EFT
Opção do menu principal: EFT...
Realiza operações relacionadas ao módulo EFT (Electronic Funds Transfer) como importação e exportação de chaves por componentes ou via KEK (Key Encryption Key), além de geração de arquivos CSR (Certificate Signing Request) para uso em ambientes padrão EMV (Europay Mastercard Visa).
Para mais detalhes consulte o tópico EFT.
Aviso
Os métodos genéricos de importação, exportação e geração de CSR estão disponíveis no menu Partição. Consulte os tópicos Importação, Exportação e Atributos para mais informações.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT
1 - Import Key...
2 - Export Key...
3 - EMV CSR
0 - Main Menu
Option:
Import Key
Chaves simétricas podem ser importadas com os seguintes métodos:
-
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.
-
Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final.
Este método normalmente é usado para importação de ZCMK (Zone Control Master Key) utilizada em sistemas de autorização EFT, por exemplo Visa, Mastercard e Elo, onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave dentro do HSM; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.
Os componentes são gerados com operações XOR e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.
O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.
Export Key
Chaves simétricas podem ser exportadas com os seguintes métodos:
Aviso
Nas operações de exportação EFT normalmente a chave de KEKing é uma ZCMK, Zone Control Master Key.
-
Protegidas por KEK, uma chave de cifragem de chave (Key Encryption Key). A KEK pode ser DES ou 3DES.
O método adotado para cálculo do KCV (Key Check Value), assim como o padrão de uso da KEK está descrito no documento VISA Payment Technology Standards Manual, october 2007; Este método pode ser usado para chaves DES e 3DES.
Há 03 opções para o método de KEKing:
-
Raw: a chave usada na operação de KEKing é a própria KEK informada, sem derivação;
-
VISA 1: a chave usada na operação de KEKing é derivada da KEK informada usando o método Variant-1 (um XOR da KEK com
0800000000000000). Este método geralmente é usado no ambiente do Serviço Dynamic Key Exchange (DKE) da VISA. Para detalhes consulte o documento VISA Payment Technology Standards Manual, october 2007. -
JCB: padrão do cartão JCB (JCB Co., Ltd), conforme o documento JCB Key Guide, s/ versão, janeiro 2014.
-
-
Usando o método de 03 componentes, com KCV (Key Check Value) de cada parte e também um KCV final; este método normalmente é usado para exportação de ZPK (Zone PIN Key) para entrada em sistemas de autorização EFT (como sistemas adquirentes ou de rede de captura), onde cada componente é entregue a um custodiante, e somente com a reunião das três partes é possível reconstruir a chave; o conhecimento de dois componentes do ponto de vista criptográfico não traz qualquer informação sobre a chave.
Os componentes são gerados com operações XOR (EXCLUSIVE OR) e partes randômicas, que são depois consumidas e descartadas no momento de reconstrução da chave. O KCV é um valor de seis dígitos hexadecimais obtido com a criptografia de um bloco de zeros com determinada chave; os primeiros seis dígitos do criptograma resultante são o KCV daquela chave, conforme padrão ANSI X9.24.
O processo de geração dos componentes e cálculo do KCV está conforme o documento VISA Payment Technology Standards Manual, october 2007.
Para exportar uma chave
ksão gerados três valores randômicos (p1,p2ep3) de mesmo tamanho quek.Os componentes
P1,P2eP3são calculados como:P1 = p2 xor p3 xor kP2 = p1 xor p3 xor kP3 = p1 xor p2 xor kEstes três componentes são distribuídos aos custodiantes, e no momento da importação é feita o seguinte cálculo, no interior do HSM:
K = P1 xor P2 xor P3Utilizando as propriedades de operação XOR neste processo, o valor calculado de
Ké exatamente o valor dek, a chave originalmente exportada:K=k
Exportação chaves simétricas em componentes
Início:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
*******************************************************************************
* *
* Warning *
* *
* This export procedure will generate three components of the key and the *
* key check values (not actually three parts of the clear text key). *
* It is strongly recommended to designate three different custodians *
* to hold the key components and allow each custodian know only *
* the proper component. *
* *
*******************************************************************************
Key Name (HSM) : zmk
Use JCB format (y/[n]):
Exportable : yes
Press ENTER key to continue...
Parte 1:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Key material Part 1:
F251C80431517F857A3D19078532024001A27C4C1A2A25D5
Key Check Value:
FD4030
Press ENTER key to continue...
Tela entra a parte 1 e a parte 2:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Part 1 exported successfully.
Press ENTER key to continue...
Tela final:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Final Key Check Value:
4D7131
Key exported successfully.
Press ENTER key to continue...
EMV CSR
Requisição de certificados: arquivos CSR (Certificate Signing Request) gerados a partir da assinatura com uma chave privada, para ser enviado a uma Autoridade Certificadora, que fará e emissão do certificado correspondente.
O padrão é o EMV (usado especificamente para solicitação de certificados junto às administradores de cartões VISA e Mastercard) e os padrões suportados são:
-
VISA: conforme o documento Visa Smart Debit/Credit Certification Authority Technical Requirements, version 2.1, december 2005, Amended april 2006.
-
Mastercard: conforme o documento Public Key Infrastructure (PKI) — Certification Authority Interface Specification, january 2005.
-
Elo: conforme o documento Manual da Autoridade Certificadora Elo - Guia do Emissor, versão 1.2, setembro 2011.
-
JCB: conforme o documento JCB CA Interface Guide, s/ versão, janeiro 2014.
Atenção
Atenção quanto ao tamanho do módulo da chave privada; o padrão EMV costuma trabalhar com tamanhos diferentes dos padrões comumente adotados: por exemplo 1152, 1408, 1536, 1976, 1984, 2304, 2560 e 2816 bis.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - EMV CSR
RSA Key Name (HSM) : payk
Type : rsa1984
Temporary : no
Exportable : yes
Encrypted : yes
Blocked : no
Public exponent(hex) : 010001
Key size : 1984 bits
CSR type :
1 - Visa
2 - MasterCard
3 - Elo
4 - JCB
Option : 1
Tracking Number (6) : 123456
Service ID (8) : 12345678
Issuer ID(BIN) (8) : 12345678
Cert. Exp. Date (MMYY) : 1025
File (local) : payk.csr
File exported successfully.
Press ENTER key to continue...
No exemplo acima serão gerados dois arquivos: payk.csr.INP (binário) e payk.csr.hash (texto).