20 сентября, четверг 06:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ccprot расшифровка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ccprot расшифровка

    Возникла проблема с банкоматом. После замены старой EPP на новую не входит в режим. Пишет что проблема в ключах (неверный ключ??). Пронаблюдал работу в ccprot, стал получать ключи как-то по другому:
    после входа в онлайн хост шлет:
    3\1c\1c\1c42\1c030103193193048039182048104157138102068158132026067

    хотя раньше строка была другая (т.е. то что после \1с42\1с). Как я понимаю - этот ключ не должен был измениться поскольку это транспортник. Кто нибудь имел дело с расшифровкой рабочих комманд?

  • #2
    ZIK
    Т.к. EPP поменялся надо в него ввести новые мастер-ключи...
    Естественно транспортный ключ не будет расшифровываться...
    Nick_st

    Комментарий


    • #3
      nick st, так я всё поменял. И мастер и ком. В ccprot после включения банкомата прописывается след. картина:
      > 23\1c000071880\1c\1c3\1c******
      Sat Sep 22 13:31:07 2007
      3\1c\1c\1c46\1c030211085240072138118174250200082057150027047168181
      Sat Sep 22 13:31:08 2007
      > 23\1c000071880\1c\1c3\1cB2456F
      Sat Sep 22 13:31:08 2007
      3\1c\1c\1c4H
      Sat Sep 22 13:31:08 2007
      > 23\1c000071880\1c\1c4\1cAE6171000000B2456F******
      Sat Sep 22 13:31:08 2007
      3\1c\1c\1c42\1c030103193193048039182048104157138102068158132026067
      Sat Sep 22 13:31:09 2007
      > 23\1c000071880\1c\1c3\1c224CBD
      Sat Sep 22 13:31:09 2007
      7\1c\1c1\1c1

      то что я прописал звездочками - это тестовое значение моего comkey64. А после этого приходит 2 ответа с команой " 3" где хост шлет транспортные ключи(на сколько я понимаю)и после каждого ATM отсылает ответ с др. тестовыми значениями. Почему я получаю 2 разных ключа подрят? М.б. это причина?

      Комментарий


      • #4
        В Вашем случае имеет место прогрузка с хоста двух ключей:
        3..46 - загрузка MAC ключа на текущем коммуникационном
        3..42 - загрузка коммуникационного ключа на текущем мастере.

        Комментарий


        • #5
          3..42 - загрузка коммуникационного ключа на текущем мастере.
          Как конкретно грузится он? Почему в ключе 51 десятичный символ? М.б. в этом дело?

          Комментарий


          • #6
            ZIK
            Все правильно - ключи передаются числами, где каждое число -
            это 3 цифровых ASCII символа, а первый длина, т.е.
            длина 030 (hex) = 48 - ключ двойной длины, далее
            103 DEC = 67 HEX
            193 DEC = C1 HEX и т.д.

            всего 16 байтов (51 = 3 + 16*3) - это и есть зашифрованный
            на мастер-ключе ключ...

            Кстати как мысль почему может не работать - это режим шифрования
            коммуникационного ключа под мастер-ключом, обычно банкоматы используют чистый ECB режим, а некоторые HSM могут использовать
            варианты (например Thales) - надо проверить настройки мастер-ключа и режимов генерации сессионных ключей на хосте...
            Nick_st

            Комментарий


            • #7
              всего 16 байтов (51 = 3 + 16*3) - это и есть зашифрованный
              на мастер-ключе ключ...

              Внесите пожалуйста ясность, о каком мастер-ключе идет речь? Слышал о том, что существует HSM-мастер ключ и терминал-мастер ключ (Terminal-Master Key). Последний это то что зовется в банкомате как MasterKey 64, а вот первый - это ключ, на котором шифруются все остальные. Если в данном случае - это HSM ключ, то каким образом происходит подготовка тестового значения 224cbd(> 23\1c000071880\1c\1c3\1c224CBD)?

              Комментарий


              • #8
                Тестовое значение (Key Verification Value) считается следующим образом: на ключе криптуется последовательность из 8 нулей, первые 3 байта и есть KVV.
                Если следовать жаргону HSM, то Master key = TMK, Comm key = TPK.

                Комментарий


                • #9
                  Я так понял: TMK - Terminal Master Key, TPK - Terminal PIN KEY, верно? И почему-то, после шифрования по данному ключу 16(hex) нулей, у меня выходит другое тестовое значение, первые 3 байта - 23773c

                  Комментарий


                  • #10
                    Ну так что? Нет ни у кого мыслей, почему шифрование нулей на данном ключе не дает такого результата(224CBD)?

                    Комментарий


                    • #11
                      Lkid
                      Без логов и всех систем - это гадание на кофейной гущи...
                      Надо посмотреть логи обращения к HSM (какие ключи были сгенерированы, как они были переданы на устройство). Совпали ли
                      контрольные значения мастер-ключей при вводе в EPP и в процессинге?

                      Также надо проверить режим передачи ключей (как я уже писал ключи
                      3DES можно передавать по разному)...

