***** 2015年版本,新增各組織新憑證,新增晶片種類資料,改善部分程式碼 *****

    【晶片卡檢驗程式】可讀取晶片信用卡或晶片金融卡資料,尤其可針對晶片信用卡進行卡片資料的驗證,可檢驗晶片信用卡資料是否有被竄改、偽造或失效。

DerYu 發表在 痞客邦 留言(1) 人氣()

***** 2013年最新版本 V3.0 *****

    【DerYu's GlobalPlatform Tool】是個簡單易用的工具軟體,提供友善的圖形操作介面,讓使用者輕鬆執行OpenPlatform/GlobalPlatform Java Card指令功能,並提供Java Card Applets管理功能,輕鬆執行Applet的載入與刪除動作,透過此程式提升您程式開發或測試的效率和方便性。

DerYu 發表在 痞客邦 留言(0) 人氣()

***** 2013年最新版本 V3.0 *****

    【DerYu's GlobalPlatform Tool】是個簡單易用的工具軟體,提供友善的圖形操作介面,讓使用者輕鬆執行OpenPlatform/GlobalPlatform Java Card指令功能,並提供Java Card Applets管理功能,輕鬆執行Applet的載入與刪除動作,透過此程式提升您程式開發或測試的效率和方便性。

DerYu 發表在 痞客邦 留言(1) 人氣()

***** 新增支援Java Card v2.2.2雙介面晶片版本 *****

    【Mifare Access Applet】適用於NXP(Philips) JCOP31/41系列或Java Card v2.2.2雙介面晶片,提供Mifare區塊資料讀取與寫入之介面。

DerYu 發表在 痞客邦 留言(2) 人氣()

目前只有在Java Card v2.2.2以上才有內建大數運算API,在v2.2.1以下之版本一般只能處理兩個Byte之短整數(short)運算,ArithmeticApplet提供執行大數四則運算之功能,並採用256進位方式進行運算,有效節省Java Card寶貴的記憶體空間。 

此版Applet最大支援20 Bytes長度運算,在乘法運算下,輸出值最大可到40 Bytes,使用上有任何問題請歡迎來信指教(deryuchang@gmail.com)

DerYu 發表在 痞客邦 留言(0) 人氣()

    【CryptoCard KIT】提供簡單易使用的方式,讓一般程式開發者可輕鬆利用智慧卡(SmartCard)來做資料加解密或安控等類型的應用程式開發,免去花費大量時間處理與卡片相關的技術。

    【CryptoCard KIT】總共包含下列四個項目:

DerYu 發表在 痞客邦 留言(0) 人氣()

『GPSAM Applet』

【GlobalPlatform Security Access Module】Applet(以下簡稱GPSAM)共包含以下四支程式:

DerYu 發表在 痞客邦 留言(0) 人氣()

    這個章節我要講的是關於交易上的風險,下圖是在WebATM上的一個完成的查詢交易,內行人大概一眼就能明白這張圖所代表的風險,首先這張圖我只顯示送給卡片的指令與資料,沒有秀出卡片回應的資料,密碼部分也已塗黑,以避免洩漏這張卡的真實資料。

    由下圖可發現交易過程中,與金融卡往來的資料全是明碼方式傳遞,當然這些資料只有持卡人密碼算是重要資料(圖中塗黑部分),其餘像是發卡單位、轉入、轉出帳號等等,這些本來就是允許任何程式或任何人讀取的資訊,因此明碼傳送也無關緊要,可是持卡人密碼用明碼傳送,就代表當你的電腦,或是你使用金融卡的環境中,若是被植入木馬程式,那就很有可能被駭客所擷取,儘管你在WebATM上是用虛擬鍵盤輸入,木馬程式照樣抓的到正確的密碼。目前為止這個漏洞應該是每家銀行都知道的,因此各家銀行已建議持卡人使用具有鍵盤的讀卡機,或使用動態密碼,以解決這個漏洞的風險。

DerYu 發表在 痞客邦 留言(0) 人氣()

     「動態密碼」(OTP,One Time Password)顧名思義就是每次使用時產生的密碼都不一樣,而且每組密碼只能使用一次,因此也可稱作「一次性密碼」。與傳統固定式密碼相比,具有不可預測性,可避免遭駭客竊取密碼後執行重送攻擊的風險,即使駭客竊取該次的密碼,也無法通過下次的登錄驗證。

    「動態密碼」(OTP,One Time Password)大致可分為Event-Based、Time-Based與Challenge & Response三種類型,密碼產生方式有許多種,原則上是利用特定的密碼學相關運算函式(如DES、SHA...),加上變動性的參數運算後得到的結果。這次我拿到一張Event-Base類型的OTP Card,此卡動態密碼採用OATH HOTP標準方式產生,我寫了一支簡單的程式來驗證此卡片所產生的動態密碼,另外這支程式也順便加入HMAC_Sha1、HMAC_Sha256、HMAC_Sha384與HMAC_Sha512的功能。

DerYu 發表在 痞客邦 留言(4) 人氣()

    這個章節我要講的是另一個可以被偽造的案例,一樣先說明,這個案例完全是人為規劃上的重大瑕疵所造成的問題,目前為止晶片金融卡本身仍然具安全性,況且到現在全世界應該還沒發生過因晶片本身問題而被偽造的SmartCard案例。(Memory Card與Mifare都不算是SmartCard)

    這個案例是台灣某兒童用品連鎖業者的會員卡,該會員卡有電子錢包功能,可重複加值並在各連鎖店消費,該業者當初找了一家不知名的廠商來規劃建置整個電子錢系統,聽說這家廠商在大陸有很多成功案例,但這已經不是重點,因為這家廠商倒閉了。天啊! 這樣的訊息對客戶來說肯定很震驚,尤其是將整個系統委外,自己又不了解的客戶來說,加上又讓我發現他們的會員卡可被偽造,這對他們來說應該是不小的打擊與震撼。

DerYu 發表在 痞客邦 留言(0) 人氣()

1 2