«Finansiella transaktioner | Dolda Skype Emoticons»

Breaking VISA PIN

Onsdag 2 juli 2008 @ 12:38 | Bankverksamhet och EFTPoS

Nedan är en artikel jag hittade nyligen. Detta en av de mest omfattande beskrivningar av Value

Jag trodde jag skulle kopiera det här för min lokala referens.

Som kommentar har gjorts när det gäller grammatik som används i den ursprungliga jag har rättat några av de uppenbara fel samtidigt som det i det ursprungliga materialet.

http://69.46.26.132/ ~ biggold1/fastget2you/tutorial.

--- ----

Förord
Har du någonsin undrar vad som skulle hända om du förlorar ditt och någon upptäcker det. Skulle denna person kunna ta ut kontanter från en uttagsautomat gissa, på något sätt, din Dessutom, om du var som finner någons skulle du försöka att ta och ta chansen att få lite lätta Naturligtvis är svaret på båda frågorna bör vara "nej". Detta arbete behandlar inte andra fråga är det en fråga om Härmed jag försöker besvara den första frågan.

All information som används för detta arbete är offentliga och kan hittas på Resten är en fråga om och programmering, vilket vi kan lära oss och ha lite kul. Jag avslöjar inga hemligheter. Vidare är målet (och sista med detta arbete är att visa att algoritmer är fortfarande stark nog att ge tillräcklig Vi vet alla inte den

Detta arbete analyserar en av de vanligaste algoritmer, som används av många och försöker ta reda på hur resistent är att gissa attacker. Genom att "gissa" Jag menar inte att välja en slumpmässig och försöker i en uttagsautomat. Det är väl känt att generellt vi får tre försök att ange rätt om vi inte ATM håller Som fyrsiffrigt länge det är lätt att dra slutsatsen att risken för en slumpmässig gissa är 3 / 10000 = 0,0003, det verkar tillräckligt låg för att vara säker, det betyder att du måste förlora ditt fler än tre tusen gånger ( eller förlorar mer än tretusen kort på samma gång:) tills det finns en rimlig chans att förlora

Vad jag egentligen menade med "gissa" var att bryta så att ges något du omedelbart veta tillhörande Detta dokument studier som möjligt, analysera och föreslå en metod för Slutligen ger vi ett verktyg som genomför och presentera resultaten om de uppskattade chansen att bryta systemet. Observera att så länge som andra algoritmer (andra format såsom IBM eller validering signaturer som CVC) liknar samma analys kan göras ger nästan samma resultat och slutsatser.



En av de vanligaste algoritmer är Value Kunden får en och en Encoded i är ett fyrsiffrigt nummer, kallad Denna siffra är en kryptografisk underskrift av andra med anknytning till När en användare skriver in sin ATM läser krypterar och skickar denna information till en central dator. Det en rättegång beräknas med hjälp av kund in och information med en kryptografisk Rättegången jämförs med lagras på om de matchar den centrala datorn återgår till ATM tillstånd för Se mer i detalj.

Beskrivningen av finns i två handlingar i föregående sida. Sammanfattningsvis består i av en 8 byte (64 bitar) sträng av kallas Transformed Parameter (TSP), med (DEA) i Code Book mode (ECB) med hjälp av en hemlig 64-bitars nyckel. Den härrör från produktionen av som är en 8 byte sträng. De fyra siffrorna i (från vänster till höger) motsvarar de fyra första decimalsiffror (från vänster till höger) av produktionen från då betraktas som en 16 hexadecimala tecken (16 x 4 bitar = 64 bitar) sträng. Om det inte finns några fyra decimalsiffror bland de 16 hexadecimala tecken sedan är klar fattas (från vänster till höger) utan decimal tecken och decimalizing dem med hjälp av omställning A-> 0, B-> 1, C-> 2, D -> 3, E-> 4, F-> 5. Här är ett exempel:

