DUKPTを使用して磁気トラックデータを復号化する方法

「Habrahabr」の読者に、「DUKPT を使用して磁気カードデータを復号化する方法」の記事の翻訳を提供します。

最近、磁気トラックリーダーからカードデータを解読する必要がありました。 それは簡単に思えます。 キーを取得し、特定の復号化アルゴリズムを実行します。 しかし、そこにありました。

私の読者は、DUKPT（トランザクションごとの派生一意キー-一意のトランザクションキーの定義）として知られるスキームを使用していることがわかりました。 このスキームの考え方は、トランザクションごと（または、カードレンタルごとに）、個々のカードレンタルに対して計算されたキーを使用してデータが暗号化されることです。

したがって、このスキームを使用して暗号化されたデータを復号化するには、別のカードレンタルのキーを計算できる必要があります。 このようなキー（セッションキー）を計算するプロセスは単純ではありません。

このプロセスはANSI X9.24パート1で説明されています。ただし、ドキュメントの費用は約140ドルです。 このプロセスを説明する無料で簡単にアクセスできるドキュメントを見つけるのは困難です。 私が見つけた最高のリソースはこちらです。 IPEK（初期PIN暗号化キーの計算方法）についてはかなり良い説明があります。 残念ながら、これは完全なスキームの一部にすぎません。 この投稿では、DUKPTスキームを包括的に説明しようとします。

定義

BDK ：これは、Base Derivation Keyの略語です。 このキーは、磁気トラックスキャナーと対話するソフトウェアの製造元と開発者のみが知っています。

IPEK ：これは、初期PIN暗号化キーの略です。 このキーはBDKから決定されます。 このキーは製造元によってデバイスにダウンロードされ、将来のキーの生成に使用されます。 IPECの侵害はBDKを侵害しません。

KSN ：これはキーシリアル番号の略です。 KSNは、磁気トラックスキャナーのシリアル番号と、デバイスで行われたカードレンタル数のカウンターの組み合わせです。

仕組み

メーカーはBDKを使用してIPEKを生成します。IPEKは開発中にデバイスにダウンロードされます。 デバイスは、IPEKおよびKSNを使用してセッションキーを計算し、カードから読み取ったデータを暗号化します。

ソフトウェア開発者は、IPEKを計算するためにBDKを必要とします。 IPEKを受信すると、デバイスからKSNを要求できます。 IPEKとKSNは、別のトランザクション/カードレンタルのキーを取得するために使用されます。 これらのキーを使用して、開発者はカードデータを解読できます。

IPEC計算

キーを計算するための初期キー（IPEK）を取得するには、基本アルゴリズムキー（BDK）とキーシリアル番号（KSN）が必要です。 IPEKは、TripleDESアルゴリズムを使用して決定されます。 TripleDESは、単純な3パスDESアルゴリズムです。

アルゴリズムは24バイトのキーを使用します。 DESアルゴリズムは3回使用されます。最初に1〜8バイトのキー、次に9〜16バイト、最後に各パスごとに17〜24バイトのキーが使用されます。

TripleDESは、16バイトのキー、EDE3と呼ばれるメソッドを使用できます。 バイト1〜8が最初に使用され、次に9〜16、次に1〜8が使用され、24バイトキーが発行されます。

一部のTripleDES実装では、短いキーを自動的に使用できません。 これを理解する前に、問題が何であるかを理解しようとして多くの時間を費やしました。 これがTripleDESの特別な実装であると仮定して、16バイトの発行された24バイトキーを使用しました。

多くの苦悩の末、TripleDESアルゴリズムに転送する前に、最初の8バイトをキーの最後に追加しようとすることに気付きました。 これで問題は解決しました。

詳細

IPEKは、TripleDESアルゴリズムの2つの別々のパスの結果として取得される2つの8バイト部分で構成されます。 両方とも、リセットカウンターでKSNの上位8バイトを暗号化することによって取得されます。 左部分と右部分の違いは、BDKのわずかに変更されたバージョンを使用してKSNを暗号化することにより、右側が取得されることです。 このプロセスを以下に説明します。

16進文字列「0123456789ABCDEFFEDCBA9876543210」で表される16バイトのBDKがあるとします。 また、16進数の文字列「FFFF9876543210E00008」で表される、8に等しいカウンターを持つ10バイトのKSNもあります。

