28 февраля, воскресенье 10:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

DDA Card hacking (UK University)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • DDA Card hacking (UK University)

    Товарищи, напомните в чем был "фикус" того примера когда DDA карта была хакнута людьми из университета в Англии.
    Что конкретно они сделали? Подделали ответ от карты/эмитента или что? Была ли проведена авторизация Online PIN/Online Auth?
    Не могу, блин, найти статью...

  • #2
    Вот это?
    http://www.cl.cam.ac.uk/research/sec...banking/nopin/
    там делалась вставка между реальной (краденой как бы) картой/чипом и фальшивой, которая перехватывала запрос на проверку ПИН, чтобы он не доходил до настоящей карты, и отвечала на него положительно. остальной поток информации проходил.
    Соответственно терминал думал, что проверил успешно offline PIN, карта (чип) думает, что по подписи пошла...

    Комментарий


    • #3
      Сообщение от TSprinter Посмотреть сообщение
      Товарищи, напомните в чем был "фикус" того примера когда DDA карта была хакнута людьми из университета в Англии.
      Что конкретно они сделали? Подделали ответ от карты/эмитента или что? Была ли проведена авторизация Online PIN/Online Auth?
      Онлайновую авторизацию по чиповой карте подделать практически невозможно. Там задействован симметричный 3DES-ключ, который "знает" только карта и эмитент.
      И каким боком DDA к онлайну? Похоже, у вас в голове винегрет касательно методов аутентификации чиповых карт.

      Насчет метода хака "посредник посредине" при офлайновой аутентификации - юзайте CDA и будет вам Щастье.
      К тому же, вышеописанный метод хака весьма условен, так как если "оригинальная" карта не верифицировала кардхолдера, она или отклонит офлайновую транзакцию, или предложит терминалу провести транзакцию в онлайне.
      Последний раз редактировалось mandobass; 15.01.2013, 17:30.

      Комментарий


      • #4
        Сообщение от EvRoUmka Посмотреть сообщение
        http://www.cl.cam.ac.uk/research/sec...banking/nopin/
        Ага оно. Man in the Middle.

        Сообщение от mandobass Посмотреть сообщение
        И каким боком DDA к онлайну?
        Да неправильно написал :-) Каюсь. Вот так правильно:

        Сообщение от mandobass Посмотреть сообщение
        Была ли проведена авторизация Online Auth?
        Сообщение от mandobass Посмотреть сообщение
        юзайте CDA и будет вам Щастье.
        Да это понятно - там как раз впихнули транакционную зависимость в расчет криптограмм.

        Сообщение от mandobass Посмотреть сообщение
        Онлайновую авторизацию по чиповой карте подделать практически невозможно. Там задействован симметричный 3DES-ключ
        О спасибо!
        Вот начал обсуждать здесь что лучше Online PIN vs Offline PIN - англичане плюются слюной доказывая что разницы нет :-) и Online PIN это прошлый век.
        http://www.linkedin.com/groupItem?vi...item=177055485
        Я как то для себя уже решил что всегда буду пихать Online PIN/Online Auth потому как все остальное не имеет смысла кроме случаев когда нет вариантов.

        А Вы как думаете что лучше Online PIN/Offline PIN (имеется ввиду приоритет в CVM листе)?

        Комментарий


        • #5
          Сообщение от TSprinter Посмотреть сообщение
          А Вы как думаете что лучше Online PIN/Offline PIN (имеется ввиду приоритет в CVM листе)?
          Англичане правы - без разницы. Даже если "Man in the Middle" подставит положительный ответ при Offline PIN, оригинальная карта или отклонит офлайновую транзакцию, или предложит терминалу провести транзакцию в онлайне, сообщив при этом в ARQC эмитенту, что карта не проводила/отклонила верификацию кардхолдера.

          Комментарий


          • #6
            TSprinter, я за онлайн. бо позволяет упростить смену ПИН, сделать более прозрачной для клента и более защищённой для эмитента.

