Financial Transaction Processing
von Derek auf Jul.02, 2008, unter Banken und Eftpos
Ich habe vor kurzem arbeitet in einer der größeren Banken in Australien.
Durch diese Arbeit, die ich gesucht haben bei den Kontrollen und Verfahren rund um die Verarbeitung von Kredit-und Debit-Karten rund um den Asien-Pazifik.
Ich erfüllen viele Sicherheits-Architektur und Zahlungssysteme Bewertungen.
Im Laufe der Jahre habe ich immer als den Schutz der Karten-Daten als eine der wichtigsten Überlegungen.
Bis gestern hatte ich noch nie gesehen ein CVV oder PVV Entschlüsselung Werkzeuge. Ich denke, einige Skript Einsatz dieser Instrumente könnte sehr interessant.
Die Website hziggurat29.com
Viele der anderen Tools auf dieser Site sind auch sehr einzigartig und einen Blick wert.
Vielen Dank an ziggurat29 für die Bereitstellung solcher Instrumente awesome.
Da viele dieser Websites dieser Art sind schwer zu finden und oft scheinen im Laufe der Jahre verschwinden, habe ich entschieden, die den Text von dieser Seite zu replizieren und bieten lokale Kopien der Dateien.
Es lohnt sich, regelmäßig den Besuch der Website ziggurat29 hin und wieder zu sehen, ob weitere Instrumente geschrieben wurden.
Einer der außerordentlichen Dateien ist der Atalla Hardware Security Module (HSM) und BogoAtalla für Linksys-Emulation (Simulation)-Tools. Ich frage mich also, wenn Eracom und Thales zittern in ihren Stiefeln. Einige, wie ich glaube nicht. ;-)
Ziggurat29 Text --- ---
Diese sind alle Windows-Kommandozeilen-Programme (sofern nicht anders angegeben); Ausführung mit der Option-help
Nutzung zu bestimmen.
DUKPT Entschlüsseln (<- die aktuelle Datei zum Download)
Dies ist ein Dienstprogramm, das PIN-Blocks, die gewonnen wurden, über die DUKPT Triple-DES-Verfahren verschlüsselt entschlüsseln. Ich habe diese für die Prüfung der Leistung von rund PIN Pad Software, die ich geschaffen habe, sondern ist auch praktisch für andere Debugging-Zwecke.
VISA PVV-Rechner (<- die tatsächliche
Datei zum Herunterladen)
Dies ist ein Dienstprogramm, das zu berechnen und überprüfen Sie, dass PIN-Bestätigung Werte wurden unter Verwendung der VISA-PVV Technik wird. Es hat eine Reihe von Zusatzfunktionen, wie zum Beispiel die Überprüfung und Festsetzung eines PAN (Luhn Berechnungen), das Erstellen und Verschlüsseln von PIN blockiert, das Entschlüsseln und Gewinnung von PINs verschlüsselt PIN-Blöcke, etc.
VISA CVV-Rechner (<- die aktuelle Datei zum Download)
Dies ist ein Dienstprogramm, das Kartenprüfnummer Werte, die gewonnen wurden, mit der VISA CVV Technik. MasterCard CVC berechnet wird verwendet die CVV-Algorithmus, so dass es für das so gut funktionieren wird. Es wird CVV, CVV2, CVV3, iCVV, CAVV, zu berechnen, da Dies sind nur Variationen über Service-Code und die
Format des Verfallsdatums. Die Prüfung ist einfach nur der Vergleich der berechnete Wert mit dem, was Sie erhalten haben, so gibt es keine explizite Kontrolle Funktion.
Atalla AKB-Rechner (<- die aktuelle Datei zum Download)
Dies ist ein Dienstprogramm, das sowohl zu generieren und zu entschlüsseln Atalla AKB Kryptogramme werden. Sie werden im Klartext MFK müssen diese Operationen durchführen. Bei der Entschlüsselung wird die MAC überprüft werden und die Ergebnisse dargestellt.
