Financial Transaction Processing
por Derek en Jul.02, 2008, baixo Banca e Eftpos
Fun recentemente a traballar dentro dun dos maiores bancos de Australia.
A través deste traballo fun ollar os controis e mecanismos que envolven o procesamento de tarxetas de crédito e débito arredor da Asia-Pacífico.
Recibe realizar moitas arquitectura de seguridade e das avaliacións dos sistemas de pago.
Ao longo dos anos, teño sempre en conta a protección de datos de tarxeta como unha das principais consideracións.
Ata onte eu nunca tiña visto un CVV ou ferramentas de decodificación PVV. Creo que algúns scripts uso destas ferramentas pode ser moi interesante.
O hziggurat29.com sitio
Moitas das outras ferramentas neste sitio son tamén moi orixinal e vale un ollo.
Big thanks to ziggurat29 para fornecer tales ferramentas impresionantes.
Como moitos destes sitios son desta natureza son difíciles de atopar, e moitas veces parecen desaparecer ao longo dos anos, optei por reproducir o texto dende esta páxina e proporcionar copias locais dos arquivos.
Paga a pena visitar periodicamente o sitio ziggurat29 e agora cada vez para ver se todas as ferramentas adicionais foron enviadas.
Un dos arquivos máis extraordinario é o atallo Hardware Security module (HSM) e BogoAtalla para Linksys emulação (simulación) ferramentas. Entón eu pregunto se Eracom e Thales están trasfega nas súas botas. De algunha maneira eu non penso así. ;-)
--- --- Ziggurat29 Texto
Estes son todos os comandos de Windows utilidades de liña (agás que se indique); executar coa opción-axuda
para determinar o uso.
DUKPT Decrypt (<- o arquivo para descargar)
Este é unha utilidade que ha descriptografar criptografada PIN bloques que foron producidos a través do método DUKPT triple-DES. Eu usei tanto para probar a saída de algún software PIN Pad eu tiña creado, pero tamén é útil para fins de depuración outros.
VISA PVV Calculator (<- o real
arquivo para descargar)
Este é unha utilidade que pode calcular e comprobar PIN Verification valores que foron producidos empregando a técnica de VISA PVV. Ten unha morea de funcións auxiliares, tales como a verificación e fixación de PAN (Luhn computações), a creación de bloques e criptografía PIN, e desencriptar extracción de pins bloques PIN criptografía, etc
VISA CVV Calculator (<- o arquivo para descargar)
Este é unha utilidade que pode calcular de Comprobación valores que foron producidos empregando a técnica de VISA CVV. MasterCard CVC utiliza o algoritmo CVV, polo que vai traballar para iso tamén. El ha calcular CVV, CVV2 CVV3, iCVV, cavv, dende Estes son só variacións sobre o servizo eo código
formato da data de caducidade. verificación é simplemente o valor calculado comparando co que recibiu, polo tanto, non hai verificación de función explícita.
Atallo AKB Calculator (<- o arquivo para descargar)
Este é unha utilidade que pode xerar e decodificar os criptogramas atallos AKB. Vostede vai ter o MFK texto simple para realizar estas operacións. Cando desencriptar, o MAC tamén será revisado e os resultados mostrados.
BogoAtalla (<- o arquivo de reais
descarga)
Este é un emulador de atallos (ou simulador). Este emulação de software (simulación) do coñecido atallos Hardware Security module (HSM) que é usado por bancos e procesadores para operacións criptografía, tales como a verificación / traducir bloques de PIN, que autoriza operacións por comprobando
Números CVV / CSC, e realización de procedementos de intercambio de claves, foi producida para fins de exame. Esta implantación non é do conxunto completo de comandos HP atallo, pero o xusto
parcelas que eu mesmo necesario. Dito isto, é bastante completo, se está realizando a adquisición e / ou funcións de procesamento de emisión, e están a empregar sistemas máis modernos, tales como a Visa, PVV e DUKPT, e cómpre facer xeración, comprobación e tradución.
