Bankir.Ru
7 декабря, среда 23:20

Объявление

Свернуть
Пока нет объявлений.

Triple DES. Уже реальность или пока петух не клюнет?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Triple DES. Уже реальность или пока петух не клюнет?

    Европей уведомил о сроках перехода на ТриплДЭЗ.

    Мне интересен такой момент, что с Апреля 2002 года все вновь инсталлируемые банкоматы должны удовлетворять этой спецификации.
    Но производители вроде как не торопятся, и поставляют что есть.

    Далее, когда наступит мандатори для всех устройств будет еще веселее. Надо апгрейдить и то, что уже стоит. А это по скромным подсчетам штуки по полторы баксов с каждого устройства.

    В общем платежным системам безопасность, производителям оборудования - доход, а эквайеров ставят на бабки.

    Что нам на это скажут производители или поставщики банкоматов.
    Ну и терминалов тоже.
    Да и вообще поговорим об этом Трипле ДЭЗ.

  • #2
    Ema
    На самом деле все новые банкоматы уже поставляются с TDES (или могут за счет увеличения стоимости банкомата, как, например, Diebold со своим модулем EPP - Encryptor Pin Pad).
    У нас до сих пор еще ставятся банкоматы non TDES compliant. Я тут как-то отписывал вопрос в customer support - а что будет, если обнаружиться, что новый банкомат установлен без TDES - ответа не получил. Наверное придется звонить.

    Комментарий


    • #3
      Ema
      Хотите поговорить, пожалуйста.
      Лично я отслеживаю изменения только по оливетти & бюлль
      на этих девайсах эта проблема решается просто ставим новый девайс
      это новий инкриптор NEW SCD который поддерживает ТриплДЭЗ и весело
      работаем дальше , есс-но это стоит определннное кол-во зеленых бабок
      но другого выхода нет . Как у других производителей железа НЕ ЗНАЮ.
      Пусть раскажут.
      ATMMASTER

      Комментарий


      • #4
        atmmaster
        А NCR также продвинулся?

        Комментарий


        • #5
          Ema
          Не знаю , это надо Георгия спросить
          И что значит продвинулся ?
          Отреагировал ли на объективные изменения ?

          Мне больше интересен флейм tolik-mc
          я не ошибся в своих прогнозах
          т.е если буржуину сказали что нельзя значит нелзя
          для нас это не правило
          все смотрят , а где они меня могут присчучить если не смогут
          поймать то чего их рулезы спрашивается выполнять ?
          Просто менталитет у нас такой, ничего не поделаешь.
          Мы бедные но умные и хитрые.
          ATMMASTER

          Комментарий


          • #6
            atmmaster Ema

            Приветствую,

            поскольку участвуют в данном проекте 4 стороны, позволю свое мнение насчет всех четырех участников пирога под названием трипл-дез.

            Европей - если решение принято, то надо с чего то начинать - вот и решили так сказать сделать хирургическим путем, а на "залечивание ран" уже установленных банкоматов дали 3 года. В общем то достаточно времени. Сам по себе хирургический путь не самый хороший. По идее надо предупредить производителей, они в свою очередь партнеров и партнеры уже предупредят клиентов. Я сам лично увидел требования Европея от своего клиента (могу переслать факс по запросу). Наверное Европей и планировал такую цепочку - но "получилось как всегда". Насчет невозможности подключить банкомат с обычным инкриптором с 1 апреля - я думаю, что это преувеличено, хотя действительно, нужно выяснить. Если кто нибудь подключал такой банкомат или менял место его установки после 1-го апреля - сообщите.

            NCR - EPP инкрипторы уже поставляются с 2001 года, правда тогда еще был большой срок поставки - сейчас уже срок поставки сравнялся со сроком отгрузки банкомата с DES-овским инкриптором. Есть и модуль апргрейда на EPP инкриптор, правда старый при этом не выкупается.

            Партнер - с одной стороны возможность заработать на проблеме, с другой стороны зарабатывать на проблеме не очень хорошо - вроде как выкручивание рук получается. Решение задачи экономичным способом должно дать возможность дальнейшей совместной работы и интересных проектов (за рамками поставки просто банкоматов) - в таком ключе и буду действовать.

            Заказчик - есть время подумать, но учитывая много известных всем факторов думать нужно быстро или, наоборот, не думать . При наличии денег, проблем нет, поэтому в этом случае все равно когда делать апгрейд, если подключение все же возможно. Если есть желание обойтись малой кровью - лучше заказывать epp инкриптор сразу (главное не забыть заказать EMV ридер )

            всем всех благ,
            Георгий.

            Комментарий


            • #7
              atmmaster

              > новий инкриптор NEW SCD

              А он от просто SCD железом отличется? Или только прошивкой? Сколько стоит UP (хотя бы примерно).

              С уважением,
              ===========
              С уважением,
              ==========

              Комментарий


              • #8
                EUgeneUS
                К сожалению пока этими вопросами не интересовался ,
                Это интересно даже самому стало , можно ли проапгредить старый?
                При случае поинтересуюсь , но EUgeneUS ты ведь и сам прекрасно знаешь
                где это можно узнать.
                ATMMASTER

                Комментарий


                • #9
                  atmmaster

                  > но EUgeneUS ты ведь и сам прекрасно знаешь где это можно узнать.

                  Знаю Но хотелось бы здесь услышать, в рамках непринужденной беседы
                  Может коллега ParteiGenosse подскажет?
                  В первую очередь хотелось узнать SCD и NEW SCD - это разные жлезки или одно и та же?

