Posts Tagged ‘HSM’

PCI DSS Kart No saklama

Ocak 30, 2019

işletmenize ( third party processing center, banka, ödeme kuruluşu, elektronik para kuruluşu, vs…) PCI DSS sertifikası alacaksanız kart numarasını sisteminizde nasıl saklayacağınız büyük bir dert.

Eğer sisteminizi sıfırdan kuruyorsanız, aşağıdaki yöntem çok temiz bir şekilde çalışıyor.

*Kart numarasını açık-clear bir şekilde hiçbir tabloda tutmayın.

*Kart tablosunda kart no nun HSM de encrypt halini ve hash’li halini tutun

*Diğer tüm tablolarda( provizyon, işyeri tabloları, vs…) her bir kart numarasına atadığınız bir ID değerini kullanın.

*Kart numarasının clear haline erişilmesi zorunlu ise ( takasa çıkılırken, vs…) HSM e gidip, kart numarasının clear halini alın.

*Kart numaraları için sürekli HSM IO’su yapmamak için kart için bir hash üretin, takas yüklerken varlık kontrolü gibi olayları HSM siz halledin.

Kart numaları konusunda, %100 PCI DSS Compliance -Uyumlu olun.

Etiketler:, , ,
PCI DSS kategorisinde yayınlandı | Leave a Comment »

HSM Utility Application – CryptoTool

Şubat 7, 2015

Arge amaçlı geliştirdiğim bir uygulamadan bahsedeceğim.

Uygulama adına CryptoTool dedim.

HSM ler anahtar güvenliğinde rakipsiz cihazlar. Ödeme sistemleri dünyasında güvenliğin bel kemikleri. HSM lerde key üretmek prosedürleri olan bir süreç, üretilen key in ilgili yerlere ulaştırılması bir başka prosedürel bir süreç. Lakin bunlar production için mevzu bahis.
HSM ler Test ortamlarında kısmen daha erişilebilirler. Kısmen diyorum, çünki HSM e Console’dan bağlanmadıktan sonra HSM ile birşeyler yapmak biraz zahmetli.

Bu uygulamanın kilit özelliği “Yeni HSM Komutları” öğrenebilmesi ve HSM de bu komutları çalıştırabilmesi.

Uygulama aşağıdaki 6 komut ile beraber kullanılabilir haldedir.

Kcv Checker, Random Pin Generation, Generate a Card Verification Code/Value ( CVV ), Decrypt an Encrypted PIN, Encrypt a Clear PIN, Generate a Key

Ayar dosyasını bir şekilde bozarsanız yeni ayar dosyasını buradan indirebilirsiniz.Settings.xml(Dikkat dosya uzantısındaki “key” ifadesini kaldırınız.)
Uygulamanın çalışabilmesi için makinanızda .netFramework 4.5 kurulu olmalıdır.
Uygulamanın kaynak kodlarını da paylaşabilirim.
Uygulamayı buradan indirilebilirsiniz. CryptoTool_V1.01.rar(Dikkat dosya uzantısındaki “key” ifadesini kaldırınız.)

Not: Şu an için yalnızca bir Thales Hsm ile denenmiştir. SafeNet hazırlanma aşamasındadır.

 

Uygulamadan bazı ekran görüntüleri aşağıdadır.

Uygulamaya HSM Tanıtma

Hsm Definition

Yeni HSM Komutu Tanımlama

HowExecuteCommand

HSM Komutu Çalıştırma

HsmCommandLearning

Versiyon Geçmişi

v1.00 07-02-2015 First published

v1.01 09-02-2015 A bug is fixed

 

Etiketler:, , , ,
HSM kategorisinde yayınlandı | Leave a Comment »

HSM’ de ZMK Üretmek

Şubat 8, 2012

Aşağıdaki THALES 8000 de Console’dan ZMK üretme ile ilgili küçük bir ekran görüntüsü vardır.
HSM ZMK Üretme

Etiketler:, ,
HSM kategorisinde yayınlandı | Leave a Comment »

Kart Sisteminde Tanımlı KEY ler

Şubat 14, 2010

Key lerin kullanım amacı kısaca;

Kart basımında kullanılanlar, PIN, CVV,  CAVV doğrulamada kullanılanlar,PIN taşımada kullanılanlar ZPK, zone lar arası key taşımada kullanılanlar – ZMK gibi… ve daha bir sürüsü…

Özetle, Keyler mesajlarin, PIN bilgisinin yada PIN i şifreleyen key lerin acik halde (clear olarak) zone’lar arasinda yada POS-Host arasında gidip gelmemesi icin kullanilmaktadirlar.

Bu keyleri birkaç grup altında toplayabiliriz. Host ve Diğer bankalar arasındakiler, Host ve POS ları arasındakiler, Kart basımda kullanılan key ler gibi.