Produktion från 0FAB9CDEFFE7DCBA

0975

Strategin att undvika decimaliseringen av hoppa tecken tills fyra decimalsiffror finns (som råkar vara nästan alla gånger som vi kommer att se nedan) är väldigt smart eftersom man undviker en viktig snedvridning i fördelningen av siffror som har visat sig vara dödlig för andra system, även om påverkan på detta system skulle vara mycket lägre. Se också ett problem som inte gäller för

Den TSP, ses som en 16 hexadecimala tecken (64 bitar) sträng, bildas (från vänster till höger) med 11 höger siffrorna i PAN utom den sista siffran (kontrollsiffra), en siffra från 1 till 6 som väljer hemligt kryptera viktiga och slutligen de fyra siffrorna i Här är ett exempel:

PAN: 1234 5678 9012 3445
Key väljaren: 1
2468

TSP: 5678901234412468

Uppenbarligen problemet med att bryta består i att finna hemligheten kryptera viktiga för Metoden för detta är att göra en brute force-sökning av de viktigaste utrymme. Observera att detta inte är den enda metod kan man försöka hitta en svaghet i DEA har många försökt, men det gamla standarden är fortfarande allmänt använd (som nu ersatts med AES och men). Detta visar att det är robust nog för att "brute force" är den enda fungerande metoden (det finns några större attacker, men inte praktiskt i vårt fall, för en sammanfattning se LASEC memo och för smutsiga detaljer se Biham & Shamir 1990, Biham & Shamir 1991, Matsui 1993, Biham & Biryukov 1994 och Heys 2001).

Nyckeln väljaren siffra var mycket sannolikt införas för att täcka risken för en kompromiss. I detta fall de bara har att utfärda nya kort med en annan nyckel väljaren. Äldre kort kan ersättas med nya eller helt enkelt ATM kan öppet skriva en ny (motsvarande den nya nyckeln och behålla samma nästa gång kunden använder sitt För att skaka av alla användare bör uppmanas att ändra sin PIN-koder, men det skulle vara pinsamt för att förklara varför, så mycket troligt att de inte skulle göra en sådan begäran.

Förberedelser


En brute innebär att kryptera ett trippelsuperfosfat med kända använda alla möjliga kryptera nycklar och jämföra varje erhållits med den kända När en matchning hittas vi har en kandidat nyckel. Men hur många nycklar måste vi försöka? Som vi sade ovan nyckeln är 64 bitar långa, så skulle detta innebära att vi måste försöka 2 ^ 64 nycklar. Men detta är inte sant. Faktiskt bara 56 bitar är effektiva för att eftersom en bit (den minsta) av varje oktett var historiskt reserverats som en kontrollsumma för andra, i praktiken de som 8 bitar (en för varje av de 8 octets) ignoreras.

Därför nyckel utrymme består av 2 ^ 56 nycklar. Om vi försöker alla dessa knappar kommer vi hitta en och endast en match, vilket motsvarar hemliga nyckel? Absolut inte. Vi kommer att få många matchande nycklar. Detta beror på att är bara en liten del (en fjärdedel) av produktion. Dessutom är degenererat, eftersom några av de siffror (mellan 0 och 5 efter det att den sista, sett från vänster till höger, siffror mellan 6 och 9) kan komma från en decimal siffra eller från en decimalized hexadecimala siffran i produktion. Alltså många nycklar kommer att producera en produktion vilket innebär att samma matchande

Vad kan vi göra för att hitta den verkliga nyckeln bland de andra falska positiva nycklarna? Bara vi har för att kryptera ett andra olika TSP, även känd men endast med de sökande nycklar som gav en positiv matchning med första par. Men det finns ingen garanti att vi inte kommer att få igen många falska positiva med den verkliga nyckeln. Om så är fallet kommer vi att behöva ett tredje par, upprepa processen och så vidare.

