Financial Transaction Processing
przez Dereka na Jul.02, 2008, w ramach bankowości i Eftpos
Byłem niedawno pracującym w jednym z większych banków w Australii.
Dzięki tej pracy jestem patrząc na kontroli i mechanizmów otaczającego przetwarzania kart kredytowych i debetowych wokół Pacyfiku.
Mogę wykonywać wiele architektury bezpieczeństwa i oceny systemów płatności.
W ciągu roku zawsze za ochronę danych z karty za jeden z kluczowych rozważań.
Do wczoraj nie widziałem CVV lub narzędzia PVV deszyfrowania. Myślę, że niektórzy scenariusza wykorzystania tych narzędzi może być bardzo interesująca.
Hziggurat29.com witryny
Wiele innych narzędzi na tej stronie są bardzo wyjątkowe i warte obejrzenia.
Wielkie dzięki dla ziggurat29 za dostarczenie takich narzędzi awesome.
Ponieważ wiele z tych miejsc są tego rodzaju są trudne do znalezienia i często wydają się zanikać w ciągu roku, wybrałem się powtórzyć tekst z tej strony i zapewnia lokalne kopie w plikach.
Warto regularnie odwiedzając ziggurat29 miejscu co chwila, czy jakichkolwiek dodatkowych narzędzi, które zostały opublikowane.
Jeden z plików jeszcze bardziej niezwykłe jest Atalla Hardware Security Module (HSM) i BogoAtalla dla emulacji Linksys (symulacja) narzędzi. Więc zastanawiam się czy Eracom i Thales drżą w ich buty. Niektóre, jak ja tak nie uważam. ;-)
--- Ziggurat29 Tekst ---
Są to wszystkie polecenia systemu Windows narzędzia wiersza (jeżeli nie zaznaczono inaczej); wykonać z opcją-help
w celu ustalenia użytkowania.
DUKPT Decrypt (<- Sam plik do pobrania)
Jest to narzędzie, które będzie odszyfrowania zaszyfrowanych PIN bloki, które zostały wyprodukowane przez DUKPT Triple-DES metody. Użyłem tego do testowania wydajności niektóre programy PIN Pad I stworzył, ale jest również przydatna do innych celów debugowania.
VISA PVV Kalkulator (<- rzeczywistą
plik do pobrania)
Jest to narzędzie, które będzie obliczyć i sprawdzić Weryfikacja PIN Wartości, które zostały wyprodukowane za pomocą techniki PVV VISA. Posiada kilka dodatkowych funkcji, takich jak sprawdzanie i ustalanie PAN (obliczenia Luhna), tworzenie i szyfrowanie PIN bloki, odszyfrowywania i wydobycia PIN z szyfrowanych bloków PIN itd.
VISA CVV Kalkulator (<- Sam plik do pobrania)
Jest to narzędzie, które będzie obliczyć Card Verification Wartości, które zostały wyprodukowane za pomocą techniki VISA CVV. MasterCard CVC używa algorytmu CVV, więc to będzie działać na tym również. Będzie obliczyć CVV, CVV2, CVV3, iCVV, CAVV, ponieważ to tylko wariacje na temat usług i kod
Format daty ważności. Weryfikacja jest po prostu porównywać wartość kalkulowana, co otrzymaliście, więc nie ma wyraźnej funkcji kontrolnych.
Atalla AKB Kalkulator (<- Sam plik do pobrania)
Jest to narzędzie, które będzie zarówno generowanie i odszyfrować Atalla kryptogramów AKB. Musisz plaintext MFK do wykonywania tych operacji. Przypadku odszyfrowywania, MAC będą również sprawdzane i wyniki przedstawione.
BogoAtalla (<- rzeczywisty plik
download)
Jest to emulator Atalla (lub symulator). Ta emulacją (symulacja) w znanym Atalla Hardware Security Module (HSM), który jest używany przez banki i przetwórców na operacje kryptograficzne, takie jak sprawdzenie / tłumaczenia PIN blokuje, upoważniające transakcji weryfikacji
CVV / numery CSC oraz wykonywania kluczowych procedur wymiany, został wyprodukowany w celach testowych. Implementacja ta jest nie kompletny zestaw Atalla HP polecenia, ale tylko
porcji, że ja potrzeba. Mając na uwadze powyższe, to jest wystarczająco kompletny, jeśli wykonują nabycia i / lub wydawanie funkcje przetwarzania i przy użyciu bardziej nowoczesnych systemów takich jak Visa PVV i DUKPT i trzeba zrobić generacji, weryfikacji i tłumaczenia.