Isto funciona como un servidor de soquete de escoita e manipular o comando atallos nativo definido. Tomei algunhas liberdades cos valores de retorno de erro e non teñan lutado a alta fidelidade existe (ou sexa, pode obter unha resposta de erro diferente do hardware nativo), pero definitivamente positiva debe recibir idéntico
respostas. Algunhas funcións implementadas aquí, normalmente, esixen a compra mandos superiores, pero todos os comandos executados están dispoñibles aquí. exemplos están xerando valores PVV e criptografía / descriptografar plaintext PIN valores.
BogoAtalla para Linksys (<- o arquivo para descargar)
Este é o emulador atallos porto para Linux e construír para a instalación dun sistema OpenWRT. Fai un dispositivo de proba realmente barato ($ 60 USD) / desenvolvemento.
Arquivos Locais
bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc
22 comentarios a esta entrada
Deixe unha resposta
Translator
24 de setembro de 2008 en 8:03
Alguén sabe se soporta BogoAtalla (ZMK Spain Master Keys)? Temos benvida a queira utilizar este emulador co noso procesador de ATM. Pero todos os procesos que lidamos desexa utilizar claves de 64 caracteres para o HSM intercambiar HSM. Nós construímos nosos propios reducida conmutador ATM con base na ISO8583 e estamos a interface con outro procesador de ATM que acontece con quen usa unha Postillion (non que iso importe). Eu creo que entender como usar o Lmk ou KSK, pero non podo determinar a forma de proba dunha Zona de clave mestre.
25 de outubro de 2008 en 12:18
Si, el fai. A ZMK é un intercambio de claves Key (kék). En atallos AKB existen algunhas formas de crear a kék dependendo do que o formulario de entrada é fundamental. Se estás a recibir as chaves AKB, quizais faga o seu ZMK con 1KDNE000 e use o comando 13. Se importar chaves non AKB (o caso máis común), se usaría un cabeceira como 1PUNN0I0 no seu ZMK, con 11b orde. Ambos parecen ser implementado.
Vostede dixo unha clave de 64 caracteres, aínda que, así que é un pouco sorprendente porque DES único é unha clave de 16 caracteres, 2-TDES clave é de 32 caracteres, e 3-TDES clave é 40 caracteres. Así que é 64?
15 de xaneiro de 2009 en 7:32
Can you pls me axudar como conseguir iskn e BDK? ive causar conseguir ter EPB e oviously e eu o Pan 've dukptdecrypt uso quere obter unha assits PIN.Pls.
17 de maio de 2009 en 9:04
o IKSN eo BDK non forman parte do atallo per se, pero son parte da súa creación para traballar con DUKPT PIN Pads. Especialmente, a BDK é algo que crear aleatoriamente, como calquera outra tecla (e esta é unha peza moi importante). O IKSN está construído a partir dun identificador que indica que BDK está a usar, e un número de serie do dispositivo xerados pola súa facilidade de inxección clave. Vostede transmitir o BDK para a instalación de inxección, xunto con un prefixo para o IKSN, e que atribúen o número de serie e inxectar a ambos (ben, na verdade, eles derivan un 'Initial PIN Encryption key "e que injectar). Sooo ...
* Terá a BDK na man, porque lle xerou para comezar
* O IKSN é o top 59 bits do KSN, que se transmite a ti en cada transacción DUKPT
17 de maio de 2009 en 9:44
Alguén intentou atallaakbcalc? Ela non aparece para traballar en conxunto.
25 de maio de 2009 en 7:58
Eu uso el, é unha ferramenta moi sinxela, realmente. Cando di 'non funciona en todos ", que parte de" todos os "está sentido especialmente? Se vostede usa a opción de axuda, hai algúns comandos de exemplo.
27 de maio de 2009 en 9:20
Cal sería o comando para importar unha parte 0 kék dúas variantes, a continuación, o comando a empregar para descriptografar un cyrptograms contendo CVV keys? Parece ser nos moldes do 11b.
28 de maio de 2009 en 12:02
OK, normalmente eu non faría iso, pero evidentemente eu tiven moito café esta mañá.
Debe de mando 11b para este escenario.