BogoAtalla (<- die aktuelle Datei zu
download)
Dies ist ein Atalla Emulator (oder Simulator). Diese Software-Emulation (Simulation) von dem bekannten Atalla Hardware Security Module (HSM), die von Banken und Prozessoren für kryptographische Operationen, wie zum Beispiel die Überprüfung / Übersetzen PIN-Blocks verwendet wird, die Genehmigung von Transaktionen Überprüfung
CVV / CSC Zahlen und Durchführung Schlüssel-Austausch-Verfahren wurde für Testzwecke produziert. Diese Implementierung ist nicht der gesamten HP Atalla Befehlssatz, sondern nur die
Teile, die ich brauchte. Davon abgesehen, ist es vollständig genug, wenn Sie durchführen zu erwerben und / oder Issuing Processing-Funktionen und sind mit moderner Systeme wie Visa und PVV DUKPT, und müssen zu Generation, die Prüfung zu tun, und Übersetzung.
Dies wird als ein offenes Socket-Server und übernimmt die native Atalla Befehlssatz. Ich habe einige Freiheiten bei den Fehler zurück Werte übernommen und sind nicht für die High-Fidelity es angestrebt (dh, können Sie eine andere Fehlermeldung vom ursprünglichen Hardware zu erhalten), aber auf jeden Fall sollte man identische positive
Antworten. Einige Funktionen hier umgesetzt wird, würde erfordern in der Regel den Kauf Premium-Befehle, aber alle Befehle umgesetzt werden hier zur Verfügung. Beispiele sind Generierung PVV Werte und die Verschlüsselung / Entschlüsselung Klartext PIN-Werte.
BogoAtalla für Linksys (<- die aktuelle Datei zum Download)
Dies ist die Atalla Emulator auf Linux portiert und bauen für die Installation auf ein System OpenWRT. Sorgt für eine wirklich billig ($ 60 USD) Entwicklung / Test-Gerät.
Lokale Dateien
bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc
22 Kommentare für diesen Eintrag
Lassen Sie eine Antwort
Translator
24. September, 2008 auf 8.03
Wer weiß, wenn diese BogoAtalla ZMK's (Zone Master Keys unterstützt)? Wir haben gefehlt, um diesen Emulator mit unserem ATM-Prozessor zu verwenden. Aber alle Prozessoren befassen wir uns mit will 64 Zeichen Schlüssel für die HSM HSM Austausch nutzen. Wir haben unsere eigenen verkleinert ISO8583 basiert auf ATM-Schalter, und wir sind die Verknüpfung mit anderen ATM-Prozessor, den die Verwendung eines Postillion (nicht, dass es darauf ankommt) passiert. Ich glaube, ich verstehe, wie die Verwendung der LMK oder KSK aber ich kann nicht bestimmen, wie ein Test-Zone Master Key.
25. Oktober 2008 auf 12.18 Uhr
yes, it does. Ein ZMK ist ein Key Exchange Key (KEK). In Atalla AKB es gibt ein paar Wege, um die KEK je nachdem, was die Eingabe-Taste Form ist. Wenn Sie erhalten AKB Schlüssel, würden Sie vielleicht Ihren ZMK mit 1KDNE000 und verwenden Sie den Befehl 13. Beim Importieren von Nicht-AKB-Tasten (die häufigere Fall), verwenden Sie einen Header wie 1PUNN0I0 auf Ihrer ZMK, mit dem Befehl 11B. Beide scheinen umgesetzt werden.
Sie haben gesagt, ein 64 Zeichen Schlüssel, aber so, dass ist ein wenig überraschend, da einzelne DES ist ein 16-Zeichen-Schlüssel, 2-T-DES-Schlüssel ist 32 Zeichen und 3-Tasten-TDES ist 40 Zeichen. Also, was ist 64?
15. Januar 2009 am 7:32 pm
Können Sie mir helfen, pls, wie iskn und BDK zu bekommen? Ursache IVE zu verwalten und zu epb oviously bekommen und die pan.I 've Nutzung dukptdecrypt Ich möchte eine PIN.Pls assistiert zu erhalten.
