Financial Transaction Processing
da Derek il Jul.02, 2008, sotto bancari e Eftpos
Sono stato di recente di lavoro all'interno di una delle banche più grandi in Australia.
Attraverso questo lavoro ho avuto guardando i controlli e meccanismi che circondano il trattamento delle carte di credito e di debito in tutto il Pacifico, l'Asia.
I get eseguire architettura di sicurezza molti e le valutazioni dei sistemi di pagamento.
Nel corso degli anni ho sempre considerato la protezione dei dati della carta come una delle considerazioni principali.
Fino a ieri non avevo mai visto uno CVV o strumenti di decodifica PVV. Penso che alcuni script utilizzo di questi strumenti potrebbe essere molto interessante.
Il hziggurat29.com sito
Molti degli altri strumenti in questo sito sono anche molto unico e vale la pena dare un'occhiata.
Un grande grazie a ziggurat29 per la fornitura di tali strumenti awesome.
Come molti di questi siti sono di questo tipo sono difficili da trovare e spesso sembrano svanire nel corso degli anni, ho scelto di replicare il testo da questa pagina e fornire copie locali dei file.
Vale la pena di visitare periodicamente il sito ziggurat29 ogni tanto per vedere se eventuali strumenti aggiuntivi che sono stati pubblicati.
Uno dei file più straordinaria è la Atalla Hardware Security Module (HSM) e BogoAtalla per l'emulazione Linksys (simulazione) strumenti. Mi chiedo se Eracom e Thales scuotono nel loro stivali. In qualche modo io non la penso così. ;-)
--- Ziggurat29 Testo ---
Questi sono tutti dei comandi di Windows-utility a riga (eccetto dove indicato); eseguire con l'opzione-help
per determinare l'utilizzo.
DUKPT Decrypt (<- il file effettivo per il download)
Questo è un programma di utilità che decifrare Encrypted PIN blocchi che sono stati ottenuti attraverso la DUKPT triple-DES metodo. Ho usato questo per testare l'uscita di alcuni software PIN Pad che avevo creato, ma è utile anche per altri scopi di debug.
VISA PVV Calculator (<- l'attuale
il file da scaricare)
Questo è un programma di utilità che calcolare e verificare Verifica codice PIN valori che sono stati prodotti utilizzando la tecnica VISA PVV. Ha un sacco di funzioni ausiliarie, come la verifica e la fissazione di un PAN (calcoli Luhn), la crittografia e la creazione di blocchi di codice PIN, decifrare e estrazione PIN dai blocchi PIN cifrato, ecc
VISA CVV Calculator (<- il file effettivo per il download)
Questo è un programma di utilità che calcolerà Card Verification valori che sono stati prodotti utilizzando la tecnica VISA CVV. MasterCard CVC utilizza l'algoritmo CVV, in modo da funzionare per quello. Si calcola CVV, CVV2, CVV3, iCVV, CAVV, dal momento che Questi sono solo variazioni sul codice di servizio e la
formato della data di scadenza. La verifica è semplicemente confrontando il valore calcolato con quello che avete ricevuto, quindi non c'è alcuna funzione esplicita di verifica.
Atalla AKB Calculator (<- il file effettivo per il download)
Questo è un programma di utilità che entrambi producono e decrittografare Atalla crittogrammi AKB. Avrete bisogno delle MFK chiaro per eseguire queste operazioni. Quando decrittare il messaggio, il MAC sarà anche controllati ed i risultati mostrati.
BogoAtalla (<- il file effettivo
download)
Questo è un emulatore Atalla (o simulatore). Il software di emulazione (simulazione) del ben noto Atalla Hardware Security Module (HSM) che viene utilizzato da banche e processori per operazioni di crittografia, come ad esempio la verifica / tradurre blocchi di codice PIN, che autorizza le operazioni da verifica
CVV / numeri CSC, ed eseguire le procedure di scambio delle chiavi, è stato prodotto a fini di prova. Questa implementazione non è della HP completo set di comandi Atalla, ma piuttosto il giusto
porzioni che io stesso ho bisogno. Detto questo, è abbastanza completo, se si sta effettuando l'acquisizione e / o funzioni di elaborazione di emissione, e si utilizza sistemi più moderni come Visa e PVV DUKPT, e la necessità di fare la generazione, la verifica e la traduzione.
