26 июня, понедельник 11:43
Курсы ЦБ: USD 59.66 EUR 66.68
Bankir.Ru

Объявление

Свернуть

На Bankir.ru начался цикл публикаций, созданных по следам обсуждений на форуме

Показать больше
Показать меньше

Triple DES. Уже реальность или пока петух не клюнет?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Triple DES. Уже реальность или пока петух не клюнет?

    Европей уведомил о сроках перехода на ТриплДЭЗ.

    Мне интересен такой момент, что с Апреля 2002 года все вновь инсталлируемые банкоматы должны удовлетворять этой спецификации.
    Но производители вроде как не торопятся, и поставляют что есть.

    Далее, когда наступит мандатори для всех устройств будет еще веселее. Надо апгрейдить и то, что уже стоит. А это по скромным подсчетам штуки по полторы баксов с каждого устройства.

    В общем платежным системам безопасность, производителям оборудования - доход, а эквайеров ставят на бабки.

    Что нам на это скажут производители или поставщики банкоматов.
    Ну и терминалов тоже.
    Да и вообще поговорим об этом Трипле ДЭЗ.

  • #2
    Ema
    На самом деле все новые банкоматы уже поставляются с TDES (или могут за счет увеличения стоимости банкомата, как, например, Diebold со своим модулем EPP - Encryptor Pin Pad).
    У нас до сих пор еще ставятся банкоматы non TDES compliant. Я тут как-то отписывал вопрос в customer support - а что будет, если обнаружиться, что новый банкомат установлен без TDES - ответа не получил. Наверное придется звонить.

    Комментарий


    • #3
      Ema
      Хотите поговорить, пожалуйста.
      Лично я отслеживаю изменения только по оливетти & бюлль
      на этих девайсах эта проблема решается просто ставим новый девайс
      это новий инкриптор NEW SCD который поддерживает ТриплДЭЗ и весело
      работаем дальше , есс-но это стоит определннное кол-во зеленых бабок
      но другого выхода нет . Как у других производителей железа НЕ ЗНАЮ.
      Пусть раскажут.
      ATMMASTER

      Комментарий


      • #4
        atmmaster
        А NCR также продвинулся?

        Комментарий


        • #5
          Ema
          Не знаю , это надо Георгия спросить
          И что значит продвинулся ?
          Отреагировал ли на объективные изменения ?

          Мне больше интересен флейм tolik-mc
          я не ошибся в своих прогнозах
          т.е если буржуину сказали что нельзя значит нелзя
          для нас это не правило
          все смотрят , а где они меня могут присчучить если не смогут
          поймать то чего их рулезы спрашивается выполнять ?
          Просто менталитет у нас такой, ничего не поделаешь.
          Мы бедные но умные и хитрые.
          ATMMASTER

          Комментарий


          • #6
            atmmaster Ema

            Приветствую,

            поскольку участвуют в данном проекте 4 стороны, позволю свое мнение насчет всех четырех участников пирога под названием трипл-дез.

            Европей - если решение принято, то надо с чего то начинать - вот и решили так сказать сделать хирургическим путем, а на "залечивание ран" уже установленных банкоматов дали 3 года. В общем то достаточно времени. Сам по себе хирургический путь не самый хороший. По идее надо предупредить производителей, они в свою очередь партнеров и партнеры уже предупредят клиентов. Я сам лично увидел требования Европея от своего клиента (могу переслать факс по запросу). Наверное Европей и планировал такую цепочку - но "получилось как всегда". Насчет невозможности подключить банкомат с обычным инкриптором с 1 апреля - я думаю, что это преувеличено, хотя действительно, нужно выяснить. Если кто нибудь подключал такой банкомат или менял место его установки после 1-го апреля - сообщите.

            NCR - EPP инкрипторы уже поставляются с 2001 года, правда тогда еще был большой срок поставки - сейчас уже срок поставки сравнялся со сроком отгрузки банкомата с DES-овским инкриптором. Есть и модуль апргрейда на EPP инкриптор, правда старый при этом не выкупается.

            Партнер - с одной стороны возможность заработать на проблеме, с другой стороны зарабатывать на проблеме не очень хорошо - вроде как выкручивание рук получается. Решение задачи экономичным способом должно дать возможность дальнейшей совместной работы и интересных проектов (за рамками поставки просто банкоматов) - в таком ключе и буду действовать.

            Заказчик - есть время подумать, но учитывая много известных всем факторов думать нужно быстро или, наоборот, не думать . При наличии денег, проблем нет, поэтому в этом случае все равно когда делать апгрейд, если подключение все же возможно. Если есть желание обойтись малой кровью - лучше заказывать epp инкриптор сразу (главное не забыть заказать EMV ридер )

            всем всех благ,
            Георгий.

            Комментарий


            • #7
              atmmaster

              > новий инкриптор NEW SCD

              А он от просто SCD железом отличется? Или только прошивкой? Сколько стоит UP (хотя бы примерно).

              С уважением,
              ===========
              С уважением,
              ==========

              Комментарий


              • #8
                EUgeneUS
                К сожалению пока этими вопросами не интересовался ,
                Это интересно даже самому стало , можно ли проапгредить старый?
                При случае поинтересуюсь , но EUgeneUS ты ведь и сам прекрасно знаешь
                где это можно узнать.
                ATMMASTER

                Комментарий


                • #9
                  atmmaster

                  > но EUgeneUS ты ведь и сам прекрасно знаешь где это можно узнать.