Innan vi börjar vår måste vi veta hur många par kommer vi att behöva. För att vi har för att beräkna för en slumpmässig produktion ge en matchning bara av en slump. Det finns flera sätt att beräkna antalet och här kommer jag att använda en enkel metod lätt att förstå, men som kräver lite bakgrundsinformation i av

En alltid kan ses som förhållandet mellan god fall att eventuella fall. I vårt problem antalet möjliga fall fås genom av 16 delar (0 till F hexadecimala siffror) i en grupp av 16 av dem (16 hexadecimala siffror i output). Detta ges av 16 ^ 16 ~ 1,8 * 10 ^ 19 vilket naturligtvis sammanfaller med 2 ^ 64 (olika nummer av 64 bitar). Denna uppsättning siffror kan delas in i fem kategorier:

De som har minst fyra decimala siffror (0 till 9) bland de 16 hexadecimala siffror (0 till F) av produktion.

De som har exakt tre decimaler.

Personer med exakt två decimaler.

De som har just bara en decimal siffra.

De som inte decimalsiffror (alla mellan A och F).

Låt oss räkna hur många siffror faller inom varje kategori. Om vi märka 16 hexadecimala siffror i produktion som X1 att X16 kan vi märka första fyra decimalsiffror av ett visst antal av den första kategorin som Xi, XJ, XK och XL. Antalet olika kombinationer med den här profilen ges av produkten 6 i-1 * 10 * 6j-i-1 * 10 * 6k-j-1 * 10 * 6 lk-1 * 10 * 1616-l när 6 " har kommit från flera olika möjligheter för en A till F siffran, den 10: s kommer från möjligheterna till en 0-9-siffrigt och 16 kommer från möjligheterna till ett 0-F siffran. Nu är det totala antalet i den första kategorin är helt enkelt som summering av denna produkt under I, J, K, L 1-16, men med i <j <k <l. Om du gör några matematiska arbete kommer du att se detta är lika med produkten av 104 / 6 med summering över i 4-16 (i-1) * (i-2) * (i-3) * 6i-4 * 16 16-i ~ 1.8 * 1019.

Analogt antalet fall i den andra kategorin återfinns genom summering över i, j, k 1-16 med i <j <k av produkten 6i-1 * 10 * 6j-i-1 * 10 * 6k-j -1 * 10 * 616-k som du kan arbeta ut att vara 16! / (3! * (16-13)!) * 103 * 6 13 = 16 * 15 * 14 / (3 * 2) * 103 * 613 = 56 * 104 * 613 ~ 7.3 * 1015. Likaså för den tredje kategorin vi summering över i, j 1-16 med i <j av 6 i-1 * 10 * 6j-i-1 * 10 * 616-j som motsvarar 16! / (2! * (16-14)!) * 102 * 614 = 2 * 103 * 615 ~ 9.4 * 1014. Återigen, för fjärde kategori har vi summering över i 1-16 i 6i-1 * 10 * 616-i = 160 * 615 ~ 7.5 * 1013. Och slutligen den mängd ärenden i femte kategori ges av av sex delar (A till F siffror) i en grupp av 16, det vill säga 616 ~ 2.8 * 1012.

Jag hoppas att ni följt beräkningar upp till denna punkt, det svåra är gjort. Nu som ett bevis på att allt är rätt kan du summan av antalet fall i 5 kategorier och ser det lika med totala antalet möjliga fall vi beräknat innan. Har verksamheten använder 64 bitars nummer eller avrundning (för flottar) eller överloppsrännor (för heltal) fel att inte låta dig få ut det exakta resultatet.

Hittills har vi beräknat antalet möjliga fall i något av de fem kategorier, men vi är intresserade av att få antalet gynnsamma fall istället. Det är mycket lätt att dra dem från den tidigare så detta är bara om fastställande av en kombination av de fyra decimalsiffror (eller krävs hexadecimala siffror om det inte finns fyra decimaler) i i stället för att låta dem fritt. I praktiken innebär detta att vrida 10's i formeln ovan i 1 och det erforderliga beloppet på 6 är i 1: s om det inte finns fyra decimaler. Det vill säga, vi måste dela upp det första resultatet av 104, den andra en av 103 * 6, den tredje en av 102 * 62, den fjärde en av 10 * 63 och den femte en med 64. Då antalet gynnsamma fall i fem kategorier är cirka 1,8 * 1015, 1,2 * 1012, 2,6 * 1011, 3,5 * 1010, 2,2 * 109 respektive.