17. Mai 2009 auf 9.04
die IKSN und der BDK sind nicht Teil des Atalla per se, sondern sind Teil Ihrer Einrichtung mit DUKPT PIN-Pads funktionieren. Speziell ist der BDK etwas, das Sie erstellen, zufällig, wie eine beliebige andere Taste (und dies ist ein sehr wichtiger Schlüssel). Die IKSN aus einer Kennung angeben, welche BDK eingebaut sind, und eine Vorrichtung Seriennummer Ihres Schlüssels Injektionsanlage generiert. Sie vermitteln die BDK die Injektion Anlage, zusammen mit einem Präfix für die IKSN, und sie legen die Seriennummer und injizieren Sie die beiden (na ja, sie ziehen ein 'Initial PIN Encryption Key "und injizieren, dass). Sooo ...
* Sie haben auf der BDK-Hand, weil Sie generiert es von Anfang an
* Die IKSN ist das Top-59 Bits der KSN, die für Sie in jedem DUKPT Transaktion übertragen wird
17. Mai 2009 auf 9.44
Hat jemand versucht atallaakbcalc? Es scheint nicht an allen Arbeitsplätzen.
25. Mai 2009 auf 7.58
Ich benutze es, es ist ein ziemlich einfaches Werkzeug, actually. Wenn Sie sagen, daß es nicht bei der Arbeit alle ", welcher Teil der" auf allen "Sie bedeutet das konkret? Wenn Sie die Hilfe-Option verwenden, gibt es einige Beispiele für Befehle.
27. Mai 2009 auf 9.20
Was wäre der Befehl, um eine zweiteilige Variante 0 KEK zu importieren, dann den Befehl zum Entschlüsseln ein cyrptograms mit CVV Keys verwendet werden? Es scheint auf der Linie des 11B werden.
28. Mai 2009 auf 12:02 am
OK, normalerweise würde ich nicht machen, aber offensichtlich habe ich viel zu viel Kaffee hatte heute Morgen.
Sie brauchen Befehl 11b für dieses Szenario.
Also von Ihnen genannten "Zwei-Komponenten", dann müssen Sie dann die Zusammenarbeit von Komponenten für Ihre KEK? Sie müssen Ihre KEK aus den Komponenten mit der SCA, oder Sie können die atallaakbcalc Tool zu bauen, wenn dies für Testzwecke. Sie müssen einen Zauber-Header angeben, wenn die in diesem Fall ist 1CDNN0I0. Außerdem muss Ihr Sicherheitspolitik C sind in der Option E0.
Dann müssen Sie den Befehl 11b brauen, mit dem Schlüssel cvv Kryptogramm und der KEK. Sie erhalten dann Ihre AKB Kryptogramm der eingeführten CVV-Taste und die Prüfziffer.
Mit diesem können Sie weiter mit CVV Operationen.
Hier ist ein konkretes Beispiel:
optE0 enthält C
mfk 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF
kek hdr 1CDNN0I0
kek c1 11111111222222223333333344444444
kek c2 88888888888888888888888888888888
kcvv chk 08D7B4
kcvv cryp 1A79047AE419985DE830024C358E3B4A
(im Klartext KEK ist 99999999aaaaaaaabbbbbbbbcccccccc mit Prüfziffern von 820638 und der Klartext cvv Schlüssel 0123456789abcdeffedcba9876543210. pflegen Sie haben diese Informationen in der Regel, natürlich).
Ihren KEK entweder mit dem realen Atalla, oder das Werkzeug
atallaakbcalc-calcakb-mfk 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF-hdr 1CDNN0I0-Komponente 11111111222222223333333344444444-Komponente 88888888888888888888888888888888
1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593
Importieren Sie die Kryptogramm mit den Atalla:
sehen Sie die Prüfziffern entsprechen, so sind Sie auf OK.