                  Знаю Но хотелось бы здесь услышать, в рамках непринужденной беседы
                  Может коллега ParteiGenosse подскажет?
                  В первую очередь хотелось узнать SCD и NEW SCD - это разные жлезки или одно и та же?

                  С уважением,
                  ==========
                  С уважением,
                  ==========

                  Комментарий


                  • #10
                    EUgeneUS
                    Вообщем узнал что к чему
                    SCD 9044 не поддерживает требует апгрейда фирмваре
                    SCD 9045 поддерживает
                    RCA 9566 (это еще более новая железяка ) тоже поддерживает
                    ATMMASTER

                    Комментарий


                    • #11
                      atmmaster
                      OK!
                      Спасибо за ответ.
                      С уважением,
                      ==========

                      Комментарий


                      • #12
                        С банкоматами все ясно, а по терминалам что-то никто не высказался

                        C 1 апреля 2003 все процессинги должны поддерживать 3DES. Однако многие банки до сих пор устанавливают терминалы с ПИН-ПАДами, которые не поддерживают 3DES, в частности OMNI1000+.

                        Кто-нибудь озаботился этой проблемой?
                        До какого времени можно будет еще устанавливать новые терминалы с OMNI1000+?
                        Какие есть еще варианты по терминалам или придется 5000-ые ПИН-ПАДЫ закупать.
                        Да и еще, может кто знает Bull (Ingenico) Amadeo поддерживает 3DES??

                        Комментарий


                        • #13
                          Andy_I
                          С пинпадами типа OMNI1000+ действительно большой вопрос. Пока альтернативы с 3DES не предложено. Стоимость вопроса будет в замене пинпадов, возможно в замене софта терминала - на предмет передачи длинных рабочих ключей (если требуется) и вызова соотвествующих функций пинпада - даже доки по этим функциям вроде бы нет (надо узнать последние новости).

                          Ingenico Elite с какого-то момента уже поставляет пинпады с софтом, поддерживающим triple-des. Также потребуется замена ПО терминала для работы с новыми функциями. Также, похоже возможно следущее решение без обновления парка пинпадов - с какой-то модели пинпада, софт стал загружаемым. Можно поговорить с Бюлль о получении софта с 3des, о совместимости софта с имеющимися у вас моделями пинпадов, прикупить переходник com->i2c, и выполнить прогрузку нового софта. Возможно некоторые конторы, близкие к Ingenico предложат подобную услугу за некоторую плату. В общем, технически на Ingenico этот вопрос решен.
                          В торговой сети же, в случае использования mac и шифрования трафика без участия пинпада вопрос в обновлении софта.

                          Комментарий


                          • #14
                            Насчет клюющего петуха - лучше уж срок определится дедлайном, чем обозримым сроком взлома des ключей. В принципе, сроки уже обозримые - в зависимости от имеющихся возможностей (а требуется цельная сеть, желательно оснащенная спецтехникой) - менее года. Правда, во-первых этот срок удваивается. А во-вторых мастер можно менять с периодом теоретического времени подбора - где-то ежегодно.
                            Оценить время подбора ключа можно следующим образом:
                            4млрд*16млн комбинаций
                            Если предположить, что имеющаяся тех. единица позволяет перебирать 1 млрд ключей секунду (предположили страшное), то на перебор потребуется 64 млн секунд = 17 тыс. часов, 740 суток.
                            Берем 8 единиц техники и срок сокращается до 92-х дней.
                            Уменьшим вдвое скорость перебора (500 млн kps) - на восьми единицах техники - 184 дня. При найденных мастерах и доступе к траффику имеем все - и пинблок и треки.
                            Указанное 500 млн ключей в секунду на одной тех. единице - если и реально, то это должна быть спецтехника, специально для этого разработанная - стоимость ее (а тем более в восьмикратном размере) будет соизмерима или превышать отдачу от операций - пример последствий - последняя история с банкоматами. Пока что производительность машин измеряется десятками-сотнями тысяч kps, что требует в тысячу раз увеличить задействованную сеть вычислителей. Но прогресс идет.
                            Так что платежные системы действуют скорее на опережение, чем на сиюминутную опасность, вводя 3des - с двойным ключем время перебора увеличивается в 4млрд*16млн раз.

                            Комментарий


                            • #15
                              Некоторые уже завершили пилоты по тестированию цепочек для 3DES: АТМ+АТМ ПО+ хост+ HSM.
                              Можно ставить в рабочий режим. Идут апгрейды hi-bape NCR инкрипторов на EPP.

                              Комментарий


                              • #16
                                В принципе, у нас например, уже работают по 3DES Dieboldы. С NCR - одна проблема, триплдез не работает вместе с MAC при сообщениях больше 500 байт, обещали исправить к следующему релизу. С терминалами картина удручающая, INPAS обещал озаботится этой проблемой лишь к середине лета. На Hyprcom ICE вроде как работает, но сделали ли они это как положено по требованиям? Неведомо. Что касается Амадео, то кажется, нет проблем с его пинпадом, просто перешиваешь firmware для "далласа" и всё... но пока такие решения мне неизвестны.
                                <%(

                                Комментарий


                                • #17
                                  В принципе, у нас например, уже работают по 3DES Dieboldы.
                                  У нас не получилось заставить одновременно работать 3DES и MAC. Если у вас получилось - поделитесь опытом.

                                  Комментарий


                                  • #18
                                    Borman

                                    Да, новый триплдезнутый MAC действительно не работает, а обычный, X9.9 вполне.
                                    <%(

                                    Комментарий


                                    • #19
                                      Нико не подскажет part number для диболдовской клавиатуры 3DES.

                                      Заранее спасиб

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X