NET API
HSM Dinamo
|
Operaciones de transferencia electrónica de fondos.
Las API del módulo EFT(Electronic Funds Transfer) están destinadas a las operaciones de autenticación de usuarios y verificación de identidad en las transacciones de Visa y Mastercard.
Por lo general, la identidad del usuario de la tarjeta puede verificarse de dos maneras:
Las normas adoptadas se ajustan al Manual de Normas de Tecnología de Pagos de Visa (octubre de 2007).
En términos generales, el proceso de transferencia de fondos con tarjeta sigue el flujo de la figura siguiente. En el proceso intervienen varios actores. El titular de la tarjeta la presenta al minorista (minorista/comerciante), la autenticidad del titular de la tarjeta puede verificarse mediante un PIN, que el titular introduce en la estación del minorista (por ejemplo, un terminal de punto de venta). A partir de ahí, el PIN se encripta (se genera un Bloque PIN) y los datos de la transacción se envían a un proveedor de servicios de pago electrónico contratado por el comerciante (Adquirente), que a su vez envía los datos a la correspondiente red de tarjetas, según la marca de tarjeta utilizada por el titular, y de ahí se envían al emisor de la tarjeta, que dispone de los datos de identificación, crédito y otros sobre el titular y mantiene un contrato con el titular para el uso del servicio. Tras analizar los datos de la transacción, en términos de registro, crédito y autenticación, entre otros, el emisor puede autorizar o rechazar la transacción, y este mensaje de respuesta viaja en sentido contrario.
Desde el punto de vista de las claves de cifrado utilizadas en el proceso, éste se muestra en la figura siguiente. Cada actor conserva sus propias claves, y cada vez que un mensaje cifrado debe pasar de un actor a otro, hay que traducir el cifrado, es decir, utilizar la clave correspondiente del actor que debe descifrar el mensaje.
Pueden utilizarse variaciones o simplificaciones del esquema anterior, por ejemplo, cuando una misma entidad desempeña más de una función, o existe una comunicación directa del adquirente con el emisor, como puede ocurrir en determinadas operaciones de débito.
Acerca de la compatibilidad con los algoritmos del protocolo 3-D Secure:
HSM Dinamo implementa algoritmos criptográficos que soportan el protocolo 3-D Secure, desarrollado por Visa. Los servicios Verified by Visa de Visa y Secure Code de Mastercard son ofrecidos por marcas basadas en este protocolo. HSM implementa los algoritmos criptográficos de verificación de tarjetas que soportan el protocolo y los servicios, permitiendo al usuario de HSM generar y verificar códigos, CVC2 (Card Verification Code 2) y HMAC SHA1 en el caso de Mastercard (Secure Payment Application Algorithm) y CAVV (Cardholder Authentication). Valor de Verificación, CVV2 con método ATN) en el caso de Visa.
El HSM es compatible con los mecanismos de autenticación CAP (Visa) y DPA (Mastercard).
El HSM ofrece soporte para la carga/transporte remoto de claves ATM mediante funcionalidades criptográficas basadas en funciones RSA y X.509.
La aplicación del HSM cumple las normas definidas en la documentación que se indica a continuación:
EMVCo
Visa
Mastercard
Enlace
JCB
Otros
Existen tres formas de generar y verificar el CVV(valor de verificación de la tarjeta) en el HSM:
La clave utilizada para la generación del CVV y los cálculos de verificación se denomina CVK(Card Verification Key). Esta clave es interna al HSM, la aplicación sólo tiene que introducir su nombre de clave (id). Físicamente, es una clave 3DES de 112 bits, que corresponde a dos claves DES de 56 bits.
La figura siguiente ilustra los diagramas de generación y comprobación de CVV, iCVV y CVV2.
El HSM funciona generando PINs (Números de Identificación Personal) mediante un mecanismo de derivación, basado en una clave interna llamada PGK(Clave de Generación de PIN). Esta forma de generación presenta varias ventajas, especialmente en comparación con el método de generación de PINs con valores aleatorios, ya que no requiere el uso de una base de datos para su validación (con la probable exposición de datos sensibles) y además mantiene tanto el proceso de generación como el de validación más seguros, al realizarse internamente al HSM.
