Keyexpo

УТВЕРЖДЁН

СИСТЕМА УЧЕТА ПОТРЕБЛЕНИЯ РЕСУРСОВ И БЕЗНАЛИЧНЫХ РАСЧЕТОВ С ИСПОЛЬЗОВАНИЕМ SMART-CARD

Программное обеспечение для поддержки Smart-карт

Программа для экспорта ключей ЦС/ЦСК на карту

Руководство оператора

Листов 16

2000

DSSSCT File : keyexpo.doc Ref : KEYEXPOUG0000 Revision:2.0 2 / 16 Copyright © Dekart S.R.L (www.dekart.com) - 2001

This document shall not be disclosed to a third party without prior written consent of Dekart S.R.L. Никакая часть данного документа не может быть воспроизведена в какой бы то ни было форме и какими бы, то ни было

средствами без письменного разрешения владельца авторских прав.Ссылка на оригинал обязательна.

Аннотация Данный документ содержит описание порядка работы с утилитой KeyExpo, обеспечивающей экспорт группы ключей ЦС/ЦСК на карту доступа.Приводится необходимая справочная информация, рекомендации системному программисту, сведения о возможных ошибках, возникающих при неправильной работе пользователя с утилитой и порядке их устранения.




Оглавление

1. ТЕРМИНОЛОГИЯ И УСЛОВНЫЕ ОБОЗНАЧЕНИЯ (ГЛОССАРИЙ)............................4

1.1 СИСТЕМА ..................................................................................................................................4 1.2 СТАНДАРТЫ ШИФРОВАНИЯ ......................................................................................................4 1.3 КАРТЫ СИСТЕМЫ И ИНФОРМАЦИЯ НА КАРТАХ ........................................................................4 1.4 КЛЮЧИ СИСТЕМЫ.....................................................................................................................5

2. НАЗНАЧЕНИЕ..............................................................................................................................6

3. ОБЩИЕ СВЕДЕНИЯ...................................................................................................................6

4. ВЫПОЛНЕНИЕ ПРОГРАММЫ ...............................................................................................7

4.1 УСТАНОВКА ПРОГРАММЫ ........................................................................................................7 4.2 ЗАПУСК ПРОГРАММЫ ...............................................................................................................7 4.3 НАСТРОЙКА ОБОРУДОВАНИЯ (КОНФИГУРАЦИИ РАБОЧЕГО МЕСТА ЦС/ЦСК).........................8 4.4 ЭКСПОРТ ГРУППЫ КЛЮЧЕЙ ЦС/ЦСК.......................................................................................8 4.5 ВЫХОД ИЗ ПРОГРАММЫ............................................................................................................9

5. ВХОДНЫЕ ДАННЫЕ..................................................................................................................9

6. ВЫХОДНЫЕ ДАННЫЕ............................................................................................................10

7. СООБЩЕНИЯ ОБ ОШИБКАХ...............................................................................................10

7.1 CAN’T FIND SMART CARD READER.........................................................................................10 7.2 KEY IS NOT FOUND ..................................................................................................................10 7.3 BAD KEY FROM KEY CARD......................................................................................................11 7.4 BAD KEY CARD.......................................................................................................................11 7.5 FILE ALREADY EXISTS. REPLACE IT? .......................................................................................11 7.6 PIN CODE MUST CONTAIN ONLY DECIMAL DIGITS ...................................................................12 7.7 PIN CODE MUST HAVE FROM 4 TO 8 DIGITS .............................................................................12 7.8 ATTENTION! PIN CODE IS WRONG!......................................................................................12 7.9 CARD IS BLOCKED!............................................................................................................13 7.10 SMART CARD WAS NOT FOUND................................................................................................14 7.11 IDENTIFIER MUST CONTAIN 8 DIGITS........................................................................................14 7.12 KEY FILE IS NOT FOUND...........................................................................................................14 7.13 ERROR READING KEY FILE .......................................................................................................15 7.14 ERROR KEY EXPORTING...........................................................................................................15

8. РЕКОМЕНДАЦИИ РАЗРАБОТЧИКУ ТЕРМИНАЛЬНОЙ МАТЕМАТИКИ ...............16

9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ......................................................................................16




1. Терминология и условные обозначения (Глоссарий)

