home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / sci / crypt / 4443 < prev    next >
Encoding:
Text File  |  1992-11-08  |  3.8 KB  |  86 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!spool.mu.edu!caen!saimiri.primate.wisc.edu!usenet.coe.montana.edu!news.u.washington.edu!hardy.u.washington.edu!space2
  3. From: space2@hardy.u.washington.edu (Tim)
  4. Subject: Re: ATM security question
  5. Message-ID: <1992Nov7.201929.24071@u.washington.edu>
  6. Sender: news@u.washington.edu (USENET News System)
  7. Organization: University of Washington, Seattle
  8. References: <1992Nov5.184546.5854@ulysses.att.com> <1992Nov6.013029.7294@panix.com> <1992Nov6.134420.9809@schaefer.math.wisc.edu>
  9. Date: Sat, 7 Nov 1992 20:19:29 GMT
  10. Lines: 74
  11.  
  12. In article <1992Nov6.134420.9809@schaefer.math.wisc.edu> neergaar@schaefer.math.wisc.edu (Dude) writes:
  13. >oppedahl@panix.com (Carl Oppedahl) writes:
  14. >
  15. >>In <1992Nov5.184546.5854@ulysses.att.com> tom@ulysses.att.com (Tom Smith) writes:
  16. >
  17. >>>On another newsgroup, there is a lot of discussion about Automatic
  18. >>>Teller Machines and the Personal Identification Number (PIN) associated
  19. >>>with an account/card.  There is controversy about whether or not
  20. >>>an encrypted version of the PIN is encoded onto the magnetic stripe
  21. >>>on the card.
  22.  
  23. >>Yes, there is.  This means the ATM can match your card to the PIN
  24. >>you entered at the ATM, even if the phone lines are cut.  Scary, huh?
  25. >
  26. >>Well, it means the ATM can match _if it has the key_.  Each
  27. >>issuer has its own key.  The ATM you visit probably can match the
  28. >>card PIN with the entered PIN only if the bank that runs it issued
  29. >>your card.
  30.  
  31. >I read somewhere on the net that all PINs are encrypted with the *same* *key*
  32. >so that any ATM can match any card to its PIN.  Can anyone verify or 
  33. >disprove this?
  34.  
  35. Well I can give some general info on this subject and some pointers to people 
  36. who are further interested in investigating mag-stripe card contents.
  37.  
  38. The following can be gleaned from ANSI X9.1-1984 "Magnetic Stripe Data
  39. Content for Track 3":  
  40.  
  41. [Field 3: Primary Account Number] 
  42. Purpose: To identify the card issuer to which the transaction is to be routed
  43. and the account to which the transaction is to be applied unless specific
  44. instructions indicate otherwise.
  45.  
  46. [Field 13: Personal Identification Control Parameters (PINPARM)] 
  47. Purpose: To provide optional security features.
  48. Format and Content: PINPARM shallbe issuer or system defined as necessary for
  49.     PIN verification.
  50.     XXXXXX = PINPARM where X equals any numeric digit or:
  51.     SEP = separator
  52.  
  53. [Field 20: Card Security Number]
  54. Purpose: To relate the data contained on the magnetic stripe to the physical
  55. card.
  56. Format and Content: The card security number shall consist of either nine
  57. digits in the form MXXXXXXXX or SEP, where:
  58.     M = security method identifier
  59.     XXXXXXXX = the code that enables the relationship between data and
  60.     card to be established.
  61.     SEP = separator
  62. Methods for determining the content of M and of XXXXXXXX are to be defined by
  63. the X9 Committee.
  64.  
  65. [Field 26: Crypto Check Digits (CCD)]
  66. Purpose: To provide a means of verifying the integrity of the data elements of
  67. Track 3.
  68. Format and Content: Crypto check digits (CCD) shall consist of either six 
  69. digits or SEP.
  70. The method for determining the content of the six digits is to be defined by
  71. the X9 Committee.
  72.  
  73.  
  74. Some other things which might give you some more info:
  75. ISO 4909, Bank cards - Magnetic stripe data content for track 3 (may have
  76.     been superseeded by the X9.1 document)
  77. ANSI X4.16-1983, American National Standard for Financial Services - Financial
  78.     Services - Financial Transaction Cards - Magnetic Stripe Encoding.
  79. *ANSI X9.8-1982, American National Standard for PIN Management and Security.
  80. ANSI/ISO 7813-1987, identification cards - financial transaction cards (This
  81.     discusses the structure of tracks 1 and 2 (read only) which don't
  82.     seem to have the PIN on it unless it falls under Discretionary data)
  83. ANSI/ISO 7811/*-1985, this hierarchy contains data on tracks 1 and 2 also
  84.  
  85.  
  86.