El estándar utilizado para generar el PIN por el HSM es el IBM 3624, que utiliza compensaciones para que el PIN pueda ser modificado por el usuario o el emisor de la tarjeta. Para mitigar los ataques de decimalización y verificación, el HSM utiliza una tabla de conversión interna que no se expone a la aplicación. Como factor de seguridad adicional, se utiliza una clave 3DES de 168 bits en lugar de una clave 3DES de 112 bits; no hay interferencias en el funcionamiento del algoritmo, ya que las claves DES y 3DES utilizan bloques de entrada y salida del mismo tamaño.
Se definen tres modos de generación de PIN por derivación:
No hay gestión de reglas de negocio para PINs generados dentro del HSM; esta función debe ser llevada a cabo por la aplicación llamante.
Los algoritmos de generación mediante el estándar IBM 3624 se muestran en los siguientes diagramas.
Para que el usuario(titular de la tarjeta) pueda seleccionar su propio PIN, en el método IBM 3624 se utiliza un desplazamiento del PIN, de modo que se requieren dos nuevas entradas, el PIN establecido por el usuario y una comprobación de 4 bits de longitud. La operación de desplazamiento se realiza después de los pasos del algoritmo IBM 3624 mostrados anteriormente. Esto permite que el proceso interno del HSM valide el PIN, aunque el usuario defina un PIN diferente al generado inicialmente por el HSM.
Las operaciones PIN BlockTranslate funcionan con dos claves, una de origen y otra de destino; existe una fase intermedia para compatibilizar, si es posible, el formato de entrada con el de salida. Hay determinados formatos de bloque que no son interoperables, ya sea porque no hay datos para la conversión o por una restricción de la norma.
El modo de traducción por defecto del HSM consiste en traducir el bloque de entrada al formato ISO PIN Block Format 0. En el modo de traducción automática, la conversión se realiza de forma opaca, convirtiendo del bloque con la clave de origen al bloque con la clave de destino, sin analizar el formato ni el contenido del bloque.
Cuando se verifica un Bloque PIN, tienen lugar dos operaciones clave: primero se descifra el Bloque PIN con la PTK(Clave de Transporte PIN), se extrae el PIN del Bloque PIN descifrado, y luego se verifica el PIN utilizando la PGK(Clave de Generación PIN, la misma clave utilizada para generar el PIN original). Esta verificación puede realizarse con o sin el uso de un desplazamiento; este desplazamiento del PIN no forma parte del Bloque PIN y no está cifrado por la PTK. El formato de bloque PIN esperado es el formato ISO PIN Block Format 0 (equivalente a ANSI PIN Block Format 0 y VISA PIN Block Format 1).
DUKPT(Derived Unique Key Per Transaction) es una forma de utilizar claves únicas por transacción, derivadas de una clave fija, y este proceso se define en ANSI X9.24 parte 1.
El KSN(Key Serial Number) es el identificador de una clave de transacción y se divide en partes como: KSI(Key Set ID), TRSM(Tamper Resistant Security Module), POS(Point of Sale) identificador también conocido como DID(Device ID) y el CTR(Transaction Counter).
HSM utiliza las partes de KSN separadas en KSI y DID + CTR, cada una de las cuales contiene 5 bytes.
Los pasos del proceso de utilización de DUKPT son, en cada extremo de la comunicación:
En el punto de venta:
En HSM:
Se trata de un proceso de envoltura/_desenvoltura_ con protección de la confidencialidad y la integridad de las claves y los datos asociados, definido en el documento ASC X9 TR 31-2018.
KBPK(Key Block Protection Key) es la clave de derivación utilizada para derivar las claves de cifrado y autenticación. Esta clave sólo se utiliza para la derivación. También se conoce como KWK (Key Wrapping Key). Se almacena en el HSM.
