1- آيا فيلدها در فرمت APDU پاسخ در کارت هوشمند يك بايتي هستند ؟
2- Le در فرمت APDU پاسخ در کارت هوشمند چیست ؟
3- در موردکارت GMS ((General System For Mobile Communication )) مقاله ای معتبر بنویسید.
4- رمز نویسی در کارت هوشمند به چه منظور است؟
5- تفاوت امنيت و صحت پیام توضيح داده شود.
6- نحوه استفاده از تابع درهم برای احراز اصالت پیام چگونه است ؟
7- در کارت هوشمند احراز اصالت دارنده کارت نزد کارت به کار می­رود يعني چي؟
8- چه نيازي به وجود كليدFabrication Key )FK ( در کارت هوشمند خواهد بود؟
9- آدرس دهي فيزيكي و منطقي به طور كامل توضيح داده شود.
10- شرایط دستیابی به حافظه کارت هوشمند در طی مراحل مختلف چرخه حیات کارت هوشمندچیست؟
11- چگونه امنیت تراشه در کارت هوشمند به صورت فیزیکی مهیا می­شود؟
12- اطلاعات مربوط به هر كاربرد در کارت هوشمند را به چهار دسته كليدها، گواهي­ها، تمهيدات احراز اصالت و ديگر داده­هاي مربوط به آن كاربرد تقسيم نمود . گواهی ها به چه معناست؟
13-محتواي فايل مقدماتي EF(ODF) راتوضیح دهید

1- آيا فيلدها در فرمت APDU پاسخ در کارت هوشمند يك بايتي هستند ؟
2- Le در فرمت APDU پاسخ در کارت هوشمند چیست ؟
3- در موردکارت GMS ((General System For Mobile Communication )) مقاله ای معتبر بنویسید.
4- رمز نویسی در کارت هوشمند به چه منظور است؟
5- تفاوت امنيت و صحت پیام توضيح داده شود.
6- نحوه استفاده از تابع درهم برای احراز اصالت پیام چگونه است ؟
7- در کارت هوشمند احراز اصالت دارنده کارت نزد کارت به کار می­رود يعني چي؟
8- چه نيازي به وجود كليدFabrication Key )FK ( در کارت هوشمند خواهد بود؟
9- آدرس دهي فيزيكي و منطقي به طور كامل توضيح داده شود.
10- شرایط دستیابی به حافظه کارت هوشمند در طی مراحل مختلف چرخه حیات کارت هوشمندچیست؟
11- چگونه امنیت تراشه در کارت هوشمند به صورت فیزیکی مهیا می­شود؟
12- اطلاعات مربوط به هر كاربرد در کارت هوشمند را به چهار دسته كليدها، گواهي­ها، تمهيدات احراز اصالت و ديگر داده­هاي مربوط به آن كاربرد تقسيم نمود . گواهی ها به چه معناست؟
13-محتواي فايل مقدماتي EF(ODF) راتوضیح دهید

با سلام:

سوالات شما، عینا درفروم های زیرهم پرسیده شده:

[Only registered and activated users can see links]

[Only registered and activated users can see links]

پاسخ:
1- درR-APDU، فیلدهای sw1 و sw2 هرکدام 1 بایتی هستن. (E-book صفحه 19)

Le -2 درقسمت C-APDU استفاده میشه نه در قسمت R-APDU.
Le مشخص کننده تعداد بایتهایی است که کارت میتونه درپاسخ به سمت کارتخوان ارسال کنه و
استفاده از Le در C-APDU اختیاری است. (E-book صفحه 17)

3- در مورد کارت GMS که گفتید...!!!!...، اما اگه منظورتون سیم کارت درشبکه GSM
باشه، E-book صفحات 39 تا 51 رو ببینید.

4- به منظورحفاظت وامنیت اطلاعات.

5- صحت پیام، به رمزنگاری وابسته هستش واین یعنی تنها افراد مجاز قادر به خواندن
اطلاعات هستند. یعنی توسط رمزنگاری میتوان صحت پيام ارسالی رو تضمين کرد.
حالا اگركليد خصوصی وكليد عمومی صادركننده گواهی مورد دسترسی غيرمجاز قراربگیره
امنيت سيستم به خطرخواهد افتاد. (E-book صفحه 35 و 36)

6- تابع درهم یا همون Hash Function بیتهای ورودی رو به رشته هایی از بیتها با
طول ثابت می نویسه واین امکان رو فراهم میکنه که با داشتن یک مقدارخاص درخروجی،
بتوان ورودیی که اون خروجی رو نتیجه بده، پیدا کرد.
احرازاصالت پيام یعنی اطمينان از این که پيام دريافت شده دستکاری نشده واين كه پيام از
جانب فرستنده مدعی ارسال شده. درمکانیزم امنیتی مثلا امضای دیجیتالی برای تایید اصالت
پیام از تابع درهم استفاده میشه. ابتدا پیام دریافت میشه بعد با تابع درهم، ترکیب شده وبا استفاده از الگوریتم رمزگشایی وکلید خصوصی، چکیده پیام رمزی با نمونه آن دردیتابیس
مقایسه میشه و درصورت یکی بودن اصالت پیام تایید میشود.

