Procesamiento de Transacciones Financieras
por Derek en Jul.02, 2008, en virtud de Banca y Eftpos
He estado recientemente trabajando dentro de uno de los bancos más grandes en Australia.
A través de este trabajo que he estado buscando en los controles y mecanismos que el tratamiento de tarjetas de crédito y de débito en todo el Asia-Pacífico.
Puedo realizar arquitectura de seguridad y las evaluaciones de muchos sistemas de pago.
Largo de los años siempre he considerado que la protección de los datos de la tarjeta como una de las consideraciones fundamentales.
Hasta ayer nunca había visto un CVV o herramientas de descifrado PVV. Creo que algunas secuencias de comandos uso de estas herramientas puede ser muy interesante.
El hziggurat29.com sitio
Muchas de las otras herramientas en este sitio son también muy singular y digno de una mirada.
Muchas gracias a ziggurat29 para proporcionar tales herramientas impresionante.
Como muchos de estos sitios son de esta naturaleza son difíciles de encontrar ya menudo parecen desvanecerse con los años, he decidido reproducir el texto de esta página y proporcionar copias de los archivos locales.
Vale la pena visitar periódicamente la ziggurat29 sitio de vez en cuando para ver si alguno de herramientas adicionales han sido escritos.
Uno de los archivos más extraordinaria es la Atalla módulo de seguridad hardware (HSM) y BogoAtalla para la emulación de Linksys (simulación) herramientas. Así que me pregunto si Eracom y Thales están temblando en sus botas. Algunos como yo no lo creo. ;-)
--- --- Texto ziggurat29
Estos son todos los comandos de Windows utilidades de línea (excepto donde se indique), se ejecutan con la opción de ayuda -
para determinar su uso.
DUKPT Descifrar (<- el archivo real para descargar)
Esta es una utilidad que descifrar PIN cifrados bloques que se han producido a través del método de DUKPT triple DES. He utilizado esta prueba para la producción de software de algunos PIN Pad que había creado, pero también es útil para propósitos de depuración de otros.
VISA PVV Calculator (<- el real
el archivo a descargar)
Esta es una utilidad que calcular y verificar el PIN de Verificación de valores que han sido elaborados mediante la técnica de VISA PVV. Tiene un montón de funciones auxiliares, como la verificación y la fijación de un (PAN cálculos Luhn), la creación y el cifrado de bloques de PIN, descifrar y la extracción de bloques de números PIN PIN cifrados, etc
VISA CVV Calculator (<- el archivo real para descargar)
Esta es una utilidad que calcular los valores de verificación de tarjeta que han sido elaborados mediante la técnica de VISA CVV. MasterCard CVC utiliza el algoritmo de CVV, por lo que trabajo para eso. Se calcula CVV, CVV2, CVV3, ICVV, CAVV, ya que Estos son sólo variaciones sobre el código de servicio y de la
el formato de la fecha de vencimiento. La verificación es simplemente comparando el valor calculado con lo que han recibido, lo que no es función de verificación explícita.
Atalla AKB Calculator (<- el archivo real para descargar)
Esta es una utilidad que ambos generan y descifrar los criptogramas Atalla AKB. Necesitará el MFK texto plano para realizar estas operaciones. Cuando la descodificación, la CAM también deberán ser analizados y los resultados mostrados.
BogoAtalla (<- el archivo real para
download)
Este es un emulador Atalla (o simulador). Esta emulación de software (simulación) de la conocida Atalla Hardware Security Module (HSM) que es utilizado por los bancos y los procesadores para las operaciones criptográficas, como la verificación y traducción de bloques de PIN, se autoriza a las transacciones por verificar
CVV / números de CSC, y la realización de procedimientos de intercambio de claves, se produjo para fines de comprobación. Esta aplicación no es de la serie completa de HP Atalla mando, sino el justo
partes que yo necesitaba. Dicho esto, es bastante completo si está realizando la adquisición y / o funciones de procesamiento de emisión, y están utilizando sistemas más modernos, tales como Visa y PVV DUKPT, y hay que hacer la generación, la verificación, y la traducción.