KBEK(Key Block Encryption Key) es la clave derivada de KBPK y utilizada únicamente para el cifrado de bloque de claves. Se genera con cada operación de envoltura/desenvoltura y no se almacena de forma persistente en el HSM.
KBAK(Key Block Authentication Key) es la clave derivada de KBPK y utilizada únicamente para calcular la MAC de la clave klock. Se genera con cada operación de envoltura/desenvoltura y no se almacena de forma persistente en el HSM.
KDID(Key Derivation Input Data) son los datos utilizados para derivar las claves KBEK y KBAK. Contiene datos como: contador, indicador de uso de clave, indicador de algoritmo y tamaño. Varía en función del método de derivación utilizado, la clave que debe derivarse y otros parámetros.
La derivación de las claves KBEK y KBAK utiliza CMAC con los datos de entrada de derivación de claves (específicos de cada clave derivada) y la clave KBPK como entrada.
El bloque Clave contiene los datos de la clave exportada. Este bloque se divide en 3 partes:
Estructuras de datos | |
clase | DinamoClient.PinComponentes |
Clase que encapsula los componentes de generación de PIN. Más... | |
Enumeraciones | |
enum | GenPINOperation : UInt32 { DEFAULT_PIN = DinamoApi.GP_DEFAULT_PIN , USER_DEF_PIN = DinamoApi.GP_USER_DEF_PIN , RANDOM_PIN = DinamoApi.GP_RANDOM_PIN } |
Opciones de funcionamiento del PIN. Más... | |
Funciones | |
cadena | GenBDKName (byte[] pbKSI) |
Genera el nombre del BDK a partir de un KSI (Key Serial Identification). | |
cadena | GenBDKName (byte[] pbKSI, uint dwParam) |
Genera el nombre del BDK a partir de un KSI (Key Serial Identification). | |
cadena | GenDUKPT (byte[] pbKSI, byte[] pbDID_CTR, uint dwParam) |
Genera una clave DUKPT dentro del HSM utilizando un KSI (Key Serial Identification), un DID (Device ID) y un CTR (Transaction Counter) del mismo KSN (Key Serial Number). | |
cadena | GenCVV (cadena keyId, cadena pan, cadena expirationDate, cadena serviceCode) |
Genera un CVV (Card Verification Value), CVV2 o iCVV utilizando una clave dentro del HSM. Esta API también puede utilizarse para generar códigos de verificación de tarjeta compatibles con el protocolo 3-D Secure. En el caso de Visa, el servicio que implementa el protocolo es Verified by Visa, y el HSM es compatible con el estándar CAVV (Cardholder Authentication Verification Value, que es CVV2 con método ATN). En el caso de Mastercard, el protocolo 3-D Secure se implementa en el servicio SecureCode, y el HSM soporta los estándares CVC2 (Card Verification Code 2) y HMAC SHA1. | |
bool | VerifyCVV (cadena keyId, cadena pan, cadena expirationDate, cadena serviceCode, cadena cvv) |
Verifica un CVV (Card Verification Value), CVV2 o iCVV utilizando una clave dentro del HSM. La API también puede utilizarse para verificar códigos de verificación de tarjetas compatibles con el protocolo 3-D Secure. Consulte más detalles en la API GenCVV(). | |
PinComponents | GenPIN (cadena pgk, cadena pan, operación GenPINO, int pinLen, cadena inPin) |
Realiza operaciones de generación de PIN basadas en los datos PAN (Personal Account Number) y PGK (Key Name) introducidos, con o sin el uso de offset. | |
bool | VerifyPINBlock (cadena ptk, cadena pgk, cadena pan, cadena offset, byte[] pinblock) |
Comprueba la validez de un PIN en un Bloque PIN. Primero se extrae el PIN del Bloque PIN con la clave PTK, y luego se verifica con la clave PGK, la misma que se utilizó para generar el PIN, con la función GenPIN(). | |
byte[] | ExportTR31 (string kbpk, string key, EftExportUsage usage, EftExportMode mode, EftExportExpType exp) |
Exporta una clave en formato TR-31 según la norma ASC X9 TR 31-2018. | |
void | ImportTR31 (string kbpk, string key, bool isExportable, bool isTemporary, byte[] keyBlock) |
Importe una clave en formato TR-31 según la norma ASC X9 TR 31-2018. | |
enum GenPINOperation: UInt32 |
Opciones de funcionamiento del PIN.