7- یعنی دارنده کارت PIN رو وارد میکنه و کارت عملیات وارسی Verify PIN رو انجام میده و
در صورت معتبر بودن PIN، اصالت دارنده کارت تایید میشه. (E-book صفحه 19)

8- درمرحله اول چرخه حیات کارت هوشمند که هنوز چیپ روی کارت سوارنشده، یک کلید بنام FK
جهت ممانعت از هرگونه سوءاستفاده احتمالی ازچیپ اضافه میشه. FK برای هر چیپ منحصربفرد
هست و توسط یک شاه کلید تولید میشه ودرمرحله دوم که چیپ روی کارت سوار شد، PK جایگزین FK میشود.

9- درآدرس دهی منطقی برای آدرس دهی به داده از آدرس دهی نسبی استفاده میشه
بصورت آرایه ای از بلاکها که هر بلاک شماره* ای داره با شروع ازصفر برای اولین بلاک.
آدرس دهی فیزیکی یعنی آدرسی که مکان داده مورد نظر رو درمحیط فیزیکی ذخیره سازی
شده مشخص کنه و درواقع دستیابی فیزیکی به داده در حافظه، با استفاده ازهمین آدرس
فیزیکی انجام میشه.

10- درمرحله دوم چرخه حیات کارت هوشمند که Personalization Key جایگزین FK شد
عملا دسترسی فیزیکی به حافظه غیرممکن میشه ولی درچرخه حیات ضد امنیتی
E-book صفحه 31 تا 36 رو ببینید ولی درچرخه حیات نرمال، درشرایط خاص،
صادرکننده کارت صلاحیت دسترسی داره.
(مثلا درکارتهای بانکی، سرویس PIN Reminder میتونه چیپ کارت شما که در اثر ورود رمز
اشتباه قفل شده رو Unlock کنه واین سرویس از طریق صادرکننده کارت (بانک) ارائه میشه.
دربعضی از بانکها هم از طریق ATM ...)

11- کمپانی هایی که درزمینه تولید کارتهای هوشمند تجارت میکنن، همیشه ادعا میکنن که با
ترفندهایی که در اختیاردارند، امنیت فیزیکی تراشه درکارتهای آنها OK هست و خوب بحث
تجارته دیگه ولی درمهندسی معکوس ... (E-book صفحه 34)

CA: Certificate Authority -12
RA- CLR- End entity- Repository
(E-book صفحه 27)

13- درکارت هوشمند ذخیره سازی اطلاعات براساس file tree یا همون نمودار درختی است:
محتویات EF به 2 صورت working و internal هستش که working توسط ترمینال (کارتخوان)
استفاده میشه و internal توسط سیستم عامل کارت استفاده میشه.
DF یک دایرکتوری که محتوی فایلهای EF هست و دایرکتوری Root یا همون MF یک نوع
ویژه از DF هست.
(برای مثال، نمونه ای ازمحتویات EF و DF درسیم کارت در E-book صفحه 50 قرار داده شده.)

موفق باشید.

با تشكر از لطف شما

سئوال ديگري نيز دارم

- كارتهاي هوشمند بانكي معمولا از چه مدل كارتي استفاده مي كنند مشخصات كامل فيزيكي از نظر حافظه هاي و پردازشگر و مدل چيپ
- نرم افزارهاي داراي كارايي بالا در هك كردن و كپي از اين نوع كارتها - متن پي دي اف شما را مطالعه نمودم ولي نرم افزارهاي خاص در زمينه كارتهاي هوشمند بانكي وجود نداشت.
به نظر شما نرم افزارهاي Universal Chip Explorer 32 و twoprg25 مناسب مي باشد.