                      Еще один вопрос - на стром EPP тоже был 3DES или нет?
                      Правильно ли заведены все мастер-ключи в процессинге?
                      Nick_st

                      Комментарий


                      • #12
                        Lkid
                        Без логов и всех систем - это гадание на кофейной гущи...
                        Надо посмотреть логи обращения к HSM (какие ключи были сгенерированы, как они были переданы на устройство). Совпали ли
                        контрольные значения мастер-ключей при вводе в EPP и в процессинге?

                        А какие ещё логи ещё не обходимы? Те что я привел - там нет информации обращения к HSM? Могу привести немного полнее ответ:
                        OFFLINE
                        Sat Jul 28 15:23:26 2007
                        ONLINE
                        Sat Jul 28 15:23:26 2007
                        1\1c\1c\1c2
                        Sat Jul 28 15:25:17 2007
                        1\1c\1c\1c7
                        Sat Jul 28 15:25:17 2007
                        > 22\1c000072000\1c\1c965664DF\1cF\1c11017\1c0000000000000004000000\1c117F000301000101000000C1000001010000027F7F00\1c00011011000000031110001\1c000000111111\1c060000\1cG530-0205\1cD0FBF854
                        Sat Jul 28 15:25:17 2007
                        1\1c\1c\1c2
                        Sat Jul 28 15:26:04 2007
                        > 22\1c000072000\1c\1c\1c9
                        Sat Jul 28 15:26:04 2007
                        3\1c\1c\1c44
                        Sat Jul 28 15:26:04 2007
                        > 23\1c000072000\1c\1c3\1c******
                        Sat Jul 28 15:26:04 2007
                        3\1c\1c\1c46\1c030189006043072112003127033027101081065246044159059
                        Sat Jul 28 15:26:04 2007
                        > 23\1c000072000\1c\1c3\1c89B423
                        Sat Jul 28 15:26:05 2007
                        3\1c\1c\1c4H
                        Sat Jul 28 15:26:05 2007
                        > 23\1c000072000\1c\1c4\1cAE617100000089B423******
                        Sat Jul 28 15:26:05 2007
                        3\1c\1c\1c42\1c030103193193048039182048104157138102068158132026067
                        Sat Jul 28 15:26:06 2007
                        > 23\1c000072000\1c\1c3\1c224CBD
                        Sat Jul 28 15:26:06 2007
                        7\1c\1c1\1c1
                        Sat Jul 28 15:26:06 2007
                        > 51\1c000072000\1c07/26/0708:38:18N8227N:0010000005000001000000501111C:000100000000000003960300040001960003000000000004
                        Sat Jul 28 15:26:06 2007
                        1\1c\1c\1c4
                        Sat Jul 28 15:26:06 2007
                        > 22\1c000072000\1c\1c23ACB479\1cF\1c2876300717480000000182003000007600000000000000000001006000011800200000230000000000000000000000002000000000000000\1cC5C262AD
                        Sat Jul 28 15:26:06 2007
                        3\1c\1c\1c1C\1c0707281526
                        Sat Jul 28 15:26:00 2007
                        > 22\1c000072000\1c\1c\1c9
                        Sat Jul 28 15:26:00 2007
                        1\1c\1c\1c1
                        Sat Jul 28 15:26:01 2007
                        > 22\1c000072000\1c\1c\1c9

                        Тестовое значение ком ключа после ввода на OP верное. М.б. Lkid прав, то что на ключе 103193193048039182048104157138102068158132026067
                        не получается тестовое значение 224CBD? Может в этом дело?

                        Комментарий


                        • #13
                          ZIK
                          103193193048039182048104157138102068158132026067
                          Как можно по этому логу посчитать какое-либо проверочное значение?
                          Проверочное значение расчитывается шифрованием нулевого вектора
                          на соответсвующем ключе. Все что передается в логах - это криптограммы, а не чистые ключи - что-либо посчитать можно только зная в чистом виде Ваш мастер-ключ, а кроме HSM'а и EPP его никто не знает (по крайней мере по требованиям безопасности),
                          поэтому я предлагаю проанализировать логи Вашего модуля безопасности - он при генерации коммуникационного ключа в свой лог обычно выводит его контрольное значение - оно должно совпасть с тем, что на 42 ую команду выдает в ответе банкомат, если оно не совпадает, то либо мастер-ключ введен неверно в EPP, либо коммуникационный ключ шифруется не в том режиме как этого ждем банкомат, поэтому без логов HSM что-либо конкретное сказать
                          очень сложно...
                          Nick_st

                          Комментарий


                          • #14
                            если оно не совпадает, то либо мастер-ключ введен неверно в EPP, либо коммуникационный ключ шифруется не в том режиме как этого ждем банкомат,
                            Дело в том, что процесинг не свой(сторонняя организация) и соответсвенно логи хоста я анализировать не могу. Люди там говорят, что у них всё верно установленно (режим шифрования поставлен как везде). Может быть так что здесь на банкомате режим выставлен не тот, т.е. могу я со своей стороны проверить?(ключи уже 20 раз перебивали)

                            Комментарий


                            • #15
                              Дело в том, что процесинг не свой
                              Без помощи процессинга здесь обойтись очень сложно, попросите
                              их сообщить контрольное значение генерируемого коммуникационного
                              ключа и сравните с тем, что отвечает банкомат, а также еще раз сверьте контрольные значения введенного в банкомат и находящегося в процессинге мастер-ключа банкомата...
                              Nick_st

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X