Questo viene eseguito come un server in ascolto socket e gestisce il comando Atalla nativo set. Ho preso qualche libertà con i valori di ritorno di errore e non hanno lottato per l'alta fedeltà esiste (ad esempio, è possibile ottenere una risposta di errore diverso da hardware nativo), ma sicuramente dovrebbe ottenere positivi identici
risposte. Alcune funzionalità implementate qui sarebbe normalmente richiedono l'acquisto di comandi premio, ma tutti i comandi qui attuate sono disponibili. Esempi sono la generazione dei valori PVV e la crittografia / decrittografia chiaro PIN valori.
BogoAtalla per Linksys (<- il file effettivo per il download)
Questo è l'emulatore Atalla porting per Linux e costruire per l'installazione su un sistema di OpenWRT. Makes per un dispositivo davvero a buon mercato ($ 60 USD) lo sviluppo / test.
Locali Files
bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc
22 commenti per questa voce
Lasci una risposta
Traduttore
24 settembre 2008 a 8:03
Qualcuno sa se questo BogoAtalla supporta ZMK's (Zona Master Keys)? Siamo stati che desiderano utilizzare questo emulatore con il nostro processore ATM. Ma tutti i processori abbiamo a che fare con desidera utilizzare chiavi di 64 caratteri per la HSM per lo scambio di HSM. Abbiamo costruito la nostra ridimensionato ATM switch basato su ISO8583 e siamo interfacciamento con un altro processore ATM cui succede di usare un Postillion (non che importa). Credo di capire come utilizzare il LMK o KSK ma non riesco a stabilire le modalità di prova di una zona Master Key.
25 ottobre 2008 a 12:18
Sì, è così. Un ZMK è una chiave Key Exchange (KEK). In Atalla AKB ci sono un paio di modi per configurare la KEK a seconda di cosa il modulo di input chiave. Se si ricevono le chiavi AKB, si potrebbe forse rendere il vostro ZMK con 1KDNE000 e l'uso dei comandi 13. Se si importano chiavi non AKB (il caso più comune), si usa come un colpo di testa 1PUNN0I0 sul tuo ZMK, con 11B comando. Entrambi questi sembrano essere attuate.
Lei ha detto una chiave di 64 caratteri, anche se, in modo che sia un po 'sorprendente, perché unico DES è una chiave di 16 caratteri, 2-TDES chiave è di 32 caratteri, e 3-TDES chiave è di 40 caratteri. Così che cosa è 64?
15 gennaio 2009 a 7:32
Can you pls help me how to get iskn e BDK? Ive causa riescono a ottenere EPB e oviously e io la pan.I 'dukptdecrypt ve desidera utilizzare per ottenere un assits PIN.Pls.
17 maggio 2009 a 9:04
il IKSN e il BDK non fanno parte del Atalla di per sé, ma fanno parte della vostra creazione di lavorare con DUKPT PIN Pad. In particolare, il BDK è qualcosa che si crea in modo casuale, come qualsiasi altro tasto (e questo è un tasto molto importante). Il IKSN è costruito da un identificativo che indica che BDK si sta utilizzando, e un numero di serie del dispositivo generati dal vostro impianto di iniezione chiave. Si trasmettono il BDK per l'impianto di iniezione, con un prefisso per la IKSN, e che attribuiscono il numero di serie e iniettare il due di loro (beh, in realtà essi traggono un 'iniziale PIN Encryption Key' e che l'iniezione). Sooo ...
* Avrete la BDK on-mano, perché è stato generato per avviare con
* Il IKSN è la top 59 bit del KSN, che viene trasmessa a voi in ogni transazione DUKPT
17 maggio 2009 a 9:44
Qualcuno ha provato atallaakbcalc? Non sembra funzionare a tutti.
25 maggio 2009 a 7:58
Io lo uso, è uno strumento molto semplice, in realtà. Quando si dice 'non funziona a tutti', quale parte di 'a tutti i' Sei significato particolare? Se si utilizza l'opzione-help, ci sono alcuni comandi del campione.
27 maggio 2009 a 9:20
Quale sarebbe il comando per importare un due parti variante 0 KEK, allora il comando da utilizzare per decifrare uno cyrptograms contenente CVV Keys? Sembra essere sulla falsariga del 11B.
28 maggio 2009 a 12:02
OK, di solito non mi fare questo, ma evidentemente ho avuto troppo caffè di questa mattina.