1.1 Система СУПР – Система учета потребления ресурсов и безналичных расчетов сиспользованием smart-карт (название системы). Payflex - Интеллектуальная (smart) карта фирмы Schlumberger, которая положена в основу систем безналичных расчетов, разрабатываемых компанией Dekart S.R.L. SCR-60, Reflex 60, Reflex 72 (Schlumberger), TOWITOKO ChipDrive - считыватели smart-карт, использующиеся в отдельных технологических звеньях СУПР. Работают только совместно с компьютером, и управляются программным обеспечением, работающем на компьютере.Эмитент - организация, выполняющая персонализацию карт держателей,ведущая базы карт-счетов держателей и обрабатывающая платёжные транзакции.ПЦ - процессинговый центр. Подразделение (участник) системы, в задачи которого входит обслуживание терминального поля, сбор транзакций от терминалов, их сортировку и рассылку эмитентам.ЦС – центр системы. Организация, занимающаяся предварительной персонализацией карт держателей и их передачей эмитентам (участникам системы). ЦСК - центр сертификации ключей (Certificate authority). Организация,обеспечивающая сертификацию ключей участников системы.Примечание. В СУПР функции центра системы и центра сертификации ключей выполняет одна организация.Держатель карты - физическое лицо, использующее карту в качестве платёжного инструмента при оплате товара или услуги.Платежная единица – условная товаро-денежная единица (рубли, леи,доллары, литры, кВт·ч. и т.д.), используемая в СУПР в качестве средства платежа.

1.2 Стандарты шифрования DES (Data Encryption Standard) - Стандарт шифрования данных. Симметричная система шифрования с длиной ключа и шифруемого блока данных 64 бита.Эффективная длина ключа на самом деле равна 56 (один бит каждого байта используется в качестве контрольного). RSA - система шифрования на основе открытых ключей. Применяется в системе для статической аутентификации карт держателей.SHS (Secure Hash Standard) - Стандарт на хеш-функцию. Стандарт определяет алгоритм Secure Hash Algorithm (SHA-1), который может использоваться для создания "сжатого" представления некоторой последовательности. Такое представление носит название дайджеста последовательности.

1.3 Карты системы и информация на картах SAM (Secure Application Module) – специальная карта, которая обеспечивает безопасность при операциях дебетования и кредитования.




Карта доступа (или карта персональных ключей) – специальная карта, которая предназначена для защищенного хранения ключа (ключей) доступа ответственных лиц системы. Карта доступа принадлежит конкретному ответственному лицу системы и защищена его персональным идентификационным номером (PIN-кодом). Серийный номер карты - неизменяемая, уникальная для каждой карты двоичная последовательность длиной 8 байт, записываемая на карту заводом изготовителем.BIN (Bank Identification Number) – идентификационный номер эмитента (8 цифр), составленный в соответствии со стандартом ISO. PIN (Personal Identification Number) – персональный идентификационный номер пользователя (от 4 до 8 десятичных цифр). Владелец карты обязан держать свой PIN - код в секрете.PAN (Primary Account Number) – номер карты (19 цифр), первые 8 цифр которого соответствуют BIN. ID (Identifier) – идентификатор (8 цифр), определяющий имена файлов, вкоторых записываются RSA ключи процессингового центра и эмитента, запрос на сертификацию и сертификат, а также PAN-коды эмитента. Совпадает с BIN.

1.4 Ключи системы Ключи доступа – внутренние ключи, которые хранятся на карте доступа иприменяются для «открытия» различных технологических приложений системы, причем в большинстве случаев они служат для активизации других (секретных) ключей системы.Диверсификация ключа - "распыление" ключа. Используется для индивидуализации внутренних ключей карт держателей.Мастер ключ - секретный ключ симметричной системы шифрования,используемый в системе для диверсификации ключей карт держателей.Модуль - открытая часть ключа системы шифрования RSA. Экспонента - открытая часть ключа RSA. Может быть равной 3 либо четвёртому числу Ферма (Fermat 4 = 2^2^4+1 = 65537). В СУПР экспонента равна 3. Сертификат - двоичная последовательность, получаемая специальными криптографическими методами и служащая для проверки достоверности некоторой последовательности данных.Случайная последовательность - последовательность двоичных данных,которая создаётся специальными механизмами в картах и терминалах для модификации сообщений с целью индивидуализации протокола обмена отодного сеанса к другому.ADM_DF1 - административный ключ, защищающий от изменения файлы дат и истории операций.MC_AUT – ключ, используемый для внешней аутентификации.MV_AUT - ключ, используемый для внутренней аутентификации.MC_DEBIT - ключ, используемый для дебетования электронного кошелька.