Enumeradores | |
---|---|
DEFAULT_PIN | |
USER_DEF_PIN | |
RANDOM_PIN |
|
en línea |
Genera el nombre del BDK a partir de un KSI (Key Serial Identification).
pbKSI | Buffer de tamaño MIN_KSI_LEN que contiene el KSI. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Genera el nombre del BDK a partir de un KSI (Key Serial Identification).
pbKSI | Buffer de tamaño MIN_KSI_LEN que contiene el KSI. |
dwParam | Reservado para uso futuro. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Genera una clave DUKPT dentro del HSM utilizando un KSI (Key Serial Identification), un DID (Device ID) y un CTR (Transaction Counter) del mismo KSN (Key Serial Number).
pbKSI | Buffer de tamaño MIN_KSI_LEN que contiene el KSI. |
pbDID_CTR | Buffer de tamaño MIN_CTR_LEN que contiene el DID y el CTR (últimos 05 bytes del KSN). |
dwParam | Indicadores de operación según la tabla siguiente. NEW_DUKPT_MODE_DUK : Genera una clave DUK (clave única derivada) estándar de acuerdo con el manual ISO X9.24-1-2004. NEW_DUKPT_MODE_PEK : Genera una clave PEK (Clave de cifrado PIN) según el manual ISO X9.24-1-2004 A aplicando el XOR de la máscara 0000 0000 0000 FF00 a las partes de la clave. NEW_DUKPT_MODE_MEK : Genera una clave MEK (MAC Encryption Key) según la norma ISO X9.24-1-2004 A manual aplicando el XOR de la máscara 0000 0000 0000 00FF a las partes de la clave. NEW_DUKPT_MODE_DE : Diversifica la clave generada en formato de Cifrado de Datos. Aplica un XOR de la máscara 0000 0000 00FF 0000 0000 00FF 0000 a la clave DUKPT generada, cifra la clave izquierda del DUKPT utilizando el DUKPT generado y repite el cifrado con la clave derecha. Tras esta operación, une las partes izquierda y derecha cifradas para formar la clave de cifrado de datos. Como se describe en el MANUAL DE USUARIO IDTECH SecureMag Encrypted MagStripe Reader (80096504-001 RevL 06/19/14). Debe utilizarse en combinación (mediante la operación OR) con uno de los indicadores: NEW_DUKPT_MODE_DUK, NEW_DUKPT_MODE_PEK o NEW_DUKPT_MODE_MEK NEW_DUKPT_MODE_EXP : Genera una clave DUKPT exportable. Se trata de un indicador de atributo y debe utilizarse en combinación con otros indicadores. Utilícelo sólo si es necesario. NEW_DUKPT_MODE_TMP : Genera una clave DUKPT temporal. Se trata de un indicador de atributo y debe utilizarse en combinación con otros indicadores. NEW_DUKPT_MODE_IPEK : Genera una clave IPEK (Initially Loaded PIN Entry Device Key) de acuerdo con el manual ISO X9.24-1-2004 A-6. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Genera un CVV (Card Verification Value), CVV2 o iCVV utilizando una clave dentro del HSM. Esta API también puede utilizarse para generar códigos de verificación de tarjeta compatibles con el protocolo 3-D Secure. En el caso de Visa, el servicio que implementa el protocolo es Verified by Visa, y el HSM es compatible con el estándar CAVV (Cardholder Authentication Verification Value, que es CVV2 con método ATN). En el caso de Mastercard, el protocolo 3-D Secure se implementa en el servicio SecureCode, y el HSM soporta los estándares CVC2 (Card Verification Code 2) y HMAC SHA1.