Bazı key lerin açıklamaları;

CVV2/CVC2/CID:  Kartınızın arka yüzündeki numaranın son 3 rakamı ( güvenlik kodu, cvv kodu, Card verification code: CVC ya da Card verification value: CVV  ) oluşturulurken kullanılan anahtar türüdür.
LMK: Local master key. HSM den herhangi bir key talep edildiginde bu key LMK altinda verilir. Bu key yanlizca HSM tarafindan bilinir ve kullanillir. Bu key clear halini kimse bilmez. HSM e LMK ürettirildiğinde bu key ler fiziksel kartlarda saklanırlar. Bu kartlar ki bunlara key componenet leride denmektedir, HSM i Auth moda almada, HSM herhangi bir sebeple üzerindeki LMK yı uçurduğunda, HSM e aynı LMK yı tekrar yüklemek için kullanılılar.
ZPK: Zone PIN key. Zone lar arasinda bir PIN bilgisi transfer edilmek istendiginde bu key once ZPK altinda gönderilir. Açılımı ZONE PIN KEY dir. Mesela BKM den bir işlem geldiğinde işlemde PIN bilgiside gelecekse F52 deki bu bilgi ZPK altındadır.
ZMK:Zone Master Key.  Bir key’i ortamlar arsında taşımak için kullanılan başka bir key. Mesela bir ZPK değişimi yapılacak. Clear ZPK, bulutta açık bir şekilde taşınmaz. Bu key ZMK gibi bir key altında taşınır ve key güvenliği için ekstra bir süreç işletilir.

TPK: Termianl PIN Key; POS bir PIN bilisi gönderecekse  bu PIN i TPK altında şifreleyerek gönderir.
TMK: Terminal Master Key; Farklı şekilde kullanım alanları olmakla beraber aşağıdaki kullanım şekli sadece bir örnektir. POS la bir TMK Exchange i yapmak istediğinizde, POS a bu TPK yı TMK altında gönderirsiniz. POS la daha önceden TMK paylaşımı yapmışsınızdır ve POS TMK altındaki TPK yı kolayca elde edebilir.
MEC: Message Encrytion Key; POS isterse bir mesajı üzerinde tanımlı MEC ile şifreleyerek gönderebilir. Bu MEC key, bütün poslarınız için aynı olmakla beraber, her pos için özel de olabilir.

AC:Application Cryptogram; Kart tarafında hard code bilenen ( perso esnasınd karta çakılan) ARQC üretmek/doğrulamak, ARPC doğrulamak/üretmek için Kart ve HOST kullanılan keydir. Mesela Kart ISSUER un kartı basarken  kullandığı AC keyi ile bir ARQC verisi üretir. Ve bir veri sayesinde o karta özel kimlik oluşur. İşlem host a geldiğinde, HOST bu ARQC yi aynı AC key i ile doğrulayama çalışır, kartın kendi kartı olduğunu teyit eder, kartı doğrular, ARPC üretir. Bu ARPC de kart tarafından doğrulanır.

Burada iki önemli key daha var. MAC ve ENC keyleri. Gene bu key lerde kart basım esnasında karta çakılırlar ve sonradan değiştirilemezler.

Etiketler:, , , , ,
HSM kategorisinde yayınlandı | 3 Comments »

HSM Temel Bilgi

Ocak 15, 2010

Kredi kartı sisteminde çok önemli bir yeri olan ve güvenli key üretmenin ana unsuru olan HSM cihazları ile ilgili son derece özet ve yeterli bir bilgi bulabileceğiniz bir site.

http://www.jpos.org/wiki/HSM_basics

Kendi bilgi dağarcığımdan bir kaç not; Thaless 8000 e özel ve genel bilgiler;

1.HSM ler üzerlerinde key tutmazlar. Yada  ürettikleri herhangi bir veriyide tutmazlar, cvv gibi… HSM yanlızca kendi LMK sını bilir.

2.İstendiği zaman key üretirler. Ürettikleri key ide gene üzerinde tutmazlar.

3.Kendi ürettikleri key ile şifrelenmiş bir veriyi doğrulayabilirler.

4.HMS ler key dış dünyaya kendi LMK ları altında verirler.

5.THALES ve Safenet HSM leri benim kullanıklarım v bilgidiğim türden HSM üretici firmalardır.

6.THALES key üretirken, amaç sorgulaması yapar. Yani ürettilen key i belli bir amaç için üretir. Mesela CVV key i, AC , MAC yda ENC keyi ni özel olarak üretir.

7.Safenet key üretiminde bu amacı sorgulamaz. Safenet e ürettirdiğiniz key e siz bir anlam yüklersiniz. Safenet sie ürettiği key için bir ID verir ve bu ID ile bu key kullanılmay abaşlanır.

Etiketler:,
HSM kategorisinde yayınlandı | Leave a Comment »