To działa jako serwer słuchając gniazda i uchwyty Native Command Atalla zestawu. Wziąłem kilka wolności z wartościami zwróci błąd i nie zabiegał o wysokiej wierności tam (tzn. można uzyskać inną odpowiedź błędu z native sprzętu), ale zdecydowanie powinien dostać same pozytywne
odpowiedzi. Niektóre funkcje realizowane tutaj zwykle wymagają zakupu polecenia premii, ale wszystkie polecenia tutaj realizowane są dostępne. Przykładem jest generowanie wartości PVV i szyfrowania / odszyfrowywania plaintext PIN wartości.
BogoAtalla dla Linksys (<- Sam plik do pobrania)
Jest to emulator Atalla przeniesiona na Linuksa i budowania instalacji systemu OpenWRT. Makes na naprawdę tanie (60 dolarów USD) rozwój / urządzenia testowego.
Local Files
bogoatalla002
atallaakbcalc
bogoatalla_10-1_mipsel
dukptdecrypt
visacvvcalc
visapvvcalc
22 komentarzy do tego wpisu
Leave a Reply
Tłumacz
24 września 2008 o 8:03 am
Czy ktoś wie, czy to BogoAtalla obsługuje ZMK's (Strefa Master Keys)? Zostaliśmy chcących korzystać z tego emulator procesorów z naszych bankomatów. Ale wszystkie procesory mamy do czynienia z użyć 64 znaków klucze do wymiany HSM HSM. Zbudowaliśmy nasz własny pomniejszony ATM przełączyć na ISO8583 i jesteśmy w relacje z innym procesorem ATM których dzieje się używać Postillion (nie, że ma to znaczenie). Sądzę, że rozumieją jak korzystać z LMK lub KSK ale nie mogę określić, jak badania Strefa Master Key.
25 października 2008 o 12:18
Tak, tak. ZMK jest Key Exchange Key (KEK). W Atalla AKB istnieje kilka sposobów na utworzenie KEK w zależności od wejścia klucza formularza. Jeśli pacjent otrzymuje klucze AKB, byś może dokonać ZMK z 1KDNE000 i polecenie wykorzystania 13. Jeżeli dane są importowane spoza klucze AKB (więcej częsty przypadek), należy użyć nagłówka jak 1PUNN0I0 na ZMK z 11B polecenia. Oba te wydają się być wprowadzone w życie.
Powiedział pan, 64-znakowy klucz, choć tak, że jest trochę zaskakujące, ponieważ pojedynczy DES jest klucz 16 znaków, 2-kierunkowy klawisz TDES jest 32 znaków i 3-klucz TDES jest 40 znaków. Więc co jest 64?
15 stycznia 2009 o 7:32 pm
Can you pls współpracownik mi jak zdobyć iskn i BDK? ive powodować udało się uzyskać EPB i oviously i pan.I "Muszę dukptdecrypt wykorzystania chcesz otrzymywać assits PIN.Pls.
17 maja 2009 o 9:04 am
IKSN i BDK nie są częścią Atalla per se, ale są częścią ustawienia do pracy z DUKPT PIN Pads. Konkretnie, BDK coś tworzyć losowo, podobnie jak dowolny inny klawisz (i to jest bardzo ważny klucz). IKSN zbudowana jest z identyfikatorem wskazując BDK używasz, i numer seryjny urządzenia wytwarzane przez klucz instalacji wtryskowej. Można przekazać BDK placówki wstrzykiwań, wraz z prefiksem dla IKSN i przywiązują numer seryjny i wstrzyknąć obu z nich (dobrze, rzeczywiście wynikają one "Początkowe PIN Encryption Key" i wprowadzić to). Sooo ...
* Masz BDK na rękę, bo generowany jest na początek
* IKSN jest top 59 bitów KSN, które przekazane zostanie do Ciebie w każdej transakcji DUKPT
17 maja 2009 o 9:44 am
Czy ktoś próbował atallaakbcalc? Nie wydaje się działać na wszystkich.
25 maja 2009 o 7:58 am
Z niej korzystać, jest to dość proste narzędzie, rzeczywiście. Kiedy mówisz "nie działa w ogóle, jaka część" wszystkich "jest dla Ciebie znaczenie konkretnie? W przypadku korzystania z opcji pomocy, istnieją pewne polecenia próby.
27 maja 2009 o 9:20 am
Jaki byłby polecenia import dwuczęściowych wariantu 0 KEK, a następnie polecenie wykorzystywane do odszyfrowania cyrptograms zawierające CVV Keys? Wydaje się wzdłuż linii 11B.
28 maja 2009 o 12:02 am
OK, normalnie nie zrobiłbym tego, ale widocznie miałem zbyt dużo kawy rano.
Musisz polecenia 11b w tym scenariuszu.