Hai bisogno di comando 11b per questo scenario.
Così lei ha citato 'due componenti', allora si deve quindi lavorare da componenti per la vostra KEK? Hai bisogno di costruire la vostra KEK dai componenti con la SCA, oppure è possibile utilizzare lo strumento atallaakbcalc se questo è a scopo di test. È necessario specificare una intestazione magica, ma che in questo caso è 1CDNN0I0. Inoltre, la vostra politica di sicurezza deve includere C nel E0 opzione.
Quindi, è necessario inventare il comando 11b, con il crittogramma CVV chiave e la KEK. Verrà quindi ottenere il crittogramma AKB della chiave importata CVV, e le cifre di controllo.
Con questo si può andare avanti con le operazioni CVV.
Ecco un esempio concreto:
optE0 contiene C
MFK 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF
1CDNN0I0 hdr KEK
KEK C1 11111111222222223333333344444444
KEK c2 88888888888888888888888888888888
08D7B4 chk kcvv
kcvv cryp 1A79047AE419985DE830024C358E3B4A
(KEK il testo in chiaro è 99999999aaaaaaaabbbbbbbbcccccccc, con cifre di controllo di 820.638, e la chiave è chiaro CVV 0123456789abcdeffedcba9876543210. non avrai questa informazione in genere, ovviamente).
Fai la tua KEK sia con il Atalla reale, o lo strumento
atallaakbcalc-calcakb-2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF MFK-1CDNN0I0 HDR-componente 11111111222222223333333344444444-componente 88888888888888888888888888888888
1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593
importare il crittogramma con il Atalla:
potete vedere le cifre di controllo match, così sei OK.
28 maggio 2009 a 12:05
(supporto html hosed il comando Atalla, che utilizza le parentesi angolari. Ecco il comando e la risposta che ha lasciato cadere dal messaggio)
<11B # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
<21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # # 08D7>
3 giugno 2009 a 8:43
Purtroppo, sembra che il Atallaakbcalc non supporta l'opzione dei componenti.
3 giugno 2009 a 11:37
Sono prove in preparazione per il nostro A8150 da consegnare.
C'è un download per il atallaakbcalc che supporta le opzioni-componente che lei ha citato? In caso affermativo, dove posso trovarlo?
11 giugno 2009 su 7:29
Dave,
So che tutti in questo forum è molto informato su questo argomento. Vorrei solo sapere uno le cose, dove posso trovare una semplice spiegazione del comando Atalla set che anche un laico può utilizzare. Fondamentalmente io voglio essere in grado di comunicare efficacemente con il virtuale HSM (Bogo Atalla) e ottenere la mette fuori che io desidero, please help!
17 giugno 2009 su 10:44
Ciao a tutti,
La mia domanda riguarda il regime di DUKPT gestione delle chiavi.
La mia comprensione è che questo è il metodo consigliato per la protezione dei dati sensibili per le transazioni finanziarie e oggi è tornata superiore a master / perché un diverso (e derivati) chiave è utilizzata per ogni singola operazione.
Sono semplicemente desideroso di capire in che modo molto più sicuro di questo metodo è.
Se un hacker erano per registrare le transazioni, per esempio, un mese da sniffing di una rete, per esempio, e poi è stato in grado di rompere la chiave per uno dei transacitons - poteva quindi calcolare la chiave per ogni operazione in seguito se è a conoscenza di Come la derivazione DUKPT chiave nelle opere terminale? Sto assumendo questa conoscenza sarà a disposizione di chiunque abbia accesso allo standard DUKPT.
Sono anche supponendo che sarebbe quasi impossibile per calcolare le chiavi per la transazione prima di quello hacked perché il metodo di derivazione DUKPT utilizza una trasformazione non reversibile. Se questo diritto del suono - eventuali osservazioni sarebbe apprezzato - grazie, Colin Cummins
22 giugno 2009 su 11:52
Ciao Colin,
Ho creato un post separato con alcuni materiali.
I elaborerà una volta avrò altro tempo.
http://www.madrock.net/2009/06/dukpt-overview-and-transaction-notes/
Grazie
Derek
9 luglio 2009 a 10:18
Tim: per quanto riguarda i comandi Atalla. Il manuale è piuttosto completa, e sarà necessario se si vuole il codice un'interfaccia. (È inoltre necessario se si vuole cucinare i comandi stessi ed entrare via telnet.) Il super-laico descrizione breve è questa:
* Message-oriented protocollo testuale
Messaggio * sono delimitati da,
campi all'interno sono delimitati da #. I dati sono codificati in esadecimale (raramente in caso contrario).