28. Mai 2009 auf 12:05 am
(die HTML-Unterstützung abgespritzt Atalla den Befehl, die spitzen Klammern verwendet. Hier ist der Befehl und die Antwort, die aus der Nachricht gelöscht hat)
<11B # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
<21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # 08D7 #>
3. Juni 2009 auf 8.43
Leider sieht es wie die Atallaakbcalc unterstützt nicht die Komponente Option.
3. Juni 2009 auf 11.37 Uhr
Ich prüfe dies in Vorbereitung auf unsere A8150 geliefert werden soll.
Gibt es einen Download für die atallaakbcalc, dass die Komponente-Optionen, die Sie erwähnt unterstützt? Wenn ja, wo kann ich ihn finden?
11. Juni 2009 am 7:29 pm
Dave,
Ich weiß, dass jeder in diesem Forum wird sehr viel über diese Thematik. Ich möchte nur, um herauszufinden, was ein, wo kann ich eine einfache Erklärung des Atalla Befehlssatz, dass auch ein Mann können lagen zu erhalten. Grundsätzlich möchte ich in der Lage sein, effizient mit dem virtuellen HSM (Bogo Atalla) kommunizieren und die aus stellt, dass ich Lust please help!
17. Juni 2009 auf 10.44 Uhr
Hallo alle,
Meine Frage ist über die DUKPT Schlüssel-Management-System.
Mein Verständnis ist, dass dies die empfohlene Methode zur Sicherung von sensiblen Daten zu finanziellen Transaktionen heute ist und überlegen Master-Sitzung, da ein anderes (abgeleitet) Schlüssel wird für jede einzelne Transaktion verwendet.
Ich bin nur zu wollen verstehen, wie viel sicherer ist diese Methode.
Wenn ein Hacker sich auf Transaktionen für Aufnahme, sagen wir, ein Monat durch Schnüffeln ein Netzwerk, zum Beispiel, und dann war in der Lage, den Schlüssel für eines der transacitons Pause - konnte er dann den Schlüssel des jeweils folgenden Transaktion zu berechnen, wenn er Kenntnis hat wie die Ableitung DUKPT Schlüssel in das Terminal funktioniert's? Ich nehme an, dieses Wissen wäre für jeden zugänglich, der Zugriff auf die DUKPT Norm hat.
Ich bin auch davon aus, dass es neben werden, nicht möglich, die Schlüssel für die Transaktion vor dem gehackt, weil das DUKPT Ableitung-Methode verwendet eine nicht umkehrbare Transformation berechnen würde. Klingt das Recht - keine Kommentare would be appreciated - thanks, Colin Cummins
22. Juni 2009 auf 11.52 Uhr
Hallo Colin,
Ich habe eine separate Stelle mit einigen Materialien hergestellt.
Ich will einmal aufwendige ich einige Zeit dauern.
http://www.madrock.net/2009/06/dukpt-overview-and-transaction-notes/
Danke
Derek
9. Juli 2009 auf 10.18 Uhr
tim: in Bezug auf die Atalla Befehle. Das Handbuch ist sehr gründlich, und du wirst sie brauchen, wenn Sie sich um eine Schnittstelle Code. (Sie müssen es, wenn Sie sich zu kochen Befehle selbst und geben diese über Telnet.) Die super-kurz-Laien ist diese Beschreibung:
* Message-oriented Text-Protokoll
* Nachrichten werden abgegrenzt,
Bereichen sind begrenzt durch #. Die Daten werden in hex codiert (selten etwas anderes).
* Das erste Feld ist der Befehl. Der Rest sind die Daten je nach Befehl.
* Die Antwort ist, wie die Kommandos strukturiert, aber das erste Feld ist der Fehlercode.
* Befehle geben 00 angibt, Fehler oder eine Reihe von zunehmend die erste Ziffer des Kommandos id gemacht. Also Kommando 10 hat einen Return-Code von 20, und Befehl 9A hat einen Return-Code des AA.
* Befehle werden nicht mit CRLF enden, sondern kann optional crlf in der Antwort enthalten, wenn es Sie glücklich macht.
Und das war's. Für mehr benötigen Sie das Handbuch.
