EFT
Opción del menú principal: EFT...
Realiza operaciones relacionadas con el módulo EFT(Electronic Funds Transfer), como la importación y exportación de claves por componente o a través de KEK(Key Encryption Key), así como la generación de ficheros CSR(Certificate Signing Request) para su uso en entornos estándar EMV(Europay Mastercard Visa).
Para más información EFT.
Advertencia
Los métodos genéricos para importar, exportar y generar CSRs están disponibles en el menú Partición. Consulte los temas Importación, Exportación y Atributos para obtener más información.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT
1 - Import Key...
2 - Export Key...
3 - EMV CSR
0 - Main Menu
Option:
Clave de importación
Las claves simétricas pueden importarse utilizando los siguientes métodos:
-
Protegido por KEK, unaclave de cifrado. La KEK puede ser DES o 3DES.
-
Utilizando el método de 03 componentes, con KCV(Key Check Value) para cada parte y también un KCV final.
Este método se utiliza normalmente para importar ZCMK(Zone Control Master Key) utilizadas en los sistemas de autorización EFT, por ejemplo Visa, Mastercard y Elo, donde cada componente se entrega a un custodio, y sólo reuniendo las tres partes es posible reconstruir la clave dentro del HSM; el conocimiento de dos componentes desde un punto de vista criptográfico no proporciona ninguna información sobre la clave.
Los componentes se generan con operaciones XOR y partes aleatorias, que luego se consumen y descartan cuando se reconstruye la clave. El KCV es un valor hexadecimal de seis dígitos que se obtiene cifrando un bloque de ceros con una clave determinada; los seis primeros dígitos del criptograma resultante son el KCV de esa clave, según la norma ANSI X9.24.
El proceso de generación de los componentes y de cálculo del KCV se ajusta al Manual de Normas de Tecnología de Pagos de VISA, octubre de 2007.
Clave de exportación
Las claves simétricas pueden exportarse utilizando los siguientes métodos:
Advertencia
En las operaciones de exportación de EFT, la clave KEKing suele ser una ZCMK, Clave Maestra de Control de Zona.
-
Protegido por KEK, unaclave de cifrado. La KEK puede ser DES o 3DES.
El método utilizado para calcular el KCV(Key Check Value), así como la norma para utilizar el KEK, se describen en el VISA Payment Technology Standards Manual, octubre de 2007; este método puede utilizarse para claves DES y 3DES.
Existen 03 opciones para el método KEKing:
-
Cruda: la clave utilizada en la operación de KEKing es la propia KEK, sin derivación;
-
VISA 1: la clave utilizada en la operación de KEKing se deriva de la KEK introducida utilizando el método Variant-1 (un XOR de KEK con
0800000000000000). Este método se utiliza generalmente en el entorno del Servicio de Intercambio Dinámico de Claves (DKE) de VISA. Para más detalles, véase el VISA Payment Technology Standards Manual, octubre de 2007. -
JCB: Estándar de tarjeta JCB(JCB Co., Ltd), según el documento JCB Key Guide, s/versión, enero de 2014.
-
-
Utilizando el método de 03 componentes, con un KCV(Key Check Value) para cada parte y también un KCV final; este método se utiliza normalmente para exportar ZPK(Zone PIN Key) para su introducción en sistemas de autorización de EFT (como sistemas de red de adquisición o captura), donde cada componente se entrega a un custodio, y sólo reuniendo las tres partes es posible reconstruir la clave; el conocimiento de dos componentes desde un punto de vista criptográfico no proporciona ninguna información sobre la clave.
Los componentes se generan con operaciones XOR (OR EXCLUSIVO) y partes aleatorias, que luego se consumen y descartan cuando se reconstruye la clave. El KCV es un valor hexadecimal de seis dígitos que se obtiene cifrando un bloque de ceros con una clave determinada; los seis primeros dígitos del criptograma resultante son el KCV de esa clave, según la norma ANSI X9.24.
El proceso de generación de los componentes y de cálculo del KCV se ajusta al Manual de Normas de Tecnología de Pagos de VISA, octubre de 2007.
Para exportar una clave
k, se generan tres valores aleatorios(p1,p2yp3) del mismo tamaño quek.Los componentes
P1,P2yP3se calculan como:P1 = p2 xo p3 xo kP2 = p1 xor p3 xor kP3 = p1 xor p2 xor kEstos tres componentes se distribuyen a los custodios, y en el momento de la importación se realiza el siguiente cálculo dentro del HSM:
K = P1 xo P2 xo P3Utilizando las propiedades de la operación XOR en este proceso, el valor calculado de
Kes exactamente el valor dek, la clave exportada originalmente:K=k
Exportar claves simétricas en componentes
En casa:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
*******************************************************************************
* *
* Warning *
* *
* This export procedure will generate three components of the key and the *
* key check values (not actually three parts of the clear text key). *
* It is strongly recommended to designate three different custodians *
* to hold the key components and allow each custodian know only *
* the proper component. *
* *
*******************************************************************************
Key Name (HSM) : zmk
Use JCB format (y/[n]):
Exportable : yes
Press ENTER key to continue...
Primera parte:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Key material Part 1:
F251C80431517F857A3D19078532024001A27C4C1A2A25D5
Key Check Value:
FD4030
Press ENTER key to continue...
La pantalla entra en la parte 1 y en la parte 2:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Part 1 exported successfully.
Press ENTER key to continue...
Pantalla final:
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - Export Key - Key Components
Key Name (HSM) : zmk
Exportable : yes
Final Key Check Value:
4D7131
Key exported successfully.
Press ENTER key to continue...
EMV CSR
Solicitud de certificado: ficheros CSR(Certificate Signing Request) generados a partir de la firma con clave privada, para ser enviados a una Autoridad de Certificación, que emitirá el certificado correspondiente.
El estándar es EMV (utilizado específicamente para solicitar certificados a los administradores de VISA y Mastercard) y los estándares soportados son:
-
VISA: según el documento Visa Smart Debit/Credit Certification Authority Technical Requirements, versión 2.1, diciembre de 2005, modificado en abril de 2006.
-
Mastercard: según el documento Public Key Infrastructure (PKI) - Certification Authority Interface Specification, enero de 2005.
-
Elo: según el documento Elo Certificate Authority Manual - Issuer's Guide, versión 1.2, septiembre de 2011.
-
JCB: según el documento JCB CA Interface Guide, s/versión, enero de 2014.
Atención
Preste atención al tamaño del módulo de clave privada; la norma EMV suele trabajar con tamaños diferentes a los comúnmente adoptados: por ejemplo 1152, 1408, 1536, 1976, 1984, 2304, 2560 y 2816 bis.
Dinamo - Remote Management Console v. 4.7.12.3 2018 (c) Dinamo Networks
HSM 127.0.0.1 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - EFT - EMV CSR
RSA Key Name (HSM) : payk
Type : rsa1984
Temporary : no
Exportable : yes
Encrypted : yes
Blocked : no
Public exponent(hex) : 010001
Key size : 1984 bits
CSR type :
1 - Visa
2 - MasterCard
3 - Elo
4 - JCB
Option : 1
Tracking Number (6) : 123456
Service ID (8) : 12345678
Issuer ID(BIN) (8) : 12345678
Cert. Exp. Date (MMYY) : 1025
File (local) : payk.csr
File exported successfully.
Press ENTER key to continue...
En el ejemplo anterior, se generarán dos archivos: payk.csr .INP (binario) y payk.csr.hash (texto).