Entón, vostede menciona os dous compoñentes ', entón por tanto debe estar a traballar a partir de compoñentes para o seu kék? Terás que construír o seu kék dos compoñentes coa SCA, ou pode empregar a ferramenta atallaakbcalc que isto é para fins de exame. Debe indicar unha cabeceira de maxia, pero que neste caso é 1CDNN0I0. Ademais, a súa política de seguridade debe incluír C na E0 opción.
Entón, hai que inventar o comando 11b, co criptograma CVV clave eo kék. Vai entón recibir seu AKB criptograma de clave CVV importados, e os díxitos de verificación.
Con iso pode continuar as operacións de CVV.
Aquí está un exemplo concreto:
optE0 contén C
2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF MFK
1CDNN0I0 HDR kék
kék c1 11111111222222223333333344444444
kék c2 88888888888888888888888888888888
08D7B4 chk kcvv
kcvv cryp 1A79047AE419985DE830024C358E3B4A
(o texto orixinal é kék 99999999aaaaaaaabbbbbbbbcccccccc, con cifras de verificación de 820.638, ea clave CVV plaintext é 0123456789abcdeffedcba9876543210. vostede non ten esa información, normalmente, é claro).
fai o seu kék atallos tanto co real, ou a ferramenta
atallaakbcalc-calcakb-2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF MFK-1CDNN0I0 HDR-compoñente 11111111222222223333333344444444-compoñente 88888888888888888888888888888888
1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593
importar o criptograma con atallos:
Podes ver os díxitos de verificación corresponder, entón está OK.
28 de maio de 2009 en 12:05
(o soporte HTML hosed o comando atallo, que utiliza corchetes. Aquí está o mando, ea resposta que obtivo eliminado da mensaxe)
<11b # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
<21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # 08D7 #>
3 de xuño de 2009 en 8:43
Desafortunadamente, que se parece o Atallaakbcalc non permite a opción de compoñentes.
3 de xuño de 2009 en 11:37
Estou probando isto en preparación para o A8150 para ser entregado.
Existe unha transferencia para o atallaakbcalc que soporta as opcións do compoñente que mencionar? Se é así, onde podo atopalo?
11 de xuño de 2009 en 7:29
Dave,
Sei que todos os foros é moi ben informados sobre o tema. Gustaríame só de saber unha cousas, onde podo obter unha explicación sinxela do mando conxunto atallos que mesmo un leigo pode utilizar. Basicamente, quero ser capaz de comunicar eficazmente co HSM virtual (bogo atallo) e obter o pór para fóra o que eu desexo, please help!
17 de xuño de 2009 en 10:44
Ola todo,
A miña pregunta é sobre o réxime de xestión DUKPT clave.
O meu entendemento é que este é o método recomendado para protexer datos sensibles sobre operacións financeiras e actualmente é superior a sesión mestre / porque un diferente (derivada) de claves úsase para cada transacción.
Eu só estou querendo entender como moito máis seguro este método é.
Se un hacker foron para rexistrar transaccións para, digamos, un mes por cheirar unha rede, por exemplo, e logo foi capaz de romper a clave para unha das transacitons - el podería entón calcular a clave para cada transacción seguinte, se ten coñecemento de como a derivación DUKPT clave nas obras da terminal? Estou asumindo ese coñecemento estaría dispoñible para calquera persoa que teña acceso á norma DUKPT.
Eu tamén estou asumindo que sería case imposible de calcular as claves para operación antes da unha cortada porque o método de derivación DUKPT emprega unha transformada non reversible. Será que este dereito de son - os comentarios serían levados - grazas, Colin Cummins
22 de xuño de 2009 en 11:52
Ola Colin,
Eu criei un post separado, con algúns materiais.
Vou elaborar unha vez que recibe algún tempo.
http://www.madrock.net/2009/06/dukpt-overview-and-transaction-notes/
Grazas
Derek
9 de xullo de 2009 en 10:18
Tim: sobre os comandos atallos. O manual é bastante completo, e precisarás del, se está indo a un código de interfaz. (Tamén cómpre se está indo para cociñar ata comandos de si mesmo e inserir-los vía telnet.) O super-secular breve descrición é esta:
* Message-oriented protocolo textual
* Mensaxes son delimitados por,
campos dentro son delimitadas por #. Os datos son codificados en hexadecimal (raramente non).
