SAM读卡器加密主机身份验证

如何解决SAM读卡器加密主机身份验证

我们目前正在使用基于操作模式ISO / IEC 7816模式和OMNIKEY的ICC协议T1的DESFire SAM卡读取器。我们为c＃程序使用PCSC和PCSC.7816 nuget软件包，以便成功获得对运行中的SAM卡的身份验证。我们发现需要某种类型的主机身份验证才能使到SAM卡的会话准备好进行进一步的通信。根据DESFire SAM协议规范，需要执行两个步骤，第一步是此命令：

CLA INS P1 P2 LC数据LE 0x80 0xA4身份验证模式0x00 0x02 KeyNo || keyV 0x00

在c＃代码中，这样实现，并使用正确的返回码，并生成8字节加密的随机编号：

var contextFactory = ContextFactory.Instance;
byte[] data = null;

using (var ctx = contextFactory.Establish(SCardScope.System))
{
   // share mode shared
   using (var isoReader = new IsoReader(ctx,"HID Global OMNIKEY 3x21 Smart Card Reader 0",SCardShareMode.Shared,SCardProtocol.Any,false))
   {
       var keyBytes = new byte[] { 0x00,0x00 }; // key no and key version of master key

       var apdu = new CommandApdu(IsoCase.Case4Short,isoReader.ActiveProtocol)
       {
           CLA = 0x80,// Class
           INS = 164,// instruction hex 0xA4,P1 = 0x00,// Auth Mode 0 select application
           P2 = 0x00,// Parameter 2
           Le = 0x00,// Expected length of the returned data
           Data = keyBytes
       };

       var response = isoReader.Transmit(apdu);

       if (response.SW1 == 144 && response.SW2 == 175)
       {
           data = response.GetData();
           Console.WriteLine("Successfully read enc(rndB)");
       }
    }
}

return data;

根据功能描述，下一步是以下命令： CLA INS P1 P2 LC数据LE 0x80 0xA4 0x00 0x00 0x10 ekNo（RndA + RndB’）0x00

我的问题是现在如何检索RndA并对其进行加密，就像输入数据ekNo（RndA + RndB’）中所述。文档说：“加密（随机数A ||随机数B，旋转1 字节）”

我们是否需要公共密钥并根据SAM卡上使用的算法对其进行加密？ 因为我们也有另一个智能卡api示例的代码示例使用DESFire卡，所以身份验证步骤是基于选择应用程序并使用16字节长的密钥完成的。

#region Assembly CardModule.DESFIRE,// SmartCard-API-SDK-trial-v5.0.20.304\smartcard-api-sdk-trial\DESFire\lib\CardModule.DESFIRE.dll
#endregion

using Subsembly.SmartCard;

namespace SmartCardAPI.CardModule.DESFIRE
{
    public class DESFireCardEdge
    {
        public DESFireCardEdge(CardHandle hCard,bool pcsc2enabled = true);

        ~DESFireCardEdge();

        public byte[] UID { get; }

        public bool Authenticate(int cardKeyNumber,byte[] authenticationKey);
        public bool AuthenticateAES(int cardKeyNumber,byte[] authenticationKey);
        public bool SelectApplication(int aid);
}

以下是用于尝试生成自己的随机数以实现主机身份验证第二步的代码示例：

 rndABytes = new byte[8];
                    
for (int i = 0; i < rndABytes.Length; i++)
{
    rndABytes[i] = Convert.ToByte(new Random().Next(0,255));
}

var bytes = rndB.ToList();
var byteArr = bytes.ToArray();
                    
RotateLeft(byteArr);

var rndABytesList = rndABytes.ToList();

rndABytesList.AddRange(byteArr);

var apdu = new CommandApdu(IsoCase.Case4Short,isoReader.ActiveProtocol)
{
    CLA = 0x80,// Class
    INS = 164,//InstructionCode.GetChallenge,// Auth Mode 0 select application
    P2 = 0x00,// Parameter 2
    Le = 0x00,// Expected length of the returned data
    Data = rndABytesList.ToArray()
};

如果我们将随机数生成到一个8字节长的数组中，并对rndB数字进行位移位，则命令将成功执行，但没有有效的身份验证。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。