متشكرم

با سلام:


- كارتهاي هوشمند بانكي معمولا از چه مدل كارتي استفاده مي كنند مشخصات كامل فيزيكي از نظر حافظه هاي و پردازشگر و مدل چيپ


این سوال رو در تاپیک دیگه هم عنوان کردید و به دلیل عمومی بودن تاپیک جوابی
نگرفتید. فقط اشاره به اینکه اغلب تولیدکنندگان کارتهای بانکی، از چیپ Hitachi
و ST Micro استفاده میکنن ...


- نرم افزارهاي داراي كارايي بالا در هك كردن و كپي از اين نوع كارتها - متن پي دي اف شما را مطالعه نمودم ولي نرم افزارهاي خاص در زمينه كارتهاي هوشمند بانكي وجود نداشت.
به نظر شما نرم افزارهاي Universal Chip Explorer 32 و twoprg25 مناسب مي باشد.


درکارت بانکی وکارت سوخت که از مدرن ترین چیپهای هوشمند استفاده میکنن، قبل از
استفاده ازنرم افزار، باید برنامه نویس ماهری باشید تا بتونید دراین کارتها ...
طبیعتا نرم افزارها دراین زمینه، پابلیک نیستن ونمیشه درpdf معرفی کرد!!!!!!!
درکارت بانکی قسمتی از الگوریتم رمزنگاری نیازمند کلید خصوصی هست که این کلید
هیچوقت ازکارت خارج نمیشه و دسترسی غیرمجاز به این کلید خصوصی و سایر
اطلاعات ذخیره شده در کارت مثل گواهی بین root وuser، کلید عمومی، PIN، بیشتر
تکنیکی هستن، تا نرم افزاری. (Logical- Physical- Side Channel Attacks)

ازقابلیت HSC decod/encod نرم افزار UCE32 که عنوان کردید، میشه استفاده کرد و
twoprg25 وUCE32 در زمینه پروگرام pic/eeprom استفاده میشن.

موفق باشید.

[Only registered and activated users can see links]

سلام
مبحث كارتهاي هوشمند از كارتهاي بانكي موجود در ايران جداست.
كارتهاي هوشمند داراي يك چيپ هستند كه البته بر روي بعضي از كارتهاي بانكي موجود قرار دارند اما فعال نيستند(معمولا استفاده نميشود).
كارتهاي بانكي در حال حاضر در ايران از قسمت مگنت(نوار مشكي رنگ پشت كارت) خود استفاده ميكنند كه به جهت دسترسي به اطلاعات درون آن بايد سخت افزار مناسبي در دسترس داشته باشيد.
يه نفر به اطلاعات درون كارت مگنتي با استفاده از يك دستگاه كارت خوان بانكي كه از طريق فكس مودم به كامپيوتر خود متصل كرده بود دسترسي پيدا كرد(چون دستگاههاي كات خوان بانكي موجود در فروشگاهها از طريق فكس جابه جايي داده ميكنند و البته ميتوان با شنود خطوط تلفن فروشگاهها و ركورد دادهها ...).
البته همان طور كه ميدانيد اطلاعات درون كارت به صورت كد شده است و توصيه ميشود براي كرك كردن آنها از نرم افزار خاصي استفاده نكنيد.چونكه قبلا بانكها از استاندارد هاي رمزنگاري موجود استفاده ميكردند كه با حمله اي كه شد استاندارد جديدي كه قبلا ديده نشده بود و جايگزين شد.
در ضمن سعي كنيد خودتون طراح سخت افزاراتون باشيد تا از اتفاقاتي كه مي افته درك درستي داشته باشيد.(با ظهور ميكروكنترلرها اين كار براي برنامه نويسان راحتتر شده).

سلام
مبحث كارتهاي هوشمند از كارتهاي بانكي موجود در ايران جداست.
كارتهاي هوشمند داراي يك چيپ هستند كه البته بر روي بعضي از كارتهاي بانكي موجود قرار دارند اما فعال نيستند(معمولا استفاده نميشود).


با سلام:
دوست عزیز، بانکهایی که از کارتهای Hybrid استفاده میکنن (که هم چیپ و هم نوار مغناطیسی دارن) به هنگام شخصی سازی کارت، اطلاعات حساب مشتری هم به روی چیپ وهم به نوار مغناطیسی منتقل میشه تا مشتری بتونه از ATMها یا POSهایی که مجهز به کارتخوان (هوشمند یا مغناطیسی یا هر دو) هستن استفاده کنه، پس چیپ در این کارتها کاملا فعال هستش.


كارتهاي بانكي در حال حاضر در ايران از قسمت مگنت(نوار مشكي رنگ پشت كارت) خود استفاده ميكنند كه به جهت دسترسي به اطلاعات درون آن بايد سخت افزار مناسبي در دسترس داشته باشيد.