keyId | Identificador de la clave dentro del HSM. Este identificador no debe contener espacios ni caracteres especiales. Los caracteres en mayúsculas y minúsculas distinguen entre mayúsculas y minúsculas. Esta clave es la CVK (Card Verification Key), una clave 3DES de 112 bits, y debe ser la misma que la utilizada para la verificación del CVV. Esta clave puede generarse internamente en el HSM o importarse manualmente. Normalmente esta clave también se utiliza en Visa, enviada cifrada por ZCMK (Zone Contro Master Key). Como se indica en el manual de Visa, la clave 3DES 112 utilizada como CVK debe ser diferente de la clave utilizada para la generación y verificación del PIN y no debe utilizarse para otras aplicaciones del emisor, a excepción de CVV2 e iCVV. |
pan | PAN (Número de cuenta principal). Tamaño de 12 a 19 caracteres. Para el cálculo de CVV, CVV2 e iCVV, según el estándar de Visa en el Payment Technology Standards Manual 2007, el tamaño del PAN es independiente. Para el cálculo del CVC2, según el documento de Mastercard SPA Algorithm for the MasterCard Implementation of 3-D Secure - v1.04, el tamaño del PAN debe ser exactamente de 16 dígitos; cuando es más pequeño debe completarse por la izquierda con ceros, y cuando es más grande sólo deben utilizarse los 16 dígitos del extremo derecho. |
fecha de expiración | Fecha de caducidad. Longitud de 4 dígitos. Al generar CVV e iCVV, el formato debe ser AAMM. Para la generación de CVV2, el formato debe ser MMYY. Al calcular el CVC2, este campo debe ser una cadena terminada en cero con los 4 dígitos menos significativos del número de secuencia de la transacción, contenido en el AVV (Accountholder Authentication Value) convertido al equivalente decimal BCD. Cualquier valor inferior a 4 dígitos debe completarse a la izquierda con ceros hasta llegar a 4 dígitos. Para más detalles, consulte el documento de Mastercard SPA Algorithm for the MasterCard Implementation of 3-D Secure - v1.04. Al calcular CAVV (CVV2 con el método ATN), este campo debe ser una cadena terminada en cero con los 4 dígitos menos significativos del ATN (Authentication Tracking Number). Para obtener más información, consulte el documento de Visa 3-D Secure Requisitos funcionales Servidor de control de acceso v. 1.0.2. |
código de servicio | Código de servicio. Longitud de 3 dígitos. Para la generación iCVV (Alternate Card Verification Value), el Código de Servicio debe ser 999. Para la generación de CVV 2, el Código de Servicio debe ser 000. Para la generación de CVV tradicional, el Código de Servicio suele ser 101. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Verifica un CVV (Card Verification Value), CVV2 o iCVV utilizando una clave dentro del HSM. La API también puede utilizarse para verificar códigos de verificación de tarjetas compatibles con el protocolo 3-D Secure. Consulte más detalles en la API GenCVV().
keyId | Identificador de la clave dentro del HSM. Este identificador no debe contener espacios ni caracteres especiales. Los caracteres en mayúsculas y minúsculas distinguen entre mayúsculas y minúsculas. Esta clave es la CVK (Card Verification Key), una clave 3DES de 112 bits, y debe ser la misma que la utilizada para generar el CVV. |
pan | PAN (Número de cuenta principal). Longitud de 12 a 19 caracteres. Consulte más detalles sobre este campo en la API GenCVV(). |
fecha de expiración | Fecha de caducidad. Longitud de 4 dígitos. Para la verificación CVV e iCVV, el formato debe ser AAMM. Para la verificación CVV 2, el formato debe ser MMYY. Para obtener información sobre la compatibilidad con los algoritmos del protocolo 3-D Secure, consulte más detalles sobre este campo en la API GenCVV(). |
código de servicio | Código de servicio. Longitud de 3 dígitos. Para la verificación iCVV (Alternate Card Verification Value), el Código de servicio debe ser 999. Para la verificación CVV 2, el código de servicio debe ser 000. |
cvv | CVV a validar. Longitud de 3 dígitos. El valor introducido también puede ser un CVV2 o iCVV, en función de los valores del Código de Servicio introducidos. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Realiza operaciones de generación de PIN basadas en los datos PAN (Personal Account Number) y PGK (Key Name) introducidos, con o sin el uso de offset.