9. Juli 2009 auf 11.22 Uhr
Colin: Ihre Überzeugungen richtig sind. Es gibt einige andere Sachen in den Weg DUKPT getan wird, um den Anwendungsbereich der Nützlichkeit eines Angriffs zu begrenzen.
Hier eine kurze Zusammenfassung:
* Jedes xactn hat einen eindeutigen Schlüssel.
* Die Tasten sind aus früheren Schlüssel abgeleitet und aus der Transaktion zu begegnen, und ein wenig mit der Seriennummer des Geräts. Praktisch, die wie ein ein Hash.
* Die Tastenfolge wird für jede Einheit verschieden.
* Die super-geheimen Schlüssel - die Base Ableitung Key - nie berührt ein Gerät. Stattdessen _another_ Schlüssel daraus abgeleitet wird, einzigartig für jedes Gerät, und ist in der Einheit, über die Generierung der Schlüssel zu initialisieren und dann sofort beseitigt werden. Dies ist die "Erste PIN Encryption Key".
Also, wenn Sie Schnupfen, würden Sie keine Kompromisse früheren Transaktionen. In einigen besonderen Fällen können Sie Schlüssel Zukunft Kompromiss, aber nur für die PIN-Pad (s) unter Beschuss. "Besondere caes", weil der Schlüssel Generation nicht fortlaufend ist, sondern die Schlüsselraums wird als Baum dargestellt, und alle Kinder beeinträchtigen würde. (Beachten Sie, dass dieser Baum Konstruktion nicht für die Sicherheit getan wird, sondern für Praktikabilität). Man muss unter Umständen dump alle die Interna einer PIN-Pad, um den ganzen Baum zu tun.
10. August 2009 am 9:37 pm
http://www.youtube.com/watch?v=ydBJHZsi-xs
Thales 8000
15. September 2009 auf 1.09
Hallo,
Ich bin ziemlich neu in Atalla, machen einige Übungen mit ihm.
Also, ich habe ein Grundwissen über Tasten und so, hier ist also eine Frage, ist es wahrscheinlich sehr einfach und könnte mich sehen aus wie ich bin dumm:
Wo bekomme ich die KEK? oder erzeugen die KEK?. Ich habe eine MFK und PMFK, aber ich keine Ahnung haben, wo man die KEK und das Handbuch immer davon ausgehen, ich habe eine KEK (oder einem Schlüssel unter die KEK in AKB-Format verschlüsselt).
Danke!
7. Oktober 2009 auf 11:26 pm
Hallo Derek
Können Sie mir helfen mit einem Link, wo kann ich die Software des Thales 8000 HSM herunterladen. Ich habe Bogo Atalla und haben nicht die manuelle oder Befehlssatz. Könnten Sie bitte entweder senden Sie mir die Bogo Atalla manuell oder Befehlssatz oder die Thales 8000 HSM Software. Oder ist der Thales-8000 HSM-Befehlssatz wie Bogo Atalla?
8. Oktober 2009 am 1:46 pm
Thales 8000 HSM Manual
I hope this helps
7. Oktober 2009 auf 11:52 pm
Hallo Derek
Ich bin ganz clued ein wenig auf boga Atalla sondern nur möchte, um mehr über bogo Atalla im lernen, auch bereit sind, an einen beliebigen Ort auf der Welt, Bogo Atalla Befehl Gebräuche studieren gehen. Can you please advice me where to go oder sogar Anfang Studium Atalla Befehle.
23. Januar 2010 auf 2.54
Hallo Derek,
Würden Sie klären, die nicht reversibel (NR) DUKPT Entschlüsselung ist - das heißt, zeigt ANS X9 die beiden NR Prozesse sind verwandte, aber anders. Genauer gesagt, nicht, wie unterscheiden sie sich? Ich weiß, Entschlüsselung führt eine NR-Zyklus für jede '1 'Bit-Verschlüsselung in der Theke, mit Ausgang des NR-Zyklus als Schlüssel für den nächsten Doch was ist der NR-Prozess auf dem Backend?
Danke.