            Комментарий


            • #7
              Offline pin имеет слабое место. Сначала клиент вводит пин на пинпаде - из него выплевывается пин-блок, шифрованный на 3DES. Карта естественно такой пин-блок проверить не может, соответственно этот пин должен быть расшифрован внутри терминала и зашифрован открытым RSA-ключем (либо вообще подается в открытом виде на карту). Поэтому либо внутри терминала должен лежать 3-des ключ в открытом виде (его туда еще как-то надо заслать), либо расшифровка производится с помощью, например, sam-модуля, на выходе которого пин также может выдаваться в открытом виде, где, его можно снять.
              Ну а подделать ответ от карты или подсунуть что-то не то практически невозможно - криптограмма в конечном итоге не сойдется.

              Комментарий


              • #8
                Кстати я правильно пгонимаю что Online PIN быстрее? Т.е. нет длительного общения с процессором карты а терминал просто сразу кидает запрос на хост.
                Это как аргумент в пользу Online PIN...
                + Хочется понять на практике как часто смена пина мешает проверке пина :-) Т.е. как часто не отрабатывают скрипты и идет расинхронизация с пином на чипе и текущим значением пина? (что не возникает при Online PIN)
                + И еще - единственное что привели в + Offline PIN это снятие нагрузки с HSM. Но ведь он и так с ней справляется без особых проблем... (насколько я видел) Особенно если разделить эмиссию/эквайринг банкоматов/остальной эквайринг и поставить разные HSM на них. Но этот метод дает больше возможностей удешевления эквайринга. Т.е. по хорошему эмитенту Offline PIN нафиг не упал кроме случаев когда клиент попадает как раз на такую дешевую точку...
                Последний раз редактировалось TSprinter; 16.01.2013, 13:39.

                Комментарий


                • #9
                  Сообщение от TSprinter Посмотреть сообщение
                  Кстати я правильно пгонимаю что Online PIN быстрее? Т.е. нет длительного общения с процессором карты а терминал просто сразу кидает запрос на хост.
                  Это как аргумент в пользу Online PIN...
                  Вообще-то, нешифрованный офлайн-PIN на SDA-картах по-любому быстрее будет. Да и шифрованный на чипах с RSA-сопроцессором - тоже.

                  Сообщение от TSprinter Посмотреть сообщение
                  + Хочется понять на практике как часто смена пина мешает проверке пина :-) Т.е. как часто не отрабатывают скрипты и идет расинхронизация с пином на чипе и текущим значением пина? (что не возникает при Online PIN)
                  Обычно смена ПИНа производится на "родных" банкоматах эмитента. При этом производится верификация, что офлайн-ПИН на карте сменен. На "чужих" терминалах никто ПИН не меняет.

                  Сообщение от TSprinter Посмотреть сообщение
                  + И еще - единственное что привели в + Offline PIN это снятие нагрузки с HSM. Но ведь он и так с ней справляется без особых проблем... (насколько я видел) Особенно если разделить эмиссию/эквайринг банкоматов/остальной эквайринг и поставить разные HSM на них. Но этот метод дает больше возможностей удешевления эквайринга. Т.е. по хорошему эмитенту Offline PIN нафиг не упал кроме случаев когда клиент попадает как раз на такую дешевую точку...
                  Просто вы и ваши английские оппоненты живете в разных мирах. В Европе, таки да, карточный безнал становится основным платежным средством, вытесняющим наличку. Что сопровождается взрывным ростом числа транзакций. Поэтому там основной тренд - офлайн. Который позволяет сократить нагрузку на HSM и фронт-офис, а также уменьшить комиссионные отчисления банков МПСам за авторизационный трафик.
                  На просторах СНГ большинство кардхолдеров - вынужденные, получившие свои карты в рамках зарплатных проектов. И пользуются они своими картами один раз в месяц - в день получки обналичивают всю зарплату в банкомате. Для такого случая, таки да, не имеет смысла заморачиваться с офлайном.

