16 ноября, пятница 23:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

SAMмодули в терминалах это необходимость?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • SAMмодули в терминалах это необходимость?

    Здравствуйте!

    Разжуйте, пожалуйста, в чем необходимость САМ модулей в терминалах (омни 5150 в частности). Это требование платежных систем? И будут ли без них работать чиповые карты? Или без них не пройдет сертификация терминалов, или это просто удобное и наднжное кранение ключей? Как итог: возможна ли без сам модулей полнофункциональная работа терминалов с картами МПС? Или невозможно только офф-лайн с чипованными картами?

  • #2
    У нас раньше работали без SAM модулей на ура,(модели не помню) и с простыми картами и с чипами

    Комментарий


    • #3
      На сколько я помню, в софте OMNIPOS_EMV SAM-модули используются для:
      1. Перегенерации 3-des рабочих ключей в формат GISKE. Данная процедура запускается 1 раз после проливки параметров. Процедура необязательная, если в POS-мастер ключи сразу прописать в формат GISKE. Если рабочие ключи присылает хост и они сразу в формате GISKE, процедура не нужна.

      2. Шифрование трафика в некоторых протоколах. Если шифрование на 3-DES не используется, то SAM-модуль не нужен.

      3. Расшифровка PIN-блока для проверки OFFLINE PIN. Если вводился OFFLINE-PIN, то пинпад выдает PIN-блок. Этот пин-блок расшифровывается с помощью SAM-модуля и подается карте в открытом виде (или шифруется по RSA). Если ключи в пин-паде не 3-DES, то расшифровка идет не с помощью SAM-модуля.
      В общем, кривая схема. Расшифрованный пин-блок можно снять с контактов SAM-модуля. Хотя также успешно его можно снять и с контактов карты при проверке открытого пина.

      Вроде как все перечислил (?). Смотрите, что нужно Вам и сможете ли обойтись без SAM-модуля.

      Комментарий


      • #4
        Сообщение от ~Ghost~ Посмотреть сообщение
        У нас раньше работали без SAM модулей на ура,(модели не помню) и с простыми картами и с чипами
        а сейчас, позвольте узнать?

        Комментарий


        • #5
          Сообщение от khadiy Посмотреть сообщение
          а сейчас, позвольте узнать?
          В обязательном порядке года 2 назад установили. Причину не знаю.

          Комментарий


          • #6
            [QUOTE=UserR;2565964]....
            В общем, кривая схема. Расшифрованный пин-блок можно снять с контактов SAM-модуля. Хотя также успешно его можно снять и с контактов карты при проверке открытого пина.

            Вы перечислили все пункты абсолютно правильно, добавлю только одно что снять off-line PIN не шифрованный с SAM-Module не возможно. Если такая возможность была, то ПО компании не пройдет ни одной сертификации в платежных системах.

            Комментарий


            • #7
              Maiboroda, а кто сказал, что компания прошла сертификацию в МПС на соответствие требованиям с данной схемой работы?

              Комментарий


              • #8
                Сообщение от Maiboroda
                off-line PIN не шифрованный с SAM-Module не возможно. Если такая возможность была, то ПО компании не пройдет ни одной сертификации в платежных системах.
                Вот только так оно и есть. По крайней мере точно было в первых версиях 3.5. Снимите лог с SAM-модуля и убедитесь сами. Ведь открытый PIN для подачи карте как-то получить надо...
                А что платежным системам - пин открыто подается на карту, снимай лог и все.
                Евгений, если я не прав, может Вы расскажите, как по-Вашему происходит подача открытого и шифрованного пина на карту с момента ввода его на пин-паде с 3-DES ключами (шаги алгоритма, кто за что отвечает, когда что зашифровано, а когда нет)?

                Комментарий


                • #9
                  АСЕр, по запросу от банка компания предоставит сертификаты. При этом хочу добавить что данный sam-module тоже сертифицировался.

                  UserR, "По крайней мере точно было в первых версиях 3.5. Снимите лог с SAM-модуля и убедитесь сами." Интересно каким методом вы снимали логи с модуля который вставлен в терминал?
                  На на эту тему думаю будет лучше пообщаться в личке или по другим доступным каналам связи.

                  Комментарий


                  • #10
                    Ну, можно SAM-модуль вставить не в терминал, а в какое-нибудь устройство, а это устройство вставить в терминал. Для терминала и сам-модуля обмен прозрачен, т.к. это устройство просто транслирует туда-сюда. Точно также как и снимается EMV-log с карты, которая "вставлена в смарт спай". В общем, кому я объясняю, Вы и сами прекрасно все знаете.

                    Комментарий


                    • #11
                      [QUOTE=Maiboroda;2566459]
                      Сообщение от UserR Посмотреть сообщение
                      ....
                      В общем, кривая схема. Расшифрованный пин-блок можно снять с контактов SAM-модуля. Хотя также успешно его можно снять и с контактов карты при проверке открытого пина.

                      Вы перечислили все пункты абсолютно правильно, добавлю только одно что снять off-line PIN не шифрованный с SAM-Module не возможно. Если такая возможность была, то ПО компании не пройдет ни одной сертификации в платежных системах.

                      А зачем снимать открый пин с какогото там Сам модулька, для того что бы перехватить не шифрованный пин можно воспользоваться к примеру железкой смарт-спай или ее аналогами.

                      Комментарий


                      • #12
                        Вы просто меня перефразировали?
                        "Расшифрованный пин-блок можно снять с контактов SAM-модуля. Хотя также успешно его можно снять и с контактов карты при проверке открытого пина."
                        Ну, если карте подается шифрованный пин, то все равно его можно снять в открытом виде с сам-модуля.