برای خواندن اطلاعات نوار مغناطیسی کارت، تنها نیاز به یک کارتخوان معمولی دارین.

يه نفر به اطلاعات درون كارت مگنتي با استفاده از يك دستگاه كارت خوان بانكي كه از طريق فكس مودم به كامپيوتر خود متصل كرده بود دسترسي پيدا كرد

:o :o :o :o
کارتخوان رو از طريق فكس مودم به كامپيوترش وصل کرده بود !!!!!!!!!!!!!!!!!!
به حق چیزای ندیده و نشنیده...


(چون دستگاههاي كات خوان بانكي موجود در فروشگاهها از طريق فكس جابه جايي داده ميكنند و البته ميتوان با شنود خطوط تلفن فروشگاهها و ركورد دادهها ...).


با دیکود کردن سیگنالهای خروجی از ATM/POS میشه به EPB (پین رمز شده) دسترسی پیدا کرد و با اجرای تکنیکهای فوق خفن بر روی EPB، میشه به PIN وPVV/OFFSET دسترسی پیدا کرد...


البته همان طور كه ميدانيد اطلاعات درون كارت به صورت كد شده است و توصيه ميشود براي كرك كردن آنها از نرم افزار خاصي استفاده نكنيد.
چونكه قبلا بانكها از استاندارد هاي رمزنگاري موجود استفاده ميكردند كه با حمله اي كه شد استاندارد جديدي كه قبلا ديده نشده بود و جايگزين شد.
در ضمن سعي كنيد خودتون طراح سخت افزاراتون باشيد تا از اتفاقاتي كه مي افته درك درستي داشته باشيد.(با ظهور ميكروكنترلرها اين كار براي برنامه نويسان راحتتر شده).


:o :o :o :o
این حرف شما، مثل این هستش که بگیم کاربران ایرانی از اینترنت استفاده میکنن ولی بجای پروتکل tcp/ip از پروتکل استاندارد دیگه که جدید هست استفاده میکنن !!!!!!!

اطلاعات روی نوار مغناطیسی کارت چیزی به جز 0 و 1 نیست و اطلاعات حساب مشتری برروی نوار مغناطیسی (PAN-Exp Date- Service Code- PVV/OFFSET) به هیچ وجه رمز نمیشه و
نرم افزار کارتخوانهای امروزی، خودشون این صفرویکها رو به کارآکتر تبدیل میکنن و نیاز به نرم افزار دیگه ای نیست.
مثلا اگر PVV=3456 باشه به این صورت 0011010001010110 درجای خودش بر اساس استاندارد
ABA که برای تراک 2 هست بعد از سرویس کد، بر روی نوار مغناطیسی کارت نوشته میشه.
(0110=6 0101=5 0100=4 0011=3)

اگر بانکی اومد وبجای PAN شانزده رقمی از PAN نوزده رقمی یا (PAN سیزده رقمی که مربوط به سیستم های نفتی میشه) استفاده کرد یا در قسمت اطلاعات احتیاطی، کد CVV-CVV2 یا ... نوشت یا اصلا چیزی ننوشت یا از key index استفاده کرد، دلیل نمیشه بگیم اون بانک از استاندارد جدیدی استفاده میکنه. در واقع این اختیارات ومجوزها رو استاندارد ABA برای بانکها تعریف میکنه.
چطوربانکها ازتکنولوژی جهانی کارت اعتباری و از ATM ها یا POS های خارجی (حتی ساخت چین) که عملکرد آنها بر اساس همین استانداردها هستش، استفاده میکنن ولی در زمینه استاندارد، میان از استاندارد جدید استفاده میکنن؟!؟!؟!
مثلا وقتی بانکی که شما از اون کارت بانکی خودتون رو دریافت کردید، اعلام میکنه که مشتریان اون بانک میتونن از کارت بانکی خودشون در فلان کشور استفاده کنن (مثلا خرید کنن یا وجه نقد از ATM ها بگیرن) دلیل ارائه چنین سرویسی چیه؟ مسلما استفاده از همین استانداردهای جهانی هستش که اجازه میده کارت بانکی شما در شبکه بانکی اون کشور بتونه با شبکه بانکی شما ارتباط داشته باشه تا اطلاعات کارت شما تایید بشه وشما بتونید از سرویس ها استفاده کنید...

موفق باشید.

با سلام و تشكر از neda_atishpare
شما دوست عزيز چرا جواب پيام هاي خصوصي را نمي دهيد . شايد ما را لايق نمي دانيد .