Nu kan vi uppnå vad är för en produktionen för att matcha en slump. Vi måste bara lägga till fem nummer i god fall och dividera det med antalet möjliga fall. Att göra detta vi får att är mycket ca 0,0001 eller en av tio tusen. Är det konstigt detta väl avrundade resultatet? Inte alls, bara ta en titt på de siffror som vi beräknat ovan. Den första kategorin dominerar flera tiopotenser antalet god och eventuella fall. Det är ganska intuitivt som det verkar tydligt att det är mycket osannolikt att inte ha fyra decimalsiffror (10 chanser av 16 per siffra) bland 16 hexadecimala siffror. Vi såg tidigare att förhållandet mellan antalet möjliga och gynnsamma fall i den första kategorin var en division med 10 ^ 4, det är där våra resultat p = 0,0001 kommer.

Målet för alla dessa beräkningar var att ta reda på hur många par vi behöver för att genomföra en framgångsrik brute Nu kan vi beräkna det förväntade antalet falska positiva resultat i en första sökning: det blir antalet försök gånger för en enda slumpmässigt falskt positiva, dvs t * p där t = 2 ^ 56, storleken av de viktigaste rymden. Detta uppgår till cirka 7,2 * 10 ^ 12, ett ganska stort antal. Det förväntade antalet falska positiva resultat i andra sök (begränsad till den positiva nycklar hittas i första sökning) kommer att bli (t * p) * p, för en tredje sök är ((t * p) * p) * p och så vidare. Således för n sökningar det förväntade antalet falska positiva resultat kommer att t * p ^ n.

Vi kan få hur många sökningar som krävs för att vänta bara ett falskt positivt med att uttrycka ekvationen t * p ^ n = 1 och lösa för n. Så n motsvarar i basen p 1 / t, som på grund av egenskaper hos logaritmer den avkastning n = log (1 / t) / log (p) ~ 4.2. Eftersom vi inte kan göra en fraktionerad sökadressen det är brukligt att runda upp det här numret. Därför vad som är det förväntade antalet falska positiva om vi utföra fem sökningar? Det är t * p ^ 5 ~ 0,0007 eller ca 1 av 1400. Därför använder fem par är säkert att få det riktigt hemlig nyckel med några falska positiva.


När vi vet att vi behöver fem par, hur får vi dem? Naturligtvis behöver vi minst ett med kända och beroende på vilken typ av det är det enda vi behöver. Med andra såsom IBM, skulle vi behöva fem kort, men det är inte nödvändigt med Vi måste bara läsa och sedan ändra gånger, men behandlingen efter varje förändring.

Det är nödvändigt att läsa för att få och kryptera viktiga väljaren. Du kan köpa en eller göra en själv efter instruktioner hittar du på föregående sida och länkar där. När du har en se denna beskrivning av standarden magnetiska spår för att ta reda på hur du får ut det från läsa. I detta dokument område spår 1 och 2 sägs vara fem tecken långa, men faktiskt sant består av de fyra sista siffrorna. Den första av de fem siffrorna är nyckeln väljaren. Jag har bara sett kort med ett värde av 1 i den här siffran, som överensstämmer med standarden och med hemlig nyckel aldrig äventyras (och därmed de inte behöver flytta till en annan nyckel förändras väljaren).

Jag gjorde ett enkelt C-program, getpvvkey.c för att utföra Den består av en slinga för att prova alla möjliga nycklar för att kryptera första TSP, om de härrör matchar sant en ny TSP har försökt, och så vidare tills det finns en obalans, då nyckeln kasseras och en ny prövas, eller fem härrör PVVs matchar motsvarande sant PVVs, då kan vi förmoda vi fick hemlig nyckel, men slingan går vidare tills det avgassystem nyckeln utrymme. Detta görs för att försäkra att vi hittar den verkliga nyckeln eftersom det inte finns en chans (om än mycket liten) den första nyckeln hittades en falsk positiv.