Więc wspomniane "dwóch części", trzeba wówczas roboczych od elementy do KEK? Trzeba zbudować swój KEK z części z SCA, lub użyć atallaakbcalc narzędziem, jeżeli jest to dla celów testowych. Musisz podać magii nagłówka, chociaż w tym przypadku jest 1CDNN0I0. Również wasza polityka bezpieczeństwa musi obejmować C E0 opcję.
Następnie musisz wymyślać 11b dowodzenia, CVV kryptogram klucza i KEK. Będziesz wtedy dostać swój kryptogram AKB przywożonych kluczowych CVV i cyfry kontrolne.
Z tego można kontynuować operacji CVV.
Oto konkretny przykład:
optE0 zawiera C
MFK 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF
kek 1CDNN0I0 HDR
kek C1 11111111222222223333333344444444
kek C2 88888888888888888888888888888888
kcvv 08D7B4 chk
kcvv cryp 1A79047AE419985DE830024C358E3B4A
(KEK plaintext jest 99999999aaaaaaaabbbbbbbbcccccccc z cyfr sprawdzenie 820638, a plaintext kluczowych CVV jest 0123456789abcdeffedcba9876543210. wont mamy informacji normalnie, oczywiście).
Nakręć KEK z jednej Atalla rzeczywiste, czy narzędzie
atallaakbcalc-calcakb-MFK 2ABC3DEF4567018998107645FED3CBA20123456789ABCDEF-HDR 1CDNN0I0 składnik 11111111222222223333333344444444-składnik 88888888888888888888888888888888
1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593
import kryptogram z Atalla:
widać cyfry kontrolne meczu, a więc jesteś OK.
28 maja 2009 o 12:05 am
(html wsparcia hosed polecenia Atalla, który korzysta z kątowników. Oto polecenia i dostał odpowiedź, że spadł z wiadomości)
<11B # 0 # 1A79047AE419985DE830024C358E3B4A # 1CDNN0I0, C2B3A07827006C490B1BF5A5D0D8B6BBFA470D1386CDB4B9, 87CD9133B3E8B593 #>
<21B # 1CDNN000, 64A883D036BBEF32BF146E43A1BC6DF0B1264D674A68E267, 88D88EA266E7D54F # 08D7 #>
3 czerwca 2009 o 8:43 am
Niestety, wygląda na to Atallaakbcalc nie obsługuje opcję części.
3 czerwca 2009 o 11:37
Jestem tego badania w ramach przygotowań do naszego A8150 być wydana.
Czy jest do pobrania na atallaakbcalc który obsługuje opcji części, które wymienione? Jeśli tak, to gdzie mogę go znaleźć?
11 czerwca 2009 o 7:29 pm
Dave,
Wiem, że wszyscy na tym forum jest bardzo wiedzą o tej tematyce. Chciałbym tylko znaleźć jedną rzeczy, gdzie mogę uzyskać proste wyjaśnienie polecenia Atalla ustawić nawet leżał człowiek może używać. Przede wszystkim chcę, aby móc skutecznie komunikować się z wirtualnym HSM (Bogo Atalla) i dostać się podnosi, że pragnę, proszę mi pomóc!
17 czerwca 2009 o 10:44
Witam wszystkich,
Moje pytanie dotyczy kluczowych DUKPT systemu zarządzania.
Mi się, że jest to metoda zalecana do zabezpieczania poufnych danych dla transakcji finansowych dziś i jest lepszy od kapitana / sesji, ponieważ różne (pochodnych) klucz jest stosowany do każdej transakcji.
Jestem po prostu chcą zrozumieć, jak dużo bezpieczniej tej metody.
Jeśli haker miał rekord transakcji, powiedzmy, miesiąc sniffing sieci, na przykład, a następnie był w stanie złamać klucz do jednej z transacitons - może wówczas obliczyć klucz dla każdej transakcji, jeśli ma to jej znajomość Jak DUKPT kluczowych wyprowadzenie w pracach terminal? Jestem przy założeniu, ta wiedza będzie dostępna dla każdego, kto ma dostęp do standardowej DUKPT.
Jestem również przy założeniu, że będzie obok niemożliwe jest obliczenie klucze do transakcji przed posiekany jeden ponieważ metoda wyprowadzania DUKPT używa nieodwracalnych przemian. Czy to brzmi prawo - wszelkie uwagi będą mile widziane - Dzięki, Colin Cummins
22 czerwca 2009 o 11:52
Hi Colin
Stworzyłem oddzielny post niektórych materiałów.
Będę opracowuje raz I trochę czasu.
http://www.madrock.net/2009/06/dukpt-overview-and-transaction-notes/
Dzięki
Derek
9 lipca 2009 o 10:18
Tim: w odniesieniu do poleceń Atalla. Instrukcja jest bardzo dokładny, i trzeba będzie go, jeśli masz zamiar kod interfejsu. (Też potrzebne, jeśli będziemy gotować na polecenia siebie i wprowadzić je poprzez telnet.) Super-short laika opis jest następujący:
* Wiadomości tekstowych zorientowanych protokół
* Wiadomości są rozdzielane,
dziedzinach objętych zostanie dokonany przez #. Dane te są zakodowane w sześciokątnej (rzadko w inny sposób).
