan du få en anden fejl svar fra indfødte hardware), men absolut bør få samme positive
svarene. Nogle funktioner gennemføres her normalt ville kræve indkøb præmie kommandoer, men alle kommandoer her gennemføres, er til rådighed. Eksempler genererer PVV værdier og kryptering / dekryptering af alm PIN værdier.

BogoAtalla for Linksys (<- den faktiske fil til download)

Dette er den Atalla emulator porteret til Linux og bygge til montering på en OpenWRT system. Gør en rigtig billig ($ 60 USD) udvikling / test enhed.

Lokale filer

bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc

: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

26 Kommentarer til denne post

  • Tony
    2 Juni 2010 på 4:29

    hej jeg forsøgt at hente visum PVV og visum CVV beregning download, og det siger det var utilgængelig. vil der være en repost?

    thanx

    Besvar
  • Dean
    23 januar, 2010 på 2:54

    Hej Derek,

    Vil du præcisere ikke-reversible (NR) DUKPT dekryptering proces - dvs ANS X9 angiver de to NR processer hænger sammen, men forskellige. Netop, hvordan adskiller de sig? Jeg ved dekryptering udfører en NR cyklus for hver '1 'bit i kryptering counter ved hjælp output NR cyklus som nøglen til den næste, men hvad er egentlig NR proces på backend?

    Tak.

    Besvar
  • Tim
    7 oktober 2009 på 11:52

    Hej Derek
    Jeg er helt clued lidt op på boga atalla men bare gerne vil lære mere om Bogo Atalla im selv villig til at gå til ethvert sted i verden for at studere Bogo Atalla kommando kutymer. Kan du rådgive mig hvor de skal henvende eller endog begyndelsen studerer Atalla kommandoer.

    Besvar
  • Mark
    7 oktober 2009 på 23:26

    Hej Derek

    Kunne jer behage hjælp mig med et link til hvor jeg kan downloade softwaren fra Thales 8000 HSM. Jeg har Bogo Atalla og ikke har sin manual eller kommando sæt. Kunne jer behage enten sende mig den Bogo Atalla manual eller kommando sæt eller Thales 8000 HSM software. Eller er Thales 8000 HSM kommandosæt det samme som Bogo Atalla?

    Besvar
  • Maq
    15 september 2009 på 1:09

    Hej,

    Jeg er temmelig ny til Atalla, laver nogle øvelser med det.

    Så jeg har et grundlæggende kendskab til nøgler og kram, så her er et spørgsmål, er det sikkert meget let og kan gøre mig til at ligne jeg dum:

    Hvor kan jeg få KEK? eller generere KEK?. Jeg har en MFK og en PMFK, men jeg har ingen anelse hvor få KEK og den manuelle altid antager jeg har en KEK (eller en nøgle krypteret under KEK i AKB-format).

    Tak!

    Besvar
  • Dave
    9 Juli 2009 på 11:22

    colin: Deres tro er korrekte. Der er nogle andre ting i vejen DUKPT sker for yderligere at begrænse omfanget af nytten af et angreb.

    Her er en hurtig oversigt:
    * Hver xactn har en unik nøgle.
    * Tasterne stammer fra tidligere nøgler og fra transaktionen counter, og lidt af enhedens serienummer. Praktisk, dens lige en enkeltbillet hash.
    * Nøglen sekvens adskiller for hver enhed.
    * Den super-hemmelige nøgle - Base Afledning Key - aldrig rører en enhed. I stedet er _another_ nøglen afledt heraf, unik for hver enhed, og er sat i enheden for at initialisere nøglegenerering proces, og derefter straks kasseres. Dette er "Initial PIN Encryption Key".

    Så hvis du indsnuses, du ville ikke gå på kompromis tidligere transaktioner. I nogle særlige tilfælde kan du kompromis fremtid nøgler, men kun for PIN pad (r) under angreb. »Særlige caes«, fordi de centrale generation ikke er sekventiel, men derimod keyspace er repræsenteret som et træ, og alle børnene ville blive bragt i fare. (Bemærk at dette træ konstruktion ikke er gjort for sikkerheden, men for praktiske). Du vil behovet for at dumpe alle de interne af en PIN-kode pad til at gøre det hele træet.