Det förväntas programmet skulle ta mycket lång tid att slutföra och att minimera riskerna för strömavbrott, dator umgås osv det kontrollstationer i filen getpvvkey.dat från tid till annan (exakt tid beror på hur snabbt på datorn, det är ungefär en timme för den snabbaste datorer nu är i bruk). Av samma skäl om en positiv nyckeln hittades den är skriven på filen getpvvkey.key. Programmet visar ett meddelande i början, men utgångsläget tas från gränskontrollkuren ärende om någon, efter det inget mer visas.

är en viktig punkt i programmet är det därför mycket viktigt att optimera sin hastighet. Jag har testat flera utföranden: libdes, SSLeay, OpenSSL, cryptlib, NSS, libgcrypt, katakomb, libtomcrypt, cryptopp, UFC-crypt. hos de fyra första är baserade på samma kod av Eric Young och är den som ger bäst resultat (inkluderar optimerade C och x86 assembler kod). Därför valde jag libdes som var det ursprungliga genomförande och kondenserad all relevant kod i filer encrypt.c (C version) och x86encrypt.s (x86 assembler version). Koden är något modifierad för att uppnå vissa förbättringar i en brute den ursprungliga är en fast gemensamma brant i varje trippelsuperfosfat och kan därför bli bara en gång i början. En annan förbättring är att jag skrev ett helt nytt setkey funktion (jag kallade det nextkey) som är optimalt för en "brute force" loop.

För att få programmet arbetar du bara i motsvarande plats fem TSPs och deras PVVs och sedan sammanställa det. Jag har testat den endast i UNIX-plattformar, med Makefile Makegetpvvkey att sammanställa (använd kommandot "make-f Makegetpvvkey"). Det kan sammanställa på andra system, men du kanske måste fixa några saker. Var noga med att definitionen av den long64 motsvarar en 64-bitars heltal. I princip finns det inget beroende av endianness av processorn. Jag har nu sammanställts och sedan köra det på Pentium-Linux, Alpha-Tru64, Mips-IRIX och Sparc-Solaris. Om du inte har och inte vill installera Linux (som du inte vet vad du saknar ;-) du fortfarande har valet att köra Linux på cd och använda mitt program, se min sida att köra Linux utan att installera det.

När du har hittat den hemliga viktigaste om du vill hitta den av ett godtyckligt du bara måste skriva ett liknande program (ledsen att jag inte har skrivit, jag är för lat:) som skulle prova alla 10 ^ 4 PIN genom att generera motsvarande TSP, kryptera den med den (inte längre) hemlig nyckel, som de och jämföra det med i Du kommer att få en match för det sanna Endast en match? Kom ihåg vad vi såg ovan, vi har en chans att 0,0001 att ett slumpmässigt matchar Vi försöker 10000 PINS (och därför TSPs), vilket vi förväntar oss 10000 * 0,0001 = 1 falskt positiva i genomsnitt.

Detta är ett mycket intressant resultat, innebär det att i genomsnitt varje har två giltiga PINS: kundens och förväntas falskt positiva. Jag kallar den "falska", men konstaterar att så länge det genererar verkliga är en lika giltig som kundens en. Dessutom finns det inget sätt att veta vilket som, även för ATM, bara kunden vet. Även om de falska positiva var inte som du fortfarande har tre försök på ATM ändå, räcker i genomsnitt. Därför vi beräknat i början av detta dokument om slumpmässigt gissa av måste rättas till. Egentligen är det dubbelt så mycket värde, dvs det är 0,0006 eller en av mer än 1600, ändå säkert låg.