* Pierwsze pole jest polecenia. Reszta to dane w zależności od polecenia.
* Odpowiedź jest skonstruowany jak poleceń, ale pierwsze pole jest kod błędu.
* Polecenia zwrotu 00 wskazując błąd lub numer przez inkrementacji pierwsza cyfra polecenie id. Więc komenda 10 posiada kod powrotu 20 i 9A polecenie zawiera kod powrotu AA.
* Polecenia nie są rozwiązania z crlf, ale opcjonalnie może zawierać crlf w odpowiedzi, jeśli dzięki temu będziecie zadowoleni.
And that's it. Aby uzyskać więcej musisz instrukcji.
9 lipca 2009 o 11:22
Colin: Twoje poglądy są poprawne. Istnieje kilka innych rzeczy w DUKPT sposób odbywa się do dalszego ograniczenia zakresu użyteczności ataku.
Oto krótkie podsumowanie:
* Każde xactn posiada unikalny klucz.
* Klawiszy pochodzą z poprzednich kluczy oraz licznik transakcji, a trochę z numerem seryjnym urządzenia. Praktycznie, takie jak jego hash w jedną stronę.
* Sekwencję klawiszy jest odrębny dla każdej jednostki.
* Super-tajny klucz - Baza Wyprowadzenie Key - nigdy nie dotknie urządzenia. Zamiast _another_ klucz pochodzi od niego, unikalny dla każdego urządzenia i jest umieścić w jednostce w celu zainicjowania procesu generowania klucza, a następnie natychmiast wyrzucić. To jest "Initial PIN Encryption Key".
Tak więc, jeśli nosem, nie zagrażałoby poprzednich transakcji. W niektórych szczególnych przypadkach można zagrozić przyszłości klucze, ale tylko na konsoli PIN (y) w ataku. "Szczególne Caes", ponieważ generowania kluczy nie jest sekwencyjnie, lecz keyspace jest reprezentowany jako drzewo, a wszystkie dzieci byłyby naruszone. (Należy pamiętać, że budowa drzewa nie jest wykonywana na rzecz bezpieczeństwa, ale praktycznych). Którą trzeba wyrzucać wszystkie wewnętrzne z PIN Pad do całego drzewa.
10 sierpnia 2009 o 9:37 pm
http://www.youtube.com/watch?v=ydBJHZsi-xs
Thales 8000
15 września 2009 o 1:09 am
Cześć,
Jestem dość nowym Atalla, wykonując pewne ćwiczenia z nim.
Tak, mam podstawowej wiedzy kluczy i rzeczy, więc oto pytanie, które jest prawdopodobnie bardzo łatwe i może mnie wyglądać jestem głupi:
Gdzie mogę dostać KEK? lub wytworzenie KEK?. Mam MFK i PMFK, ale nie masz pojęcia, gdzie można otrzymać KEK i obsługi zawsze zakładać Mam KEK (lub klawisz szyfrowany w KEK w formacie AKB).
Dzięki!
7 października 2009 o 11:26 pm
Hi Derek
Proszę pomóc mi link gdzie mogę pobrać oprogramowanie 8000 Thales HSM. Mam Bogo Atalla i nie ma jej obsługi lub polecenia set. Could you please albo wysłać mi Bogo Atalla instrukcji lub polecenia set lub Thales 8000 oprogramowanie HSM. Albo jest Thales 8000 polecenie HSM ustawić takie same jak Bogo Atalla?
8 października 2009 o 1:46 pm
Thales 8000 HSM Manual
I hope this helps
7 października 2009 o 11:52 pm
Hi Derek
Jestem całkiem clued się trochę na Atalla Boga, ale po prostu chcesz dowiedzieć się więcej o bogo im Atalla nawet skłonny przejść do dowolnego miejsca na świecie do badań zwyczajów Bogo Atalla polecenia. Czy mogę prosić o poradę do mnie gdzie się udać, a nawet początku nauki poleceń Atalla.
23 stycznia 2010 on 2:54 am
Hi Derek,
Czy wyjaśnienia nieodwracalne (NR) proces odszyfrowywania DUKPT - czyli ANS X9 wskazuje dwa procesy NR związane są jednak różne. Właśnie, jak one różnią? Wiem, deszyfrowanie wykonuje NR cyklu dla każdego '1 'nieco w counter szyfrowania, używając na wyjściu z cyklu NR jako klucz do następnego, ale na czym dokładnie polega NR procesu na backend?
Dzięki.