    Besvar
  • Dave
    9 Juli 2009 på 10:18

    tim: om Atalla kommandoer. Manualen er temmelig grundig, og du får brug for den, hvis du vil kode et interface. (Du skal også bruge den, hvis du vil koge op kommandoer selv, og skriv dem via telnet.) Super-kort lægmands beskrivelse er følgende:

    * Besked-orienterede tekstuelle protokol
    * Meddelelser afgrænset af,
    områder inden for er afgrænset af #. Data er kodet i hex (sjældent andet).
    * Det første felt er kommandoen. Resten er data afhængigt af kommandoen.
    * Svaret er struktureret som kommandoer, men det første felt er fejlkoden.
    * Kommandoer tilbage 00 angiver fejl, eller en række, som forøgelse det første ciffer af kommandoen id. Så kommando 10 har en returkode på 20, og kommandoen 9A har en returkode af AA.
    * Kommandoer ikke opsige med CRLF, men eventuelt kan omfatte CRLF i svaret, hvis det gør dig glad.

    Og det er det. For jo mere du skal bruge den manual.

    Besvar
  • Colin Cummins
    17 Juni 2009 på 10:44

    Hej alle,
    Mit spørgsmål drejer sig om DUKPT nøglehåndtering ordningen.
    Min forståelse er, at dette er den anbefalede metode til at sikre følsomme data for finansielle transaktioner i dag, og er overlegen i forhold til master / session, fordi en anden (afledt) tasten bruges for hver enkelt transaktion.
    Jeg er bare ønsker at forstå, hvor meget mere sikker denne metode er.
    Hvis en hacker skulle registrere transaktioner for, siger en måned ved snifning et netværk, for eksempel, og derefter var i stand til at bryde nøglen til en af de transacitons - kunne han beregner derefter den nøgle til hvert af de følgende transaktion, hvis han har kendskab til hvordan DUKPT nøglen udledningen i terminalen virker? Jeg antager denne viden ville være tilgængelig for alle, der har adgang til DUKPT standard.
    Jeg er også ud fra, at det ville være næsten umuligt at beregne tasterne for transaktionen før hacket ene fordi DUKPT afledning metode bruger en ikke-reversibel transformation. Lyder det rigtigt - nogen kommentarer vil blive værdsat - tak, Colin Cummins

    Besvar
  • Tim
    11 juni, 2009 på 7:29

    Dave,

    Jeg ved, at alle i dette forum er meget vidende om dette emne. Jeg vil bare gerne finde ud af en ting, hvor kan jeg få en enkel forklaring på de Atalla kommando sæt, selv en lægmand mand kan bruge. Dybest set vil jeg være i stand til effektivt at kommunikere med den virtuelle HSM (Bogo Atalla) og få ud lægger, at jeg ønsker, kan du hjælpe!

    Besvar
  • Bill
    3 juni, 2009 på 11:37

    Jeg testning denne som forberedelse til vores A8150, der skal leveres.
    Er der en download til atallaakbcalc, der understøtter-komponent valgmuligheder, du nævnte? Hvis ja, kan hvor jeg finde det?

    Besvar
  • Bill
    3 juni, 2009 på 8:43

    Desværre Det ligner Atallaakbcalc understøtter ikke den komponent mulighed.

    Besvar
  • Dave
    28 maj 2009 på 00:05

    (Html støtte hosed den atalla kommando, som anvender vinkelparenteser. Her er den kommando og det svar, fik faldet fra meddelelsen)

    <11B # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
    <21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # 08D7 #>

    Besvar
  • Dave
    28 maj 2009 på 12:02

    OK, normalt ville jeg ikke gøre dette, men åbenbart har jeg haft alt for meget kaffe her til morgen.

    Du behøver kommando 11b for dette scenario.

    Så du nævnte 'to komponent «, så skal du da komme til at arbejde fra komponenter til din KEK? Du skal opbygge din KEK fra komponenter med SCA, eller du kan bruge atallaakbcalc værktøjet, hvis det er til testformål. Du skal angive en magisk header, men som i dette tilfælde er 1CDNN0I0. Desuden skal din sikkerhedspolitik omfatter C i muligheden E0.

    Derefter skal du brygge den 11b kommandoen med CVV centrale kryptogrammet og KEK. Du vil så få din AKB kryptogram af den importerede CVV-tasten, og kontrolcifre.

    Med dette kan du fortsætte med CVV operationer.