Esto funciona como un servidor de socket de escucha y maneja el comando Atalla nativo. He tomado algunas libertades con los valores de error de retorno y no han luchado por la alta fidelidad allí (es decir, puede obtener una respuesta de error diferente de hardware nativo), pero debe conseguir definitivamente positivo idénticos
las respuestas. Algunas de las características implementadas aquí normalmente requieren la compra de los comandos de la prima, pero todos los comandos están disponibles aquí en práctica. Ejemplos de ello son la generación de valores de PVV y cifrar / descifrar los valores de PIN en texto plano.
BogoAtalla para Linksys (<- el archivo real para descargar)
Este es el emulador Atalla portado a Linux, y construir para la instalación en un sistema OpenWRT. Rinde para un dispositivo de prueba realmente baratos ($ 60 USD) de desarrollo /.
Archivos Locales
bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc
22 comentarios para esta entrada
Deje una contestación
Traductor
24 de septiembre 2008 en 8:03 am
¿Alguien sabe si este BogoAtalla soportes (ZMK la Zona Master Keys)? Hemos estado esperando para utilizar este emulador con nuestro procesador de ATM. Sin embargo, todos los procesadores nos ocupamos desea utilizar 64 caracteres claves para la HSM para el intercambio de HSM. Hemos construido nuestro propio reducido switch ATM basado en ISO8583 y estamos de interfaz con otro procesador de ATM que pasa a utilizar un postillón (no es que importe). Creo que entiendo cómo utilizar el LMK o KSK pero no puedo determinar cómo poner a prueba una clave maestra de la zona.
25 de octubre 2008 en 12:18p.m.
Sí, sí. Un ZMK es una clave de intercambio de claves (KEK). En Atalla AKB hay un par de maneras para configurar la KEK en función de lo que la clave es la forma de la entrada. Si usted está recibiendo las llaves AKB, usted tal vez haría su ZMK con 1KDNE000 y uso de comandos 13. Si va a importar las claves que no AKB (el caso más común), debe utilizar una cabecera como en su 1PUNN0I0 ZMK, con 11B de comandos. Ambos parecen ser aplicado.
Usted dijo que una clave de 64 caracteres, sin embargo, de manera que es un poco sorprendente porque DES solo es una clave de 16 caracteres, 2-TDES clave es de 32 caracteres, y 3-TDES clave es de 40 caracteres. Entonces, ¿qué es 64?
15 de enero 2009 en 7:32 pm
¿Puede usted ayudarme pls cómo conseguir iskn y BDK? Ive causa gestión para obtener EPB y oviously y yo uso ve la pan.I 'dukptdecrypt desea obtener un assits PIN.Pls.
17 de mayo 2009 en 9:04 am
la IKSN y el BDK no forman parte de Atalla per se, sino que forman parte de su creación para trabajar con DUKPT PIN Pads. En concreto, el BDK es algo que se crea al azar, como cualquier otra tecla (y esta es una clave muy importante). El IKSN se construye de un identificador que indica que BDK que está utilizando, y un número de serie del dispositivo generado por su facilidad de inyección clave. Usted transmitir el BDK a la instalación de inyección, junto con un prefijo para el IKSN, y adjuntar el número de serie e inyectar el tanto de ellos (en realidad, que les confiere un "PIN inicial de claves de cifrado y de inyectarse). Sooo ...
* Usted tendrá la BDK a la mano, ya que genera, para empezar
* El IKSN es el top 59 bits de la KSN, que se transmite a usted en cada transacción DUKPT
17 de mayo 2009 en 9:44 am
¿Alguien ha intentado atallaakbcalc? No parece funcionar en absoluto.
25 de mayo 2009 en 7:58 am
Yo lo uso, es una herramienta muy simple, en realidad. Cuando usted dice 'no funciona en absoluto ", ¿qué parte de" en absoluto "Are You Meaning específicamente? Si utiliza la opción de ayuda, hay algunos comandos de ejemplo.
27 de mayo 2009 en 9:20 am
¿Cuál sería el comando para importar una variante de dos partes 0 KEK, el comando que se utiliza para descifrar una cyrptograms contiene CVV Keys? Parece ser a lo largo de las líneas de la 11B.
28 de mayo 2009 en 12:02a.m.
OK, normalmente yo no haría esto, pero evidentemente he tenido demasiado café esta mañana.
Usted necesita comando 11b para este escenario.
