Opção do menu principal: 40 - EFT...

Realiza operações relacionadas ao módulo EFT (Electronic Funds Transfer) como importação e exportação de chaves por componentes ou via KEK (Key Encryption Key), além de geração de arquivos CSR (Certificate Signing Request) para uso em ambientes padrão EMV (Europay Mastercard Visa).

Para mais detalhes consulte o tópico EFT.

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT



 1 - Import Key...
 2 - Export Key...
 3 - EMV CSR













 0 - Main Menu

Option:

Import Key

Chaves simétricas podem ser importadas com os seguintes métodos:

1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.

2. Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final.

   Este método normalmente é usado para importação de ZCMK (Zone Control Master Key) utilizada em sistemas de autorização EFT, por exemplo Visa, Mastercard e Elo, onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave dentro do HSM; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.

   Os componentes são gerados com operações XOR e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.

   O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.

Export Key

Chaves simétricas podem ser exportadas com os seguintes métodos:

1. Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.

   O método adotado para cálculo do KCV (Key Check Value), assim como o padrão de uso da KEK está descrito no documento VISA Payment Technology Standards Manual, october 2007; Este método pode ser usado para chaves DES e 3DES.

   Há 03 opções para o método de KEKing:

   1. Raw: a chave usada na operação de KEKing é a própria KEK informada, sem derivação;

   2. VISA 1: a chave usada na operação de KEKing é derivada da KEK informada usando o método Variant-1 (um XOR da KEK com 0800000000000000). Este método geralmente é usado no ambiente do Serviço Dynamic Key Exchange (DKE) da VISA. Para detalhes consulte o documento VISA Payment Technology Standards Manual, october 2007.

   3. JCB: padrão do cartão JCB (JCB Co., Ltd), conforme o documento JCB Key Guide, s/ versão, janeiro 2014.

2. Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final; este método normalmente é usado para exportação de ZPK (Zone PIN Key) para entrada em sistemas de autorização EFT (como sistemas adquirentes ou de rede de captura), onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.

   Os componentes são gerados com operações XOR (EXCLUSIVE OR) e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.

   O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.

   Para exportar uma chave k são gerados três valores randômicos (p1, p2 e p3) de mesmo tamanho que k.

   Os componentes P1, P2 e P3 são calculados como:

   P1 = p2 xor p3 xor k

   P2 = p1 xor p3 xor k

   P3 = p1 xor p2 xor k

   Estes três componentes são distribuídos aos custodiantes, e no momento da importação é feita o seguinte cálculo, no interior do HSM:

   K = P1 xor P2 xor P3

   Utilizando as propriedades de operação XOR neste processo, o valor calculado de K é exatamente o valor de k, a chave originalmente exportada:

   K = k

Exportação chaves simétricas em componentes

Início:

Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT - Export Key - Key Components

*******************************************************************************
*                                                                             *
*                                   Warning                                   *
*                                                                             *
*   This export procedure will generate three components of the key and the   *
*     key check values (not actually three parts of the clear text key).      *
*     It is strongly recommended to designate three different custodians      *
*        to hold the key components and allow each custodian know only        *
*                            the proper component.                            *
*                                                                             *
*******************************************************************************


Key Name (HSM) : zmk
Use JCB format (y/[n]):
Exportable : yes


Press ENTER key to continue...

Parte 1:

Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT - Export Key - Key Components

Key Name (HSM) : zmk
Exportable : yes

Key material Part 1:

F251C80431517F857A3D19078532024001A27C4C1A2A25D5

Key Check Value:

FD4030


Press ENTER key to continue...

Tela entra a parte 1 e a parte 2:

Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT - Export Key - Key Components

Key Name (HSM) : zmk
Exportable : yes


Part 1 exported successfully.




Press ENTER key to continue...

Tela final:

Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT - Export Key - Key Components

Key Name (HSM) : zmk
Exportable : yes


Final Key Check Value:

4D7131


Key exported successfully.

Press ENTER key to continue...

EMV CSR

Requisição de certificados: arquivos CSR (Certificate Signing Request) gerados a partir da assinatura com uma chave privada, para ser enviado a uma Autoridade Certificadora, que fará e emissão do certificado correspondente.

O padrão é o EMV (usado especificamente para solicitação de certificados junto às administradores de cartões VISA e Mastercard) e os padrões suportados são:

1. VISA: conforme o documento Visa Smart Debit/Credit Certification Authority Technical Requirements, version 2.1, december 2005, Amended april 2006.

2. Mastercard: conforme o documento Public Key Infrastructure (PKI) — Certification Authority Interface Specification, january 2005.

3. Elo: conforme o documento Manual da Autoridade Certificadora Elo - Guia do Emissor, versão 1.2, setembro 2011.

4. JCB: conforme o documento JCB CA Interface Guide, s/ versão, janeiro 2014.

Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks

HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - EFT - EMV CSR

RSA Key Name (HSM) : payk

                  Type : rsa1984
             Temporary : no
            Exportable : yes
             Encrypted : yes
               Blocked : no

  Public exponent(hex) : 010001
              Key size : 1984 bits

CSR type :
 1 - Visa
 2 - MasterCard
 3 - Elo
 4 - JCB
Option : 1
Tracking Number (6) : 123456
Service ID (8) : 12345678
Issuer ID(BIN) (8) : 12345678
Cert. Exp. Date (MMYY) : 1025
File (local) : payk.csr

File exported successfully.

Press ENTER key to continue...

No exemplo acima serão gerados dois arquivos: payk.csr.INP (binário) e payk.csr.hash (texto).