                        Комментарий


                        • #13
                          Сообщение от UserR Посмотреть сообщение
                          Вы просто меня перефразировали?
                          "Расшифрованный пин-блок можно снять с контактов SAM-модуля. Хотя также успешно его можно снять и с контактов карты при проверке открытого пина."
                          Ну, если карте подается шифрованный пин, то все равно его можно снять в открытом виде с сам-модуля.
                          Неа, не пытался Вас повторить.
                          Еще раз хотел Maiboroda указать на то, что он напрасно отстаивает свое мнение, хотя и сам отлично знает как и что снять. Тем более что сам синей коробочкой для снятия логово не однократно пользовался.

                          Комментарий


                          • #14
                            UserR: Ну, если карте подается шифрованный пин, то все равно его можно снять в открытом виде с сам-модуля.
                            На этот раз точно с вами не соглашусь, если еще про не шифрованный пин согласен, то тут нет. Так как открытый пин только в самом сам модуле после чего он сразу шифруется RSA ключами и далее выход из него. Логи как работает сам модуль получить не возможно. Так что грубо говоря при желании как всегда можно получить только OFF-Line Plaintext PIN. Да и еще хотел добавить PIN на SmarTSpy получить нельзя посмотрите логи его, а вот аналогичными железками вариант есть.

                            Комментарий


                            • #15
                              Ну, если, наконец, реализовали очевидное решение (на вход пин-блок от пин-пада и открытый RSA-ключ с карты, на выходе шифрованный на RSA пин), то я только рад. Раньше было одно решение для сам-модуля - расшифровка пина-блока от пин-пада, возврат в терминал в открытом виде, а там, если нужно, шифрование на RSA ключе.
                              Ну, а если смарт спай не выдает пин в открытом виде, то это просто его внутреннее ограничение. Да и к сам-модулю это отношения не имеет - это дыра самой технологии смарт-карт.

                              Комментарий


                              • #16
                                Сообщение от Maiboroda Посмотреть сообщение
                                АСЕр, по запросу от банка компания предоставит сертификаты. При этом хочу добавить что данный sam-module тоже сертифицировался.
                                Боюсь что не предоставит.
                                Но можно работать и без sam-модулей, если HSM поддерживанет шифрацию.

                                Комментарий


                                • #17
                                  АСЕр: "Но можно работать и без sam-модулей, если HSM поддерживанет шифрацию." - позвольте уточнить о какой шифрации вы говорите??? и какое отношение имеет HSM к проверке off-line PIN???

                                  UserR
                                  PinPad'ы VeriFone не работают с RSA только с 3DES, как от внешнего та и от внутреннего пинпада трафик закрыт 3DES, SAM-Module его раскриптовывает и после чего криптует результат уже RSA с дальнейшей передачей на чип. Но это мы с вами рассматриваем шифрованный off-line PIN.

                                  Комментарий


                                  • #18
                                    Сообщение от Maiboroda Посмотреть сообщение
                                    АСЕр: "Но можно работать и без sam-модулей, если HSM поддерживанет шифрацию." - позвольте уточнить о какой шифрации вы говорите??? и какое отношение имеет HSM к проверке off-line PIN???
                                    О шифрации 3DES.
                                    Многие ли банки поддерживают off-line PIN?

                                    Комментарий


                                    • #19
                                      Для шифрования трафика (ISO Secure используемом в OW) SAM-Module вообще никакого участия не принимает, как в шифровании SSL. Не знаю как у вас, но на Украине многие банки работают с проверкой off-line PIN, особенно при выполнении оригинальных Retail операций. Многие хосты настроены на проверку on-line PIN Cash операций и считают это как требование по безопасности.

                                      Комментарий


                                      • #20
                                        Сообщение от Maiboroda Посмотреть сообщение
                                        UserR: Ну, если карте подается шифрованный пин, то все равно его можно снять в открытом виде с сам-модуля.
                                        На этот раз точно с вами не соглашусь, если еще про не шифрованный пин согласен, то тут нет. Так как открытый пин только в самом сам модуле после чего он сразу шифруется RSA ключами и далее выход из него. Логи как работает сам модуль получить не возможно. Так что грубо говоря при желании как всегда можно получить только OFF-Line Plaintext PIN. Да и еще хотел добавить PIN на SmarTSpy получить нельзя посмотрите логи его, а вот аналогичными железками вариант есть.
                                        Увидеть Plaintext PIN на SmarTSpy очень даже просто, не прибегая к аналогичным железякам
                                        или Вы проверяли и у Вас не получилось?
                                        Также и считать САм модуль можно на этом же девайсе при желании.

                                        Комментарий


                                        • #21
                                          Вопрос: возможно ли снять лог с карты и записать его на SAm-модуль во время транзакции например?

                                          Комментарий


                                          • #22
                                            Сообщение от АлекМ Посмотреть сообщение
                                            Вопрос: возможно ли снять лог с карты и записать его на SAm-модуль во время транзакции например?
                                            Нет такое не возможно, логи на SAM-Module записать нельзя. На SAM-Module можно загрузить два типа приложений: Special Applet и Memory Applet. Но никак не логи транзакции.

                                            Комментарий


                                            • #23
                                              Сообщение от АлекМ Посмотреть сообщение
                                              Вопрос: возможно ли снять лог с карты и записать его на SAm-модуль во время транзакции например?
                                              Ну, если только свой софт залить в терминал и сам-модуль, и обучить их это делать... Но тогда и смысл этих операций пропадает. В общем, имеющимися средствами - нельзя.

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X