EFT
Opção do menu principal: 40 - EFT...
Realiza operações relacionadas ao módulo EFT (Electronic Funds Transfer) como importação e exportação de chaves por componentes ou via KEK (Key Encryption Key), além de geração de arquivos CSR (Certificate Signing Request) para uso em ambientes padrão EMV (Europay Mastercard Visa).
Para mais detalhes consulte o tópico EFT.
Os métodos genéricos de importação, exportação e geração de CSR estão disponíveis no menu Partição. Consulte os tópicos Importação, Exportação e Atributos para mais informações.
Import Key
Chaves simétricas podem ser importadas com os seguintes métodos:
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.
Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final.
Este método normalmente é usado para importação de ZCMK (Zone Control Master Key) utilizada em sistemas de autorização EFT, por exemplo Visa, Mastercard e Elo, onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave dentro do HSM; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.
Os componentes são gerados com operações XOR e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.
O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.
Export Key
Chaves simétricas podem ser exportadas com os seguintes métodos:
Nas operações de exportação EFT normalmente a chave de KEKing é uma ZCMK, Zone Control Master Key.
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.
O método adotado para cálculo do KCV (Key Check Value), assim como o padrão de uso da KEK está descrito no documento VISA Payment Technology Standards Manual, october 2007; Este método pode ser usado para chaves DES e 3DES.
Há 03 opções para o método de KEKing:
Raw: a chave usada na operação de KEKing é a própria KEK informada, sem derivação;
VISA 1: a chave usada na operação de KEKing é derivada da KEK informada usando o método Variant-1 (um XOR da KEK com
0800000000000000
). Este método geralmente é usado no ambiente do Serviço Dynamic Key Exchange (DKE) da VISA. Para detalhes consulte o documento VISA Payment Technology Standards Manual, october 2007.JCB: padrão do cartão JCB (JCB Co., Ltd), conforme o documento JCB Key Guide, s/ versão, janeiro 2014.
Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final; este método normalmente é usado para exportação de ZPK (Zone PIN Key) para entrada em sistemas de autorização EFT (como sistemas adquirentes ou de rede de captura), onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.
Os componentes são gerados com operações XOR (EXCLUSIVE OR) e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.
O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.
Para exportar uma chave
k
são gerados três valores randômicos (p1
,p2
ep3
) de mesmo tamanho quek
.Os componentes
P1
,P2
eP3
são calculados como:P1 = p2 xor p3 xor k
P2 = p1 xor p3 xor k
P3 = p1 xor p2 xor k
Estes três componentes são distribuídos aos custodiantes, e no momento da importação é feita o seguinte cálculo, no interior do HSM:
K = P1 xor P2 xor P3
Utilizando as propriedades de operação XOR neste processo, o valor calculado de
K
é exatamente o valor dek
, a chave originalmente exportada:K
=k
Exportação chaves simétricas em componentes
Início:
Parte 1:
Tela entra a parte 1 e a parte 2:
Tela final:
EMV CSR
Requisição de certificados: arquivos CSR (Certificate Signing Request) gerados a partir da assinatura com uma chave privada, para ser enviado a uma Autoridade Certificadora, que fará e emissão do certificado correspondente.
O padrão é o EMV (usado especificamente para solicitação de certificados junto às administradores de cartões VISA e Mastercard) e os padrões suportados são:
VISA: conforme o documento Visa Smart Debit/Credit Certification Authority Technical Requirements, version 2.1, december 2005, Amended april 2006.
Mastercard: conforme o documento Public Key Infrastructure (PKI) — Certification Authority Interface Specification, january 2005.
Elo: conforme o documento Manual da Autoridade Certificadora Elo - Guia do Emissor, versão 1.2, setembro 2011.
JCB: conforme o documento JCB CA Interface Guide, s/ versão, janeiro 2014.
Atenção quanto ao tamanho do módulo da chave privada; o padrão EMV costuma trabalhar com tamanhos diferentes dos padrões comumente adotados: por exemplo 1152, 1408, 1536, 1976, 1984, 2304, 2560 e 2816 bis.
No exemplo acima serão gerados dois arquivos: payk.csr.INP
(binário) e payk.csr.hash
(texto).
Atualizado