Resultat


Det är viktigt att optimera sammanställning av programmet och köra det på snabbast möjliga processor på grund av den långa förväntade körtiden. Jag tyckte att kompilatorn optimeringsförslag flagg-O får bättre resultat, trodde att en viss förbättring uppnås lägger till-fomit-frame-pointer flagga på Pentium-Linux,-spike flagga på Alfa-Tru64, de IPA flagga på Mips-IRIX och de snabba flaggan på Sparc-Solaris. Särskilda flaggor (-DDES_PTR-DDES_RISC1-DDES_RISC2-DDES_UNROLL-DASM) för kod i allmänhet har fördelar också. Alla dessa flaggor redan testats och jag valde den bästa kombinationen för varje processor (se Makefile) men du kan försöka finjustera andra flaggor.

Enligt mina tester de bästa resultaten uppnås med AMD Athlon 1600 MHz-processor, som överstiger 3,4 miljoner nycklar per sekund. Intressant blir det bättre resultat än Intel Pentium IV 1800 MHz och 2000 MHz (se tabellen nedan, klicka på dem för större bild). Jag tror att detta beror på att vissa I / O-mättnad, säkert cache eller att AMD-processor (som har en halv cache av Pentium) eller moderkortet där det körs, lyckas undvika. I den första figuren nedan kan du se att bryta hastighet av alla processorer har mer eller mindre ett linjärt samband med bearbetningsföretagets hastighet, med undantag för de två Intel Pentium jag nämnde innan. Detta är logiskt, det innebär att för en dubbel processor hastighet du får dubbla bryta hastighet, men akta dig för mättnad effekter, i detta fall är det bättre att AMD Athlon 1600 MHz, vilket kommer att bli ännu billigare än Intel Pentium 1800 MHz eller 2000 MHz.

I den andra siffran vi kan se mer i detalj vad vi skulle kalla inneboende bryta strömmen till processorn. Jag får detta värde helt enkelt att dividera bryta hastighet som processorn hastighet, det vill säga vi får antalet nycklar försökte per sekund och per MHz. Detta är ett mått på prestanda bearbetningsföretaget oberoende av hastighet. Resultaten visar att den bästa processor för denna uppgift är det AMD Athlon, därefter kommer Alfa och mycket nära efter det är det Intel Pentium (med undantag för högre hastighet de som utför mycket dålig på grund av mättnad effekt). Nästa är Mips-processorer och i det sista stället är det Sparc. Vissa Alpha och Mips-processorer finns på botten av skalan eftersom de tidiga utgåvor inte inklusive tillbehör sen versioner. Observera att jag ingår resultatet för x86-processorer för C och assembler kod, eftersom det finns en stor Det verkar som gcc är ingen bra generator för optimerad maskinkod, men vi naturligtvis inte vet om en manuell optimering av assembler kod för andra processorer (Alpha, Mips, Sparc) skulle öka sina resultat jämfört med det ursprungliga C-kompilatorer (Jag använde inte gcc för dessa andra plattformar) som händer med x86-processor.

Uppdatera

Här är en artikel om dessa tekniker kan ha använts.

http://redtape.msnbc.com/2008/08/could-a-hacker.html

Nyligen

  • SQL Injection Cheat Sheets
  • Corporate Telefon Lockdown Länkar
  • VoIP och SIP-länkar
  • Amatörradiomottagare och Radhaz
  • Secure Application Development länkar
  • Kathy's School - en skolbyggnad projektet i Kambodja.
  • EFT Syetms och Anordning Överväganden
  • Internet Banking sjöfartsskyddsbedömning Överväganden
  • Mobile Banking Security och riskbedömningskommittén Överväganden
  • DNS Hacka Needs korrigeringsprocessen - allvarligt problem

    • Du kan följa någon svaren till denna post via RSS 2.0 feed.
    Du kan lämna ett svar, eller trackback från din egen webbplats.

    Lov en Svara

    XHTML: Du kan använda dessa taggar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> < del datetime = ""> <em> <i> <q cite=""> <strike> <strong>