2. Назначение

Программа KeyExpo предназначена для экспорта группы ключей ЦС/ЦСК,используемых для работы с картой пользователя в устройстве учета, на карту доступа. Кроме того, утилита формирует файл с общими ключами системы СУПР (CA_ID.KEY), доступ к которому обеспечивается картой доступа организации, обслуживающей терминальное поле.

Программа KeyExpo используется ЦС/ЦСК в присутствии представителя организации, обслуживающей терминальное поле!

3. Общие сведения

Программа представляет собой стандартное Windows приложение (EXE-модуль) с GUI-интерфейсом. KeyExpo может эксплуатироваться самостоятельно, а также, в исключительных случаях, встраиваться в другие приложения.

Необходимое оборудование:• Компьютер IBM PC (486 и выше), имеющий свободный последовательный порт • Считыватель smart-карт одного из следующих типов: SCR-60, Reflex 60, Reflex 72 (Schlumberger), TOWITOKO ChipDrive • Карты доступа ЦС/ЦСК и организации, обслуживающей терминальное поле

Необходимое программное обеспечение:• Операционная система MS Windows • Утилита KeyExpo • Файл, содержащий секретные ключи ЦС/ЦСК (СА_ID.SEC) Примечание. При первом запуске программы по умолчанию используются последовательный порт COM2 и считыватель SCR-60.




4. Выполнение программы

4.1 Установка программы При выключенном компьютере необходимо подключить считыватель

smart-карт к свободному последовательному порту.Установка программы KeyExpo осуществляется простым ее копированием

на жесткий диск компьютера. Желательно предварительно создать на диске специальный каталог для программного обеспечения СУПР.

Если используется считыватель SCR-60, который подключен кпоследовательному порту COM2 (параметры, принятые по умолчанию), то можно переходить к запуску программы (см. п.4.2). В противном случае следует произвести настройку конфигурации рабочего места ЦС/ЦСК согласно п.4.3:• Включить компьютер и запустить утилиту KeyExpo (см. п.4.2); • Программа выдаст сообщение: “Can’t find Smart Card Reader”. Необходимо нажать кнопку “OK” и в открывшемся окне программы в полях “COM Port” и“Reader Type” указать реально используемые имя коммуникационного порта итип считывателя.

• Нажать клавишу “Quit”, после чего снова запустить программу.

4.2 Запуск программы Запуск программы KeyExpo осуществляется двойным нажатием левой

клавиши мыши. При этом автоматически производится подключение соответствующего считывателя карт к соответствующему коммуникационному порту (при первом запуске программы используются значения, принятые по умолчанию) и появляется основное окно программы.




Для дальнейшей работы с программой необходимо вставить в считыватель карту доступа организации, обслуживающей терминальное поле.

4.3 Настройка оборудования (конфигурации рабочего места ЦС/ЦСК)Если требуется изменить конфигурацию рабочего места ЦС/ЦСК, то

необходимо выполнить следующее:• При выключенном компьютере подключить считыватель smart-карт ксвободному последовательному порту;• Включить компьютер и запустить утилиту KeyExpo (см. п.4.2); • Если установки программы KeyExpo не соответствуют реальной конфигурации рабочего места участника системы, то программа выдаст сообщение: “Can’t find Smart Card Reader”. Необходимо нажать кнопку “OK” и воткрывшемся окне программы в полях “COM Port” и “Reader Type” указать реально используемые имя коммуникационного порта и тип считывателя. Затем нажать клавишу “Quit”, после чего снова запустить программу.