最初の8バイトをBDKの末尾に追加することにより、BDKを取得してIPEKの左側を暗号化します。これは次の24バイトのキーになります。

0123456789ABCDEFFEDCBA98765432100123456789ABCDEF 

KSNの長さが10バイトに等しくない場合、10バイトの16進数「F」（1111）で補完します。 IPEKがデバイスの最初のキーであることに注意することが重要です。 これは、0に等しいKSNのカウンターで計算することを意味します。カウンター0のKSNを取得するには、16進表現のストリング「FFFFFFFFFFFFFFEFE000」でマスクを課します。

  FFFF9876543210E00008 and FFFFFFFFFFFFFFE00000 = FFFF9876543210E00000 

いいね これでKSNはゼロになりました。 ただし、上位8バイトのKSNが必要です。 KSNを16ビット右にシフトすることで取得できます。

 FFFF9876543210E00000 >> 16 = FFFF9876543210E0 

素晴らしい。 次のステップは、24バイトのBDKキー「0123456789ABCDEFFEDCBA98765432100123456789ABCDEF」を使用したスト​​リング「FFFF9876543210E0」のTripleDES暗号化です。 この暗号化の結果は、IPEKの左側になります。

 6AC292FAA1315B4D 

覚えているなら、BDKのわずかに修正されたバージョンが正しい部分を得るために使用されると述べました。 したがって、これを行うには、元の16バイトのBDK「0123456789ABCDEFFEDCBA9876543210」を取得し、次のマスク「C0C0C0C000000000C0C0C0C000000000」でXORを実行する必要があります。 これは完全に任意のマスクのように見えますが、悲しいかな、正しいIPEKを取得する必要があります。

  0123456789ABCDEFFEDCBA9876543210 xor C0C0C0C000000000C0C0C0C000000000 = C1E385A789ABCDEF3E1C7A5876543210 

左側のキーで行ったのと同じことを行い、上位8バイトを取得して最後に追加し、次の24バイトのキーを取得します。

 C1E385A789ABCDEF3E1C7A5876543210C1E385A789ABCDEF 

次に、ゼロカウンター（以前に計算した）でKSNの上位8バイトを取得し、計算したばかりのキーでTripleDESを使用して暗号化します。 これにより、適切なIPEKレジスタが得られ、次の16バイトIPEKが得られます（わかりやすくするために、左と右の部分を分けています）。

 6AC292FAA1315B4D 858AB3A3D7D5933A 

セッションキーの計算

IPEKがあります。 次に、別のカードレンタル用にIPEKから一意のキー（セッションキー）を取得する必要があります。 それを取得するには、いくつかのサブルーチンを使用します。ブラックボックスと呼びましょう。その目的は、別のセッションキーを返すことです。 ブラックボックスで何が起こっているかは、まだ懸念事項ではありません。 今、このサブルーチンの入力を見てみましょう。

ブラックボックスには2つの入り口があります。 1つはキーで、もう1つは暗号化文字列です。 文字列は変更されたKSNです。

覚えているなら、KSNの下位21ビットには、デバイス上のカードレンタル数のカウンターが含まれています。 修正されたKSNを、カウンターのバイナリ表現にあるユニットの数だけサブルーチンに渡します。 変更されたKSNで送信されるキーは、最初の反復でIPEKであり、次の反復では、前の反復でブラックボックスから取得されたキーになります。

KSNを変更することから始めましょう。 まず、KSNの下位8バイトを取得し、カウンター値をKSNにリセットします。 これは、次のマスクを使用してKSNをマスクすることで実行できます。

  FFFF9876543210E00008 and 0000FFFFFFFFFFE00000 = 00009876543210E00000 

結果の値を使用して、ブラックボックスに送信される各メッセージを計算します。 カウンターが8の例では、数値8（1000）のバイナリ表現をブラックボックスに転送する必要があります。 デモンストレーションのために、カウンターのより複雑な値が10（1010）であるとします。

カウンターから2進数のセットを抽出します。 私たちの場合、10（1010）の場合、2つの2進数、1000と0010があります。スキームをキャッチしましたか？ 10の各バイナリ単位を表す数値のセットを取得します。

次に、最初の番号を取得し、前述のように、カウンターをゼロにリセットするKSNでOR演算を使用します（最初の番号の16進表現は0008になります）。

  9876543210E00000 OR 0000000000000008 = 9876543210E00008 

ここで、IPEKをキーとして転送し、KSNをブラックボックスに変更しました。 ブラックボックスは新しいキーを返します。 これは最初のセッションキー（16進数で表されます）： "27f66d5244ff62e1aa6f6120edeb4280"です。