pgk | Identificador de clave PGK (clave de generación de PIN), dentro del HSM. | ||||||||
pan | PAN (Número de cuenta principal). | ||||||||
operación | Tipo de generación de PIN. Según la tabla siguiente.
|
pinLen | Tamaño del PIN que se utilizará/generará en la operación. Debe estar entre DinamoApi .MIN_EFT_PIN_LEN y DinamoApi.MAX_EFT_PIN_LEN. |
inPin | PIN de entrada. Debe tener un tamaño comprendido entre DinamoApi .MIN_EFT_PIN_LEN y DinamoApi.MAX_EFT_PIN_LEN. |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Comprueba la validez de un PIN en un Bloque PIN. Primero se extrae el PIN del Bloque PIN con la clave PTK, y luego se verifica con la clave PGK, la misma que se utilizó para generar el PIN, con la función GenPIN().
enk | Identificador de la clave de descifrado "PIN Block" dentro del HSM. Clave de transporte del PIN (PTK). |
pgk | Identificador de la clave que se utilizará para la verificación del PIN en el HSM. Clave de generación de PIN (PGK). |
pan | PAN (Número de cuenta principal). |
offset | Desplazamiento del PIN. Debe tener un tamaño comprendido entre DinamoApi .MIN_EFT_PIN_LEN y DinamoApi.MAX_EFT_PIN_LEN. |
pinblock | Memoria intermedia que contiene el bloque de PIN de entrada que debe verificarse. El formato de PIN Block esperado es ISO PIN Block Format 0 (equivalente a ANSI PIN Block Format 0 y VISA PIN Block Format 1). El búfer debe tener el tamaño de un PIN Block, DinamoApi.DES_BLOCK (8 bytes). |
DinamoException | Lanza una excepción en caso de error. |
|
en línea |
Exporta una clave en formato TR-31 según la norma ASC X9 TR 31-2018.
kbpk | Nombre de la clave KBPK (Key Block Protection Key) utilizada para derivar las claves de cifrado y autenticación. |
clave | Nombre de la clave que se exportará del HSM. |
uso | Identificador de uso de clave, tal como se describe en ASC X9 TR 31-2018, sección A.5.1, cuadro 6. |
modo | Identificador del modo de uso de la clave, tal como se describe en ASC X9 TR 31-2018, sección A.5.3, cuadro 8. |
exp | Identificador clave de exportabilidad, tal como se describe en ASC X9 TR 31-2018, sección A.5.5, tabla 10. |
DinamoException | Lanza una excepción en caso de error. |
Algoritmo KBPK | Método de exportación |
---|---|
3DES | 5.3.2.1 Método vinculante de derivación de claves - TDEA |
AES | 5.3.2.3 Método de vinculación de bloques de claves - AES |
|
en línea |
Importe una clave en formato TR-31 según la norma ASC X9 TR 31-2018.
kbpk | Nombre de la clave KBPK (Key Block Protection Key) utilizada para derivar las claves de cifrado y autenticación. |
clave | Nombre de la clave que se importará en el HSM. |
isExportable | Define si la clave importada es exportable. |
isTemporary | Define si la clave importada será temporal. |
keyBlock | Bloque clave en formato TR-31. |
DinamoException | Lanza una excepción en caso de error. |
Algoritmo KBPK | Método de exportación |
---|---|
3DES | 5.3.2.1 Método vinculante de derivación de claves - TDEA |
AES | 5.3.2.3 Método de vinculación de bloques de claves - AES |