                  Комментарий


                  • #10
                    Сообщение от TSprinter Посмотреть сообщение
                    Кстати я правильно пгонимаю что Online PIN быстрее?
                    Честно говоря, считаю, что если уж стали вводить ПИН, то время проверки offline ПИН сильно меньше в общем процессе, чем его будет вводить клиент.
                    Минимизация времени прохождения транзакции в этом месте может быть полезна для бесконтактных операций - например, для транспорта - но там о ПИНе речи не идет...

                    Что касается нагрузки на HSM, то в любом случае HSM проводит еще массу других криптографических операций, и если для него проблема дополнительно проверять пинблок, то это
                    уже серьезная проблема с его производительностью и надо, либо покупать более производительный модуль, либо большее их количество...
                    Nick_st

                    Комментарий


                    • #11
                      Сообщение от mandobass Посмотреть сообщение
                      Вообще-то, нешифрованный офлайн-PIN на SDA-картах по-любому быстрее будет. Да и шифрованный на чипах с RSA-сопроцессором - тоже.
                      Я сравниваю время на получение ответа от эмитента в случае разных проверок пина. Т.е. в этот процесс включаю и авторизационный цикл.
                      Хотите сказать что хост проверит пин медленнее чем весь цикл для той же DDA проверки + RSA карта?

                      Сообщение от mandobass Посмотреть сообщение
                      На "чужих" терминалах никто ПИН не меняет.
                      Меняют с недавноего времени и это обязятельное условие для экваеров - но таки да в основном ONUS. Ну так что насчет "упадочности" EMV скриптов по смене пина? :-)

                      Сообщение от nick_st Посмотреть сообщение
                      Минимизация времени прохождения транзакции в этом месте может быть полезна для бесконтактных операций -
                      Вот они и пишут о фаст фуде :-) Вообще оффлайновый фаст фуд это интересно...

                      Комментарий


                      • #12
                        Сообщение от TSprinter Посмотреть сообщение
                        Вот они и пишут о фаст фуде :-) Вообще оффлайновый фаст фуд это интересно...
                        С ПИНом? Обычно эти операции идут в offline, но без ПИНа... Такое можно на суммах до 1000 руб.
                        Nick_st

                        Комментарий


                        • #13
                          Сообщение от nick_st Посмотреть сообщение
                          С ПИНом?
                          Offline PIN/Offline Auth

                          Комментарий


                          • #14
                            А технология какая - contact или contactless?
                            Nick_st

                            Комментарий


                            • #15
                              Я имел ввиду что интересно на точках здесь в России поставить терминал без соединения с экваером. Терминал можно и Contact и Contactless поставить...
                              Суммы все равно маленькие идут... Главное не напороться на карты с зашитым маленьким ограничением на Offline.
                              Хотя наверное это только у Англичан прокатит.

                              Комментарий


                              • #16
                                Сообщение от TSprinter Посмотреть сообщение
                                Я сравниваю время на получение ответа от эмитента в случае разных проверок пина. Т.е. в этот процесс включаю и авторизационный цикл.
                                Хотите сказать что хост проверит пин медленнее чем весь цикл для той же DDA проверки + RSA карта?
                                Вы немного неправильно расставляете акценты. Основным "тормозом" при DDA является не RSA-карта, а старенькие терминалы с софтовой реализацией RSA. Новые терминалы имеют либо процессор с RSA-сопроцессором, либо мощный процессор, в котором софтовая реализация RSA не "тормозит". На таких терминалах, таки да, офлайновая транзакция идет быстрее онлайновой.


                                Сообщение от TSprinter Посмотреть сообщение
                                Меняют с недавноего времени и это обязятельное условие для экваеров - но таки да в основном ONUS. Ну так что насчет "упадочности" EMV скриптов по смене пина? :-)
                                Почему "упадочность"? Существуют способы проверки корректности отработки скриптов. А "упасть" скрипт может по множеству причин, в том числе из-за ошибок самого эмитента.

                                Комментарий

                                Обработка...
                                X