传统大POS机为啥要签到?
现在移动支付的发展,pos机收款方便了广大的商户,但非常多商户对于每次开机时都要签到表示许麻烦和不理解,下面我们就这个POS机签到来说下。
POS设备硬件芯片在出厂时会设置一个设备ID和一个密钥。而在银联的POS交互协议中,有一个概念叫做“签到”,就是POS设备向服务器发起签到请求,然后让服务器返回3个工作密钥,分别用于加密POS传输给服务器的银行卡的3个信息。这3个工作密钥是通过POS机硬件芯片内的密钥(在服务器端也有)进行加密的。
既然POS设备已经有了一个固化的密钥,那为啥不定定要一个签到来获得工作密钥呢?为啥又不直接用固有的密钥来进行数据加密传输给服务器端呢?既然是密钥,肯定和安全性关于系,那这种模式是如何加强了安全性呢?
我们都知道,POS设备与服务器(一般是支付平台)的交互数据都是加密后传输的,而且这种加密的数据是使用可解密的方法来加密,而不是使用非可逆加密(比如MD5就是非可逆加密)。
既然是可逆的,就存在可破解的可能性,那吗一个黑客是如何破解一个加密方法,进而获得加密的密钥的呢?当然,直接破解硬件设备底层密码是一种方法,但这种破解方法一般需要直接操作POS硬件设备,甚至可以会破坏POS硬件设备。
而另一种方法,就是通过加密的数据和结果反推。举一个例子,就如同我们做二元一次方程一样,只要变量和完全不同的方程式足够多,我们就可以算出各个变量的值。
所以,只要你的密钥不变,通过截获足够多的原始数据和加密后的密文就可以获得多个这样的方程式出来:F(卡信息、密钥)=密文。拥有的方程式越多,那吗就越容易破解出密钥这个变量和F这个算法函数(时间更短)。
所以,这种破解方法zui终的重要点在于密钥不可变,只要不变,那吗自然就可以积攒的”方程式“来破解。既然如些,要破除这种破解的方法就是密钥定期/不定期的更新。只要密钥一变,所有以前积攒的方程式都完全失效,破解出来也没用(等你耗费许长时间破解了,这个工作密钥都已经失效了)。
电签版和传统版pos机区别
今年电签版pos机突然就火起来了,电签pos机是啥,究竟有啥特点?
其实pos机具只是一个读银行卡和传输数据的设备,pos机对应的支付公司才是核心。只要电签pos机对应的支付公司,是有牌照的,那就是正规的和有保障的,可以放心使用.
当前市面上常见的pos机根据体积大小,大致可以分为三类:
第一类,传统出票pos机,这就是经常在店面里面看到的,刷卡交易以后可以打印一张小票的pos机,这种pos机以前是通过电话线链接网络的,现在通过内置的移动流量卡GPRS链接网络,所以一般都是移动pos机,这种pos机体积较大,操作简单;
第二类,手机蓝牙pos机,也称MPOS机,许小巧,通过蓝牙链接手机,手机上安装一个APP,每次刷卡的时候,先打开APP,然后蓝牙链接手机,在APP上输入金额,在pos机上刷卡和输入密码,然后链接网络,完成交易,蓝牙pos机携带方便,但是操作有点麻烦。
第三类,电签版pos机,介于传统出票pos机和手机蓝牙pos机之间的一种新型pos机 。电签pos机有非常多自己的特点:首先电签pos机许小巧,携带方便,对于那种经常出差的朋友,是不二选择;第二,电签pos机内置移动流量卡,通过GPRS链接网络,开机直接就可以使用,不像蓝牙pos机那样需要链接手机APP,所以操作特别简单;第三,在电签pos机上交易成功以后,直接在pos机液晶屏幕上签名,不需要打印出一张纸,在纸上签字,省去非常多麻烦,同时可能环保。
电签pos机还有有一部分自己缺点,首先,不能打印签购单,对于店铺交易后,需要给顾客给一张小票的,就不合适了;另外,电签pos机用的GPRS流量,因为现在pos机基本上都是用的2G网络,所以在信号比较差的地方就不如蓝牙POS机那样联网稳定了,幸亏现在电签pos机出了WiFi版,解决了网络不稳的问题。
综上分析,电签pos机毕竟是新产品,在以前pos机基础上改进而来,肯定有他的非常多优点,但是商户具体需要啥样的pos机,还是要根据自己的需求而定。
———————————————
那吗就有另外一个问题了,通过频繁的截取签到请求是否可以直接破解到硬件的密钥呢?答案是不行的,为啥呢?还是和上边一样的分析方法。F(工作密钥,密钥)=密文。这个时候的真实的工作密钥和密钥变量的。相当于整个函数对于拦截者,无从下手(除非是来硬的暴力破解POS硬件设备)。