* Il primo campo è il comando. Il resto sono i dati a seconda del comando.
* La risposta è strutturato come i comandi, ma il primo campo è il codice di errore.
* 00 comandi di ritorno di errore che indica, o un numero da parte incrementando la prima cifra del comando id. Così comando 10 ha un codice di ritorno di 20, e 9A comando dispone di un codice di ritorno di AA.
* I comandi non sono concluse con un CRLF, ma opzionalmente è possibile includere crlf nella risposta, se ti rende felice.
And that's it. Per ulteriori avrete bisogno del manuale.
9 luglio 2009 a 11:22
Colin: le vostre convinzioni siano corrette. Ci sono alcune altre cose nel DUKPT modo viene fatto per limitare ulteriormente il campo di applicazione della utilità di un attacco.
Ecco un breve riepilogo:
* Ogni xactn ha una chiave univoca.
* I tasti sono derivati da chiavi precedenti e dal banco di transazione, e un po 'di numero di serie del dispositivo. Praticamente, il suo come un hash a senso unico.
* La sequenza di tasti è distinto per ogni unità.
* Il super-chiave segreta - la base di derivazione di chiavi - non tocca mai un dispositivo. Invece, _another_ chiave è che ne derivano, unico per ogni dispositivo, ed è messo in unità per inizializzare il processo di generazione delle chiavi, e poi subito scartata. Questa è la 'Initial PIN Encryption Key'.
Quindi, se si annusava, non avrebbe compromesso le operazioni precedenti. In alcuni casi particolari che potrebbero compromettere le chiavi futuro, ma solo per il PIN pad (s) sotto attacco. 'Caes particolari' perché la generazione delle chiavi non è sequenziale, ma piuttosto lo spazio delle chiavi è rappresentata come un albero, e tutti i bambini sarebbe compromessa. (Si noti che questa costruzione albero non è fatto per la sicurezza, ma per praticità). Avresti bisogno di scaricare tutte le parti interne di un PIN pad per fare tutto l'albero.
10 agosto 2009 a 9:37
http://www.youtube.com/watch?v=ydBJHZsi-xs
Thales 8.000
15 settembre 2009 a 1:09
Salve,
Sono abbastanza nuovo per Atalla, facendo alcuni esercizi con esso.
Così, ho una conoscenza di base delle chiavi e delle cose, ecco una domanda che probabilmente è molto semplice e potrebbe farmi sembrare I'm dumb:
Dove posso ottenere la KEK? o generare il KEK?. Ho un MFK e un PMFK, ma io non hai idea di dove trovare la KEK e il manuale assume sempre ho una KEK (o una chiave criptata sotto la KEK in formato AKB).
Grazie!
7 ottobre 2009 a 11:26
Hi Derek
La prego di aiutarmi con un link dove posso scaricare il software della Thales 8.000 HSM. Ho Bogo Atalla e non avere il suo manuale o set di comandi. Potreste si consiglia di inviare a me il Bogo Atalla manuale o set di comandi o la Thales 8.000 software HSM. O è il Thales 8.000 comando HSM impostare la stessa Bogo Atalla?
8 ottobre 2009 a 1:46
Thales 8.000 HSM Manuale
Spero che questo aiuta
7 ottobre 2009 a 11:52
Hi Derek
Sono abbastanza clued un po 'su Atalla boga, ma solo vorrei saperne di più su im Atalla Bogo anche disposti ad andare in qualsiasi posto al mondo per studiare Bogo usi comando Atalla. Can you please advice me dove andare o addirittura inizio a studiare i comandi Atalla.
23 gennaio 2010 a 2:54
Hi Derek,
Vuoi chiarire la non-reversibile (NR) processo di decrittografia DUKPT - vale a dire, ANS X9 indica che i due processi di NR sono collegati ma diversi. Precisamente, come si differenziano? So che la decrittazione esegue un ciclo NR per ogni bit '1 'nel banco di cifratura, usando un output del ciclo di NR come chiave per il prossimo, ma cosa è esattamente il processo NR sul backend?
Grazie.