次に、以前に計算された次の2進数2（0010）を使用してプロセスを繰り返します。 今回は、受信した最初のセッションキーを使用して、新しいKSN変更を計算します。

新しいKSN変更を計算するには、最後に受信した変更9876543210E00008でOR演算を実行します。

  9876543210E00008 OR 0000000000000002 = 9876543210E0000A 

次に、新しいキー「27f66d5244ff62e1aa6f6120edeb4280」と新しいKSN変更「9876543210E0000A」をブラックボックスに転送し、別の将来のキー「6cf2500a22507c7cc776ceadc1e33014」を取得します。 これは、カウンタが10のデバイスのセッションキーです。

ただし、実際のカウンターは8であり、最初の段階で実際のセッションキー「27F66D5244FF62E1AA6F6120EDEB4280」を計算しました。

取得した値を使用して実行する必要がある最後の操作は、データを復号化するキーの最終的な変換です。 マスク「00000000000000FF00000000000000FF」でキーのXORを実行する必要があります。

  27F66D5244FF62E1AA6F6120EDEB4280 XOR 00000000000000FF00000000000000FF = 27F66D5244FF621EAA6F6120EDEB427F 

これは、データを復号化するために必要なキーです。

ブラックボックス

ブラックボックスをセッションキーを計算するアルゴリズムと呼びました。 ブラックボックスは現在のセッションキーを受け入れます。これはcurrent_skを示し、KSN変更はksn_modを示します 。

最初に、上記で受け取ったIPEKがcurrent_skとして渡され、 ksn_modが上記で計算した値 "9876543210E00008"と等しいと仮定した場合。

まず、 current_skを取得し、上位8バイトを取得して、それらを64ビット右にシフトし、「6AC292FAA1315B4D」を取得する必要があります。 これは、ビットマスクを使用して取得できます。

  6AC292FAA1315B4D858AB3A3D7D5933A AND FFFFFFFFFFFFFFFF0000000000000000 = 6AC292FAA1315B4D0000000000000000 

ここで、「6AC292FAA1315B4D」を取得するには、この値を64ビット右にシフトする必要があります。 left_keyと呼びます （ current_skの左側のように見えます ）。

次に、マスクを使用してcurrent_skの下位 8バイトを取得します。

  6AC292FAA1315B4D858AB3A3D7D5933A AND 0000000000000000FFFFFFFFFFFFFFFF = 0000000000000000858AB3A3D7D5933A 

この値を（推測したように） right_keyと呼びましょう。 次に、 right_keyを取得し 、 ksn_mod "9876543210E00008"でXORを実行します。

  858AB3A3D7D5933A AND 9876543210E00008 = 1DFCE791C7359332 

この値はメッセージと呼ばれます。 次に、メッセージを取得し、DES（シンプルDES）で暗号化します。 暗号化するデータとしてメッセージをDESに、暗号化するキーとしてleft_keyを渡します。 結果は「2FE5D2833A3ED1BA」です。 ここで、この値とright_keyをXORする必要があります。

  2FE5D2833A3ED1BA XOR 858AB3A3D7D5933A = AA6F6120EDEB4280 

この値は、セッションキーの下位8バイトです！ ここで、今説明した操作を他の入力データで繰り返す必要があります。 今回は、 current_skを取得し、「C0C0C0C000000000C0C0C0C000000000」とXORを実行します。 私の知る限り、この値は任意ですが、ANSI標準の一部であるため、あなたは私の言葉を信じる必要があります。

  6AC292FAA1315B4D858AB3A3D7D5933A XOR C0C0C0C000000000C0C0C0C000000000 = AA02523AA1315B4D454A7363D7D5933A 

上記の操作で値「AA02523AA1315B4D454A7363D7D5933A」を取得し、それをcurrent_skで置き換えると、「27F66D5244FF62E1」が得られます。 これらは、セッションキーの上位8バイトです。 それらを組み合わせると、「27F66D5244FF62E1AA6F6120EDEB4280」が得られます。

おわりに

DUKPT回路と、それが磁気トラックスキャナーのパフォーマンスにどのように関係しているかを説明したいと思います。 コメント欄の訂正と質問を待っています。