4.4 Экспорт группы ключей ЦС/ЦСК Для экспорта группы ключей ЦС/ЦСК на карту доступа организации,обслуживающей терминальное поле необходимо:• Запустить программу KeyExpo; • Вставить карту доступа ЦС/ЦСК в считыватель;• Ввести цифровой идентификатор ЦС/ЦСК (СА_ID), состоящий из 8 десятичных цифр;• Ввести PIN-код (от 4 до 8 десятичных цифр); • Нажать клавишу “Verify”. Если процесс верификации завершился успешно,то программа выдаст сообщение:

и активируется клавиша “Export Key”:




• Нажать клавишу “Export Key”; • По запросу программы вставить карту доступа организации,обслуживающей терминальное поле, в считыватель и ввести PIN-код (от 4 до 8 десятичных цифр):

В случае успешного выполнения операции на диске появится файл CA_ID.KEY программа выдаст сообщение:

4.5 Выход из программы Выход из программы осуществляется путем нажатия клавиши “Quit” или

кнопки закрытия окна.

5. Входные данные

Входными данными для утилиты KeyExpo являются:1) СА_ID - цифровой идентификатор ЦС/ЦСК (8 десятичных цифр); 2) PIN-код карты доступа оператора, который выполняет процедуры с файлами ключей (от 4 до 8 десятичных цифр);




3) Тип считывателя smart-карт (SCR-60, Reflex 60, Reflex 72, TOWITOKO ChipDrive);

4) Имя коммуникационного (последовательного) порта (COM1, COM2, COM3, COM4).

Значения, принятые по умолчанию: тип считывателя smart-карт - SCR-60, имя порта - COM2.

6. Выходные данные

Выходными данными (результатом работы) программы являются файл сключами системы CA_ID.KEY, принадлежащий организации, обслуживающей терминальное поле, и соответствующая карта доступа, на которую был произведен экспорт группы ключей ЦС/ЦСК.

7. Сообщения об ошибках

7.1 Can’t find Smart Card Reader

Появление данной ошибки говорит о том, что был указан неверный коммуникационный порт или неверный тип считывателя smart-карт. В этом случае необходимо нажать кнопку OK, затем отметить верные значения всоответствующих списках (“COM Port”, “Reader Type”), нажать клавишу “Quit”, после чего снова запустить программу.Кроме того, подобное сообщение может появиться также в случае одновременного многократного вызова программы KeyExpo или иных утилит СУПР.

7.2 Key is not found




Появление данной ошибки говорит о том, что вместо карты доступа ЦС/ЦСК или организации, обслуживающей терминальное поле, была вставлена какая-либо иная карта. В данном случае необходимо вставить в считыватель соответствующую карту доступа и продолжить работу.

7.3 Bad key from Key Card

Появление данной ошибки говорит о том, что вместо карты доступа ЦС/ЦСК была вставлена иная карта доступа. В данном случае необходимо вставить всчитыватель карту доступа ЦС/ЦСК и продолжить работу.

7.4 Bad Key Card Появление данной ошибки говорит о том, что запорчена карта доступа организации, обслуживающей терминальное поле. В данном случае необходимо вставить в считыватель новую карту доступа организации, обслуживающей терминальное поле, и продолжить работу.

7.5 File already exists. Replace it?

Появление данной ошибки говорит о том, что в данной директории уже существует файл с ключами CA_ID.KEY. В данном случае, если необходимо сохранить оба файла, то следует нажать клавишу “Cancel”, существующий файл CA_ID.KEY переписать в другую директорию, после чего повторить операцию.В противном случае – достаточно нажать кнопку “Yes”.




7.6 PIN code must contain only decimal digits

Появление данной ошибки говорит о том, что при вводе PIN-кода были использованы не только десятичные цифры, но и другие символы. В данном случае необходимо ввести правильное значение PIN-кода, после чего продолжить работу.

7.7 PIN code must have from 4 to 8 digits

Появление данной ошибки говорит о том, что длина введенного PIN-кода была либо меньше 4, либо больше 8 цифр. В данном случае необходимо ввести правильное значение PIN-кода, после чего продолжить работу.

7.8 ATTENTION! PIN code is wrong!




Появление данной ошибки говорит о том, что был введен неверный PIN-код.Программа уменьшит число попыток предъявления PIN-кода на единицу.В данном случае следует ввести верное значение PIN-кода. Необходимо отметить, что при следующей попытке предъявить PIN-код, программа проинформирует о том, сколько попыток предъявления PIN-кода осталось.