Así que usted mencionó "dos componentes", a continuación, a continuación, deben estar trabajando a partir de componentes para el KEK? Usted tendrá que construir su KEK de los componentes de la CEA, o puede utilizar la herramienta de atallaakbcalc si es para fines de prueba. Debe especificar un encabezado de la magia, a pesar de que en este caso es 1CDNN0I0. Además, su política de seguridad debe incluir C en el E0 opción.
Entonces, tiene que inventar el símbolo del 11 ter, con el criptograma clave CVV y la KEK. A continuación, recibirá su criptograma AKB de la clave CVV importados, y los dígitos de control.
Con esto usted puede continuar con las operaciones de CVV.
Aquí está un ejemplo concreto:
optE0 contiene C
2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF MFK
1CDNN0I0 HDR KEK
KEK C1 11111111222222223333333344444444
KEK C2 88888888888888888888888888888888
08D7B4 chk kcvv
kcvv cryp 1A79047AE419985DE830024C358E3B4A
(el texto plano se 99999999aaaaaaaabbbbbbbbcccccccc KEK, con dígitos de control de 820638, y la clave CVV texto plano se 0123456789abcdeffedcba9876543210. usted no tiene esta información normalmente, por supuesto).
hacer su KEK con Atalla sea lo real, o la herramienta
atallaakbcalc-calcakb-2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF MFK-1CDNN0I0 HDR-componente 11111111222222223333333344444444-componente 88888888888888888888888888888888
1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593
importar el criptograma con el Atalla:
usted puede ver el partido de dígitos de control, de modo que estás bien.
28 de mayo 2009 en 12:05a.m.
(el apoyo del HTML manguereados el comando Atalla, que utiliza entre corchetes angulares. Este es el comando y la respuesta que les caía del mensaje)
<11B # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
<21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # 08D7 #>
3 de junio 2009 en 8:43 am
Lamentablemente, parece que el Atallaakbcalc no admite la opción de componentes.
3 de junio 2009 en 11:37 am
Estoy probando esto en preparación para nuestro A8150 para ser entregados.
¿Existe una descarga para el atallaakbcalc que apoya el componente de las opciones que usted ha mencionado? Si es así, ¿dónde puedo encontrarlo?
11 de junio 2009 en 7:29 pm
Dave,
Sé que todos en este foro es muy conocedores de este tema. Me gustaría saber una cosas, ¿dónde puedo obtener una explicación simple del comando Atalla conjunto que incluso un laico puede utilizar. Básicamente, quiero ser capaz de comunicarse eficazmente con el HSM virtual (Bogo Atalla) y echar a los que me pone el deseo, por favor ayuda!
17 de junio 2009 en 10:44 am
Hola a todos,
Mi pregunta es sobre el régimen de DUKPT clave de gestión.
Mi entendimiento es que este es el método recomendado para obtener datos sensibles a las transacciones financieras hoy en día y es superior al período de sesiones de maestro / a causa diferente (derivado) de claves se utiliza para cada transacción individual.
Sólo estoy queriendo entender cuánto más seguro este método es.
Si un hacker para registrar las operaciones para, por ejemplo, un mes por la inhalación de una red, por ejemplo, y luego fue capaz de romper la clave para una de las transacitons - puede entonces calcular la clave para cada transacción siguiente si tiene conocimiento de de cómo la derivación DUKPT clave en las obras de terminal? Estoy asumiendo que este conocimiento estará a disposición de cualquiera que tenga acceso a la norma DUKPT.
También estoy suponiendo que sería casi imposible calcular las claves de transacción antes de la hackeado porque el método de derivación DUKPT utiliza una transformación no es reversible. ¿Esto suena bien - cualquier comentario será bienvenido - gracias, Colin Cummins
22 de junio 2009 en 11:52 am
Hola Colin,
He creado un puesto por separado con algunos materiales.
Daré más detalles una vez que consiga algún tiempo.
http://www.madrock.net/2009/06/dukpt-overview-and-transaction-notes/
Gracias
Derek
9 de julio 2009 en 10:18 am
Tim: En cuanto a los comandos Atalla. El manual es bastante completo, y usted necesita si usted va a un código de interfaz. (También se necesita si usted va a cocinar comandos por sí mismo y entrar en ellos a través de Telnet.) El super-laico breve descripción es la siguiente:
* Mensaje de protocolo de texto orientado a
* Los mensajes están delimitados por,
dentro de los campos están delimitados por #. Los datos son codificados en hexadecimal (rara vez lo contrario).