                  С уважением,
                  ==========
                  С уважением,
                  ==========

                  Комментарий


                  • #10
                    EUgeneUS
                    Вообщем узнал что к чему
                    SCD 9044 не поддерживает требует апгрейда фирмваре
                    SCD 9045 поддерживает
                    RCA 9566 (это еще более новая железяка ) тоже поддерживает
                    ATMMASTER

                    Комментарий


                    • #11
                      atmmaster
                      OK!
                      Спасибо за ответ.
                      С уважением,
                      ==========

                      Комментарий


                      • #12
                        С банкоматами все ясно, а по терминалам что-то никто не высказался

                        C 1 апреля 2003 все процессинги должны поддерживать 3DES. Однако многие банки до сих пор устанавливают терминалы с ПИН-ПАДами, которые не поддерживают 3DES, в частности OMNI1000+.

                        Кто-нибудь озаботился этой проблемой?
                        До какого времени можно будет еще устанавливать новые терминалы с OMNI1000+?
                        Какие есть еще варианты по терминалам или придется 5000-ые ПИН-ПАДЫ закупать.
                        Да и еще, может кто знает Bull (Ingenico) Amadeo поддерживает 3DES??

                        Комментарий


                        • #13
                          Andy_I
                          С пинпадами типа OMNI1000+ действительно большой вопрос. Пока альтернативы с 3DES не предложено. Стоимость вопроса будет в замене пинпадов, возможно в замене софта терминала - на предмет передачи длинных рабочих ключей (если требуется) и вызова соотвествующих функций пинпада - даже доки по этим функциям вроде бы нет (надо узнать последние новости).

                          Ingenico Elite с какого-то момента уже поставляет пинпады с софтом, поддерживающим triple-des. Также потребуется замена ПО терминала для работы с новыми функциями. Также, похоже возможно следущее решение без обновления парка пинпадов - с какой-то модели пинпада, софт стал загружаемым. Можно поговорить с Бюлль о получении софта с 3des, о совместимости софта с имеющимися у вас моделями пинпадов, прикупить переходник com->i2c, и выполнить прогрузку нового софта. Возможно некоторые конторы, близкие к Ingenico предложат подобную услугу за некоторую плату. В общем, технически на Ingenico этот вопрос решен.
                          В торговой сети же, в случае использования mac и шифрования трафика без участия пинпада вопрос в обновлении софта.

                          Комментарий


                          • #14
                            Насчет клюющего петуха - лучше уж срок определится дедлайном, чем обозримым сроком взлома des ключей. В принципе, сроки уже обозримые - в зависимости от имеющихся возможностей (а требуется цельная сеть, желательно оснащенная спецтехникой) - менее года. Правда, во-первых этот срок удваивается. А во-вторых мастер можно менять с периодом теоретического времени подбора - где-то ежегодно.
                            Оценить время подбора ключа можно следующим образом:
                            4млрд*16млн комбинаций
                            Если предположить, что имеющаяся тех. единица позволяет перебирать 1 млрд ключей секунду (предположили страшное), то на перебор потребуется 64 млн секунд = 17 тыс. часов, 740 суток.
                            Берем 8 единиц техники и срок сокращается до 92-х дней.
                            Уменьшим вдвое скорость перебора (500 млн kps) - на восьми единицах техники - 184 дня. При найденных мастерах и доступе к траффику имеем все - и пинблок и треки.
                            Указанное 500 млн ключей в секунду на одной тех. единице - если и реально, то это должна быть спецтехника, специально для этого разработанная - стоимость ее (а тем более в восьмикратном размере) будет соизмерима или превышать отдачу от операций - пример последствий - последняя история с банкоматами. Пока что производительность машин измеряется десятками-сотнями тысяч kps, что требует в тысячу раз увеличить задействованную сеть вычислителей. Но прогресс идет.
                            Так что платежные системы действуют скорее на опережение, чем на сиюминутную опасность, вводя 3des - с двойным ключем время перебора увеличивается в 4млрд*16млн раз.

                            Комментарий


                            • #15
                              Некоторые уже завершили пилоты по тестированию цепочек для 3DES: АТМ+АТМ ПО+ хост+ HSM.
                              Можно ставить в рабочий режим. Идут апгрейды hi-bape NCR инкрипторов на EPP.

                              Комментарий


                              • #16
                                В принципе, у нас например, уже работают по 3DES Dieboldы. С NCR - одна проблема, триплдез не работает вместе с MAC при сообщениях больше 500 байт, обещали исправить к следующему релизу. С терминалами картина удручающая, INPAS обещал озаботится этой проблемой лишь к середине лета. На Hyprcom ICE вроде как работает, но сделали ли они это как положено по требованиям? Неведомо. Что касается Амадео, то кажется, нет проблем с его пинпадом, просто перешиваешь firmware для "далласа" и всё... но пока такие решения мне неизвестны.
                                <%(

                                Комментарий


                                • #17
                                  В принципе, у нас например, уже работают по 3DES Dieboldы.
                                  У нас не получилось заставить одновременно работать 3DES и MAC. Если у вас получилось - поделитесь опытом.

                                  Комментарий


                                  • #18
                                    Borman

                                    Да, новый триплдезнутый MAC действительно не работает, а обычный, X9.9 вполне.
                                    <%(

                                    Комментарий


                                    • #19
                                      Нико не подскажет part number для диболдовской клавиатуры 3DES.

                                      Заранее спасиб

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X