Если на следующем шаге будет введено верное значение PIN-кода, число попыток предъявления PIN-кода снова станет равным 3. Иначе оно снова уменьшится на единицу. Перед третьей попыткой предъявить PIN-код появится сообщение:

7.9 CARD IS BLOCKED! Троекратный неправильный ввод PIN-кода приводит к блокированию карты доступа:




Порядок деблокирования карты доступа описан в документе «Программа обслуживания карт доступа. Руководство оператора».

7.10 Smart Card was not found.

Появление данной ошибки говорит о том, что была попытка выполнить операцию при отсутствии в считывателе карты доступа, либо, если в настройках программы были указаны считыватели Reflex 72, TOWITOKO ChipDrive при реально используемых иных типах считывателей. В данном случае необходимо вставить в считыватель карту доступа либо изменить настройки программы всоответствии с реальной конфигурацией рабочего места, после чего продолжить работу.

7.11 Identifier must contain 8 digits

Появление данной ошибки говорит о том, что была допущена ошибка при вводе цифрового идентификатора ЦС/ЦСК: либо данный параметр не был введен вовсе, либо его длина меньше 8 цифр. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.

7.12 Key file is not found




Появление данной ошибки говорит о том, что программа не может найти файл ссекретными ключами ЦС/ЦСК. В данном случае необходимо либо ввести правильное имя файла, либо скопировать в текущий каталог искомый файл,после чего продолжить работу.

7.13 Error reading key file

Появление данной ошибки говорит о том, что запорчен файл с секретными ключами ЦС/ЦСК. В данном случае необходимо воспользоваться резервной копией файла с секретными ключами ЦС/ЦСК, т.е. скопировать ее в текущий каталог.

7.14 Error key exporting Появление данной ошибки говорит о том, что произошла ошибка при записи группы ключей файл ЦС/ЦСК на карту доступа организации, обслуживающей терминальное поле. В данном случае необходимо повторить операцию, либо заменить карту доступа организации, обслуживающей терминальное поле.




8. Рекомендации разработчику терминальной математики На карте доступа организации, обслуживающей терминальное поле, в файле

«0222» находится группа из четырех ключей ЦС/ЦСК – ADM_DF1, MC_DEBIT, MV_AUT, MC_AUT (см. п. 1.4). Длина каждого ключа – 8 байт. Структура файла «0222» следуюшая:

ADM_DF1 MC_DEBIT MV_AUT MC_AUT 0

Для получения с данной карты доступа группы ключей ЦС/ЦСК необходимо выполнить следующие операции:

i. Проверить наличие карты доступа в считывателе.ii. Прочитать с карты последовательность ATR и проанализировать ее.iii. В случае возникновения ошибки перейти на обработку ошибок (п. xiii). iv. Выбрать файл данных с помощью команды карты (Select)

ISO_INCOMING(00, A4, 00, 00, 02, “7F10”). v. Если SW != 9000, то перейти на обработку ошибок (п. xiii). vi. Проверить PIN-код

ISO_INCOMING(00, 20, 00, 10, 08, PIN_VALUE). vii. Если SW != 9000, то перейти на обработку ошибок (п.xiii). viii. Выбрать файл данных с помощью команды карты (Select)

ISO_INCOMING(00, A4, 00, 00, 02, “0222”). ix. Если SW != 9000, то перейти на обработку ошибок (п.xiii). x. Прочитать данные с помощью команды (Read Record)

ISO_OUTGOING(00, B2, 01, 04, 65, DATA_BUF). xi. Если SW != 9000, то перейти на обработку ошибок (п.xiii). xii. Завершить работу.xiii. Обработать ошибки и перейти к п.xii. В DATA_BUF в результате вышеперечисленных действий будут находиться ключи ADM_DF1, MC_DEBIT, MV_AUT, MC_AUT в шестнадцатеричном коде ASCII-формате. Таким образом, размер буфера DATA_BUF равен 4·(8·2)+1=65 байт.

9. Обеспечение безопасности Владелец карты обязан держать свой PIN-код в секрете!Троекратный неправильный ввод PIN-кода приводит к блокированию карты

доступа!

Keyexpo

Documents

Transcript of Keyexpo