* El primer campo es el comando. El resto son los datos en función de la orden.
* La respuesta está estructurado como los comandos, pero el primer campo es el código de error.
* 00 comandos de retorno de error que indica, o un número compuesto por incrementar el primer dígito de la orden de identificación. Así comando 10 tiene un código de retorno de 20, y 9A comando tiene un código de retorno de AA.
* Comandos no se terminan con crlf, pero puede incluir opcionalmente CRLF en la respuesta si eso te hace feliz.
Y eso es todo. Para obtener más necesitas el manual.
9 de julio 2009 en 11:22 am
Colin: sus creencias son correctas. Hay algunas otras cosas en el DUKPT manera se hace para limitar aún más el alcance de la utilidad de un ataque.
He aquí un resumen rápido:
* Cada xactn tiene una clave única.
* Las llaves se derivan de las claves anteriores y en el mostrador de la transacción, y un poco de número de serie del dispositivo. En la práctica, es como un hash de una manera.
* La secuencia de teclas es distinta para cada unidad.
* El super-clave secreta - el número Derivación Base - nunca toca un dispositivo. En cambio, _another_ clave se deriva de ella, único para cada dispositivo, y se coloca en la unidad para iniciar el proceso de generación de claves, y luego de descartarse inmediatamente. Este es el "PIN inicial de claves de cifrado.
Así que, si aspira, que no pondría en peligro las operaciones anteriores. En algunos casos particulares que puedan comprometer las claves futuro, pero sólo para la plataforma de PIN (s) bajo ataque. "Caes especial" porque la generación de claves no es secuencial, sino más bien la keyspace es representado como un árbol, y todos los niños se vería comprometida. (Tenga en cuenta que esta construcción del árbol no se hace por seguridad, pero por lo práctico). Se necesitaría para volcar todos los detalles internos de una plataforma de PIN para hacer todo el árbol.
10 de agosto 2009 a 9:37 pm
http://www.youtube.com/watch?v=ydBJHZsi-xs
Thales 8000
15 de septiembre 2009 en 1:09 am
Hola,
Soy bastante nuevo para Atalla, haciendo algunos ejercicios con ella.
Por lo tanto, tengo un conocimiento básico de las llaves y todo eso, así que aquí tiene una pregunta que probablemente es muy fácil y puede hacer que me parece que estoy tonto:
¿Dónde puedo conseguir la KEK? o generar la KEK?. Tengo un MFK y PMFK, pero no tengo ni idea de dónde obtener la KEK y el manual asume siempre tengo un KEK (o una clave cifrada en el marco del KEK en formato AKB).
Gracias!
7 de octubre 2009 en 11:26 pm
Hi Derek
¿Podría usted por favor que me ayude con un enlace a donde puedo descargar el software de HSM el 8000 Thales. He Bogo Atalla y no tienen su manual o un conjunto de comandos. ¿Podría usted por favor enviarme el bien Bogo Atalla manual o conjunto de comandos o el software 8000 de Thales HSM. ¿O es el símbolo del 8000 Thales HSM establecer el mismo Bogo Atalla?
8 de octubre 2009 en 1:46 pm
Thales 8000 HSM Manual
Espero que esto ayude
7 de octubre 2009 en 11:52 pm
Hi Derek
Estoy un poco Clued Atalla en boga, pero solo quiero aprender más acerca de im Atalla bogo incluso dispuesto a ir a cualquier lugar del mundo para estudiar los usos Bogo comando Atalla. ¿Puedes por favor consejo mí a dónde ir o incluso a partir de estudiar los comandos de Atalla.
23 de enero 2010 en 2:54 am
Hola Derek,
¿Podría usted aclarar la no reversible (NR) proceso de descifrado DUKPT - es decir, ANS X9 indica los dos procesos NR están relacionados, pero diferentes. Precisamente, en qué se diferencian? Sé que el descifrado realiza un ciclo de NR para cada bit '1 'en la lucha contra el cifrado, utiliza la salida del ciclo de NR como la clave para el próximo Pero cuál es exactamente el proceso de NR en el backend?
Gracias.