如何解决为什么我无法删除或替换 Javacard 中 KeyVersion=0x70 插入的 Receipt Key?
我有一张干净的 Kona112 Javacard,我准备将一个 Receipt 密钥放入其中,然后我想从卡中删除它或替换它的值。
第 1 步:我尝试使用 Key Version == 0x71
在卡上创建一个新密钥(引自 GP UICC 配置 v1.0.1:“密钥版本号 '71' 和密钥标识符' 01' 是为 Receipt Key 保留的,它是一个 DES 密钥"):
[Select ISD]
[Successful Mutual Authentication]
--> 84 D8 00 01 1F 71 80 10 B5 75 C3 8D 89 DC F9 B1 74 CC 1E 93 C4 45 C8 2C 03 CD 80 0F EC EA 8D 6F 8F BF 7D D0 // PUT KEY
<-- 6A 80
==> Quoted from GP UICC Configuration v1.0.1: "6A80 = ISO compliant standard status word for Algorithm not supported"
第 2 步:当我收到“不支持算法”错误时,我在我的卡上启用了委托管理并重试了第 1 步:
[Select ISD]
[Successful Mutual Authentication]
[Proprietary APDU command to enable Delegated Management]
--> 84 D8 00 01 1F 71 80 10 1A F6 96 45 2A ED 66 86 75 DF FC 8B 59 55 6D 0B 03 CD 80 0F 87 03 E4 1A 8D AB 90 EC
<-- 71 CD 80 0F 90 00
好!我成功地将收据密钥放入卡中。
第 3 步:现在,我想删除它:
[Select ISD]
[Successful Mutual Authentication]
--> 80 E4 00 00 06 D0 01 01 D2 01 71 // Delete APDU Command to delete a key with Key ID = 01 and Key Version = 71
<-- 6A 80
如上所示,我收到了 6A 80
错误状态字。在 my other question 的回答中(也在 GP UICC Configuration v1.0.1 中)提到,Key Deletion 功能是可选的。
所以在第 4 步中,我尝试用另一个值替换键。
第 4 步:我将 PUT Key APDU 命令中的 P1 从 0x00
(创建密钥)更改为 0x71
(覆盖):
[Select ISD]
[Successful Mutual Authentication]
--> 84 D8 71 01 1F 71 80 10 E9 06 6B 8E D8 05 50 34 D5 A7 71 3B 81 CB BE 7A 03 CD 80 0F 91 0D BC E9 96 25 7E 89
<-- 6A 88
==> Quoted from GP UICC Configuration v1.0.1: "6A88 = Referenced data not found"
好吧,这很奇怪,我收到“未找到引用的数据”。所以我再次尝试使用 P1 = 0X00
(创建密钥)执行 PUT Key 命令:
[Select ISD]
[Successful Mutual Authentication]
--> 84 D8 00 01 1F 71 80 10 31 35 5C 0C E3 27 FD D5 8B 6B AE 37 56 CA 0D F2 03 CD 80 0F 0B EB 16 CF FF CE 4C 09
<-- 69 85 // Conditions of used not satisfied.
好吧,我在禁用委派管理的情况下也尝试了步骤 #3(P1 = 0x00
和 P1 = 0x71
)的两种情况,但没有任何改变,我分别收到了 0x6A80 和 0x6A88。
请注意,我也尝试了 SecurityLevel = 0x03 的安全通道中的所有步骤。什么都没有改变。
更新:
我尝试使用带有密钥信息模板标签的 GET DATA APDU 命令列出卡中的可用密钥,但我只能在 APDU 响应中看到 ISD ENC、MAC 和 KEK 密钥(对于启用 DM 和禁用 DM。
--> 80 CA 00 E0 00
<-- E0 12 C0 04 01 01 80 10 C0 04 02 01 80 10 C0 04 03 01 80 10 90 00
解决方法
一个想法:收据密钥(您还必须存储令牌密钥)可能链接到应用程序安全域。选择具有令牌验证权限的安全域和具有收据生成的安全域
特权,也许它们与 ISD 不同。我还假设在 [Proprietary APDU command to enable Delegated Management]
期间创建了一个新的应用程序安全域 (ASP)。尝试选择这些新安全域并使用密钥模板标志在其中列出所有密钥,然后针对这些安全域之一执行 PUT KEY
操作。 GET STATUS
是用于列出 SD 的命令。所有现有的操作系统工具,如 GPSHell 和 GlobalPlatformPro 都可以做到这一点。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。