* O primeiro campo é o mando. O resto son datos dependendo do mando.
* A resposta está estructurado coma os comandos, pero o primeiro campo é o código de erro.
* As ordes de retorno de erro indicando 00, ou un número feito por incrementando o primeiro díxito do comando id. Así orde 10 ten un código de retorno de 20, e 9A mando ten un código de retorno de AA.
* Ordes non son rematar con CRLF, pero opcionalmente pode incluír crlf na resposta se iso te fai feliz.
And that's it. Por máis que vai ter de manual.
9 de xullo de 2009 en 11:22
Colin: as súas crenzas son correctas. Hai algunhas outras cousas no camiño DUKPT está feito para limitar aínda máis o ámbito da utilidade dun ataque.
Aquí está un rápido resumen:
* Cada xactn ten unha clave única.
* As claves son derivadas de claves anteriores e do contador de operación, e un pouco de número de serie do aparato. Practicamente, é coma un hash dunha maneira.
* A secuencia de teclas é diferente para cada unidade.
* A tecla super-segredo - Caixa de derivación de chaves - nunca toca un dispositivo. En vez diso, _another_ clave é derivado del, exclusivo para cada unidade, e colócase na unidade para iniciar o proceso de xeración de claves, e entón inmediatamente descártase. Este é o 'Initial PIN clave de cifrado ".
Así, se cheiro, non debería comprometer as operacións anteriores. En algúns casos particulares que poderían comprometer as claves no futuro, pero só para o bloque de PIN (s) no ataque. 'Cans especial ", porque a xeración de chaves non é Secuencial, senón o keyspace está representada como unha árbore, e todos os fillos quedarían comprometidos. (Nótese que esta construción da árbore non está feito para a seguridade, pero por práctica). Necesitará de despejo para fóra todos os internos dun PIN pad para facer a árbore enteira.
10 de agosto de 2009 en 9:37
http://www.youtube.com/watch?v=ydBJHZsi-xs
Thales 8000
15 de setembro de 2009 en 1:09
Ola,
Eu son bastante novo para atallo, facendo algúns exercicios con el.
Entón, eu teño un coñecemento básico de claves e outras cousas, por iso aquí é unha pregunta que probablemente é moi doado e pode facer-me ver como eu son burro:
Onde podo obter a kék? ou xerar a kék?. Eu teño un MFK e un PMFK, pero non teño idea por onde comezar o kék eo manual sempre asumir que teño un kék (ou unha chave criptografada baixo o kék en formato AKB).
Grazas!
7 de outubro de 2009 en 11:26
Ola Derek
Podería, por favor me axudar con un link para que eu poida baixar o software do 8000 Thales HSM. Teño bogo atallos e non ter o seu manual ou conxunto de comandos. Podería, por favor, tanto me enviar o bogo atallos manual ou conxunto de ordes ou o Thales 8000 software HSM. Ou é o Thales 8000 HSM mando conxunto da mesma bogo atallos?
8 de outubro de 2009 en 1:46
Thales 8000 HSM Manual
Espero que isto axude
7 de outubro de 2009 en 11:52
Ola Derek
Estou bastante clued un pouco sobre atallos boga, pero só quere saber máis sobre a im atallos bogo mesmo dispostos a ir a calquera lugar no mundo para estudar os usos comando bogo atallos. Can you please advice me onde ir ou mesmo de comezar a estudar as ordes atallos.
23 de xaneiro de 2010 en 2:54
Ola Derek,
Quere aclarar os non reversibles (NR) proceso de descriptografar DUKPT - ou sexa, a ANS X9 indica a NR dous procesos están relacionados, pero diferentes. Precisamente, como eles diferen? Sei descriptografar realiza un ciclo de NR para cada bit 1 no contador de criptografía, utilizando a saída do ciclo NR como a clave para o próximo pero que é exactamente o proceso de NR no motor?
Grazas.