Анатомия шифрования пин-кода или немного о PVV и IBM 3624

Shimel

Shimel

Professional
Messages
109
Reaction score
25
Points
18
Прошу горячими котяхами не забрасывать.

Существуют 2а алгоритма генерации/верификации пина(известные мне): IBM 3624 и VISA PVV
Ну начнем с более распространенного и многим известного: VISA PVV
Начнем с расшифровки сокращений:
PAN11-двоичное представление последних 11 цифр номера карты(отсчитываются справа-налево, пропуская крайнюю слева цифру).
Например: номер карты: 1234 5678 9012 3456, то PAN11: 56789012345
PVKI-двоичное представление индекса, определяющего 3DES-ключ эмитета карты
PIN-ну тут все просто.
Появляется вопрос, зачем нам вся это абракадабра?
А все просто, для того, чтоб понять, что-такое TSP(Transformed Security Parameter) и с чем его едят.
TSP=PAN11+PVKI+PIN обычно TSP зашифрован алгоритмом DES, но встречались и более продвинутого типа:tripleDES
По индексу PVKI можно извлеч пару ключей, которые и формируют 3DES-ключ эмитета.
Расшифровываем первый ключ, зашифровываем(второй ключ и расифрованный первый) все шифрования/расшифрования происходят с помошью алгоритма DES(еще эти значения называют PGK).
Слева направо выписываются все десятичные значения(того, что у нас получилось после операций с шифрованием), а затем второй раз выписываются шестнадцатеричные значения(при этом, предварительно, от каждого значения, отнимаем 10). Эта процедура называется: децимилизация.
Значение PVV(или простым языком пина) равно четырем цифрам слева.
Фух, можно выдохнуть))
Перейдим ко второму алгоритму: IBM 3624
Берем номер карты(это и будет PAN)
Вычисляем значение 3DES ключа от PAN и PGK.
Применяем децимилизацию.
Должно получиться 16 десятичных цифр. По системе, выбираем 4 цифры, которые называются PIN natural
Ищим значение PIN Offset(хранится на магнитной полосе или у банка эмитета.
Значения PIN natural складываются со значением PIN offset
Из всего выше сказанного можно понять, что значение пина полностью определяется значением номера карты и велечиной PIN offset.

На этом мы закончим, скажем так: некоторые банки хранят кое-какие интересные данные на магнитных полосах.;)

ЗЫ: извиняюсь за орфографию, она мне очень тяжело дается)))

Спасибо за внимание.
 
Last edited:
не совсем могу понять.
с полоски можно вырубить(вычитать пин?)
у самого получалось?
 
поддерживаю, пруф или ))))
 
Kartlaus said:
не совсем могу понять.
с полоски можно вырубить(вычитать пин?)
у самого получалось?
Click to expand...
ну как, скажем так, есть бины, у которых данные, нужные для вычисления, хранятся в дампе или есть возможность пробить))

Samson_Lpk said:
источник?
Click to expand...
не вижу смысла называть автора этого мини обзора.

---------- Сообщение добавлено в 20:07 ---------- Предыдущее сообщение размещено в 20:03 ----------
necro said:
поддерживаю, пруф или ))))
Click to expand...
продолжение может и будет...
 
Last edited:
Shimel said:
ну как, скажем так, есть бины, у которых данные, нужные для вычисления, хранятся в дампе или есть возможность пробить))
Click to expand...
когда ты пин-код карты меняешь через бабломет, то дамп тоже меняется ?;)
 
Samson_Lpk said:
когда ты пин-код карты меняешь через бабломет, то дамп тоже меняется ?
Click to expand...

Я тоже об этом подумал, но кто их меняет? Кто вообще знает что его можно поменять?
 
Samson_Lpk said:
когда ты пин-код карты меняешь через бабломет, то дамп тоже меняется ?
Click to expand...
конечно нет. значение PVV может не совпадать с фактическим значением пина, но выполнять такие же функции...
 
с каких это пор пин можно менять в бабломете?
 
завтра пойду гляну, где у сбера функция смены пина)))
 
А я уже было подумал что пина может быть два... Pin natural и тот который меняеться...вообще весь етот д+п такие сказки :rolleyes:
 
Last edited:
Mailer-Daemon said:
А я уже было подумал что пина может быть два... Pin natural и тот который меняеться...
Click to expand...
Pin natural это другая чуть тема... А пинов реально может быть 2а... тот который знает холдер, и тот который пройдет при авторизации в PVV.
При шифровании IBM 3624 нет возможности смена пина.
 