    Her er et konkret eksempel:

    optE0 indeholder C

    MFK 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF
    KEK hdr 1CDNN0I0
    KEK c1 11111111222222223333333344444444
    KEK c2 88888888888888888888888888888888
    kcvv chk 08D7B4
    kcvv cryp 1A79047AE419985DE830024C358E3B4A

    (Den alm KEK er 99999999aaaaaaaabbbbbbbbcccccccc, med check cifre 820.638, og den alm CVV nøgle 0123456789abcdeffedcba9876543210. Du plejer have denne info normalt, selvfølgelig).

    gøre din KEK med enten den reelle atalla, eller værktøjet

    atallaakbcalc-calcakb-MFK 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF-HDR 1CDNN0I0-komponent 11111111222222223333333344444444-komponent 88888888888888888888888888888888
    1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593

    importere kryptogrammet med atalla:

    du kan se kontrolcifre match, så du OK.

    Besvar
  • Bill
    27 maj 2009 på 9:20

    Hvad ville være den kommando til at importere en to del variant 0 KEK, derefter kommandoen der skal bruges til at dekryptere en cyrptograms indeholder CVV Keys? Det synes at være på linje med de 11B.

    Besvar
  • Dave
    25 maj 2009 på 7:58

    Jeg bruger det, det er en smuk simpelt værktøj, faktisk. Når du siger "det ikke virker på alle", hvilken del af ordet "alle" er du forstand specifikt? Hvis du bruger-hjælp option, der er nogle prøve kommandoer.

    Besvar
  • wilf
    17 maj 2009 på 9:44

    Har nogen prøvet atallaakbcalc? Det synes ikke at arbejde overhovedet.

    Besvar
  • Dave
    17 maj 2009 på 9:04

    Det IKSN og BDK ikke er en del af Atalla sig selv, men er en del af din indstilling op til at arbejde med DUKPT PIN Pads. Nærmere bestemt BDK er noget du oprette tilfældigt, ligesom alle andre vigtige (og det er en meget vigtig nøgle). Den IKSN er bygget af en identifikator angivelse af, hvilke BDK du bruger, og en enhedens serienummer genereres af din nøgle indsprøjtning facilitet. Du viderebringe BDK til injektion facilitet, sammen med et præfiks for IKSN, og de lægger serienummer og injicer dem begge (godt, faktisk de afleder en 'Initial PIN Encryption Key ", og indsprøjte det). Sooo ...
    * Vil du have BDK on-side, fordi du genererede det til at begynde med
    * Den IKSN er top 59 bits af KSN, der bliver sendt til dig i hvert DUKPT transaktion

    Besvar
  • tim
    15 jan 2009 på 7:32

    Kan du pls hjælp mig, hvordan man får iskn og bdk? forårsage ive formår at få EPB og oviously og pan.I 've brug dukptdecrypt jeg ønsker at få en PIN.Pls assits.

    Besvar
  • Dave
    25 oktober 2008 på 12:18

    ja, det gør. En ZMK er en Key Exchange Key (KEK). I Atalla AKB der er et par måder at oprette KEK afhængig af hvad input nøglen form er. Hvis du modtager AKB nøgler, ville du måske gøre din ZMK med 1KDNE000 og bruge kommandoen 13. Hvis du importerer ikke-AKB nøgler (de mere almindelige tilfælde), ville du bruge en header som 1PUNN0I0 på din ZMK, med kommandoen 11B. Begge disse synes at være gennemført.

    Du sagde en 64 tegntast dog, så det er lidt overraskende, fordi én DES er en 16 tegn nøglen, 2-nøgle TDES er 32 tegn, og 3-tasten TDES er 40 tegn. Så hvad er 64?

    Besvar
  • Steve Vasilakos
    24 september 2008 på 8:03

    Er der nogen vide, om dette BogoAtalla støtter ZMK's (Zone Master Keys)? Vi har været der ønsker at bruge denne emulator med vores ATM processor. Men alle de processorer vi behandler vil bruge 64 tegn nøglerne til HSM til HSM udveksling. Vi har bygget vores eget nedtrappet ATM switch baseret på ISO8583, og vi er koblet til den anden ATM processor hvem sker at bruge en Postillion (ikke at det betyder noget). Jeg tror, jeg forstår at bruge LMK eller KSK, men jeg kan ikke bestemme, hvordan man teste en Zone Master Key.

    Besvar

Efterlad et svar