не вижу смысла называть автора этого мини обзора.
Click to expand...
почему? автор мини-обзора твой знакомый с какой-то приват площадки ?
 
Samson_Lpk said:
почему? автор мини-обзора твой знакомый с какой-то приват площадки ?
Click to expand...
да какая разница? главное, чтоб была пища для мозга, а кто её дает, не важно.
 
Shimel said:
да какая разница? главное, чтоб была пища для мозга, а кто её дает, не важно.
Click to expand...
Вай какой ты вумный, накидал тут всего, у %username% попка слипнеться от мыслей о генерике Alt пина...мраки ето все, и заговоры!:D

P.S.: Не говоря уже существовании в наше то бренное времямелких банков и кредит юнионов (те которые динозавры) у которых нет денег на норм антифродовую систему которая бы проверяла подлинность PVV а не тупо сверяла номера щетов )))

P.P.S.:Тему не палил, чур ногами не пинать!
 
Last edited:
Mailer-Daemon said:
P.P.S.:Тему не палил, чур ногами не пинать!
Click to expand...
да тут и палить ничего не надо))) кстать, зависит это от штата, в котором банк находится, чем меньше штат/провинциальнее, тем больше шанс нарваться на не сверку PVV.
 
Shimel said:
да какая разница? главное, чтоб была пища для мозга, а кто её дает, не важно.
Click to expand...
надоел этот цирк! выложил бы линк на автора - было бы больше пользы, а то смотрите вай какой мини-обзор у меня есть (а на самом деле что ты сократил про алгос VISA PVV не показывает реальной сути вещей, а наоборот вводит в заблуждение). и давайте-ка я еще подпишу : "простите за орфографию", намекая на то, что писал сам. или без ошибок скопировать уже не можешь?
Если теоретик - напиши по-чесноку это. А то понтов про какие-то штаты, в которых меньше вероятности нарваться на сверку PVV тут накидал. уже начинает складываться ощущение, что мэн серьезный и по теме плотнячком работает, знает ньюансы, еще немножко и советы начнет давать :D как лучше генерировать пин.

я не знаю почему меня так взбесило поведение тс, но сабж на ориг статью линк hxxp://www.payment-technologies.ru/files/File/publications/zanimatelnye_fakty_plus2009_05.pdf
 
Samson_Lpk said:
надоел этот цирк! выложил бы линк на автора - было бы больше пользы, а то смотрите вай какой мини-обзор у меня есть (а на самом деле что ты сократил про алгос VISA PVV не показывает реальной сути вещей, а наоборот вводит в заблуждение). и давайте-ка я еще подпишу : "простите за орфографию", намекая на то, что писал сам. или без ошибок скопировать уже не можешь?
Если теоретик - напиши по-чесноку это. А то понтов про какие-то штаты, в которых меньше вероятности нарваться на сверку PVV тут накидал. уже начинает складываться ощущение, что мэн серьезный и по теме плотнячком работает, знает ньюансы, еще немножко и советы начнет давать :D как лучше генерировать пин.

я не знаю почему меня так взбесило поведение тс, но сабж на ориг статью линк hxxp://www.payment-technologies.ru/files/File/publications/zanimatelnye_fakty_plus2009_05.pdf
Click to expand...

Без обид, но ты не заметил тонкую грань между теорией и практикой, никто тебе на блюдечьке с каемочкой не приподнесет больше чем сие на практике :rolleyes: так что думай, дерзай, история любит дерзких

А ТС на щет штата не согласен, все зависит скорее от размера бюджета банка и от манагмента. Если хватает бабок и головы чтобы норм систему проверки установить то даже в самой глуши WV пройдет деклайн на генерику))) Алсо, доводилось на практике сталкиваться с довольно серьезного размера банками у которых все еще существует (-ала) такая вот дырка ...но ето было давно и не правда:rolleyes:
 
Last edited:
You must log in or register to reply here.

Similar threads

Tomcat
Платежные симуляторы HSM с открытым исходным кодом
Replies
0
Views
119
Tomcat
Tomcat
Tomcat
Формат отслеживания карт с магнитной полосой
Replies
0
Views
114
Tomcat
Tomcat
Tomcat
Служба транзакций EMV (ARQC/ARPC) (CSNBEAC и CSNEEAC)
Replies
0
Views
414
Tomcat
Tomcat
Cloned Boy
Вопросы и ответы по генерации Track2
Replies
0
Views
178
Cloned Boy
Cloned Boy
Teacher
Anatomy of pin-code encryption or a little about pvv and ibm 3624
Replies
0
Views
573
Teacher
Teacher
Back
Top