Securitatea în sistemele de plăți internaționale, Partea 2 - articolul dss pci

Secvența de prezentare a modificat. Se pare că, fără a înțelege nivelul inferior ar fi foarte greșit să spunem că, la nivelul de mai sus. Prin urmare, în acest moment conversația va fi:

Despre kriptooborudovanii

PS în timp folosit două tipuri kriptooborudovaniya: HSM și PINpad

HSM
HSM (modulul hardware de securitate) - un computer specializat care efectuează diverse operații criptografice.

HSM - acesta este un lucru minunat, și destul de scump. La nivelul inferior este un computer cu destinație specială, cel mai adesea în factorul de formă al ISA, PCI, PCI-E. O astfel de HSM echipat cu unul sau două fizice COM-porturi conectate pe suportul de montare. Aceste porturi sunt folosite pentru a conecta imprimanta, cititor de card, sau CRT terminale.

Acesta este un HSM intern.

cunoscuți producători HSM una, două și obchelsya: l SafeNet si Thales e-securitate. De asemenea, pentru ei înșiși le produce IBM, Intel și un număr de birouri pur zhelezyachnyh.

Esența HSM este că se poate efectua diverse operații criptografice fără participarea procesorului central al computerului în cazul în care acesta este instalat. Funcțiile de criptare a datelor sunt verificate și reconciliate calitate foarte înaltă, și au diverse certificari pentru corectitudinea / acuratețea execuției lor. În unele cazuri, noi spunem că HSM accelerează kriptooperatsii, acest lucru este parțial adevărat - doar pe calculatoare foarte slabe.
În HSM, există o funcție foarte importantă, se stochează în siguranță, în interiorul o singură cheie - LMK (master key local). Cheia reală poate fi câteva, dar pentru simplitate presupunem că el este unul.
LMK (cheie master locală) - cheia sub care sau care criptează toate celelalte chei utilizate date HSM.
De ce face asta?
Să presupunem că aveți nevoie pentru a stoca 100 3DES-cheie, ea 100h16 bytes, iar dacă aveți nevoie de 1000 sau dintr-o dată trebuie să fie stocate 5000 a doua zi după ziua de mâine? Toate acestea trebuie să fie furnizate. Și într-un fel de încredere pentru a proteja cheile (despre un dispozitiv fizic HSM de mai jos). Așa că am decis să facem o destul de elegant.

1. Când doriți să păstrați K-cheie în HSM, tu treci cheia în HSM.
2. HSM Codeaza cheie LMK, iar criptograma K-cheie vă oferă.
3. Acest criptograme vă poate salva în condiții de siguranță, în voi. H. Și pe hard disk-ul în cazul în care ați instalat HSM.
4. Când vrei să faci ceva cu acea cheie, da criptograma necesare HSM-in, si el decriptează. Și, mai important, rezervele cheie decriptată numai în mine!

Aici am ajuns la HSM cerință fundamentală - cheile în clartext prezente numai în cadrul HSM. E. Nu poți pur și simplu du-te și de a lua cheile de la HSM în text clar. le Unload numai sub o cheie diferită - .. Adică, sub forma unui criptogramă.
Poti, de asemenea, de exemplu, încărcate în HSM două chei A și B și cere recodare date de sub o cheie sub cheie B. Și această operație este re-criptare a datelor dintr-o cheie pentru altul este, probabil, cea mai importantă operațiune HSM. Capacitatea sa de a efectua o operație în sine asigură că datele criptate în forma sa pură nu părăsește HSM.






Modern HSM-i posibilitatea de a lucra cu atât de multe funcții de criptare și algoritmi, deci, de exemplu, o listă destul de tipic:

• algoritmi de criptare: RSA asimetrici, DSA, ECDSA, Diffie Hellman
• Semnătura digitală: RSA, DSA (512-1024 biți), ECDSA, PKCS # 1 v1.5, 9796, X509, Timestamp
• algoritmi de criptare simetrici: AES, DES, 3DES, CAST-128, RC2, RC4, SEED, ARIA
• Cod autentificarea mesajelor (MAC): SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, des3 MAC , des3 de vânzare cu amănuntul CFB MAC, MAC DES30x9.19, IDEA MAC, RC-2 MAC, SEED MAC, MAC ARIA, VISA CVV
• Hashing: MD5, SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1
• Curbe eliptic (ECC), curbele ECC Brainpool (denumite și definite de utilizator)
• Generarea de numere aleatoare

HSM are, de asemenea, un sistem de diferențiere a drepturilor - cine poate face ce cu cheile. Și dacă ați uitat sau pierdut parola pentru a inițializa HSM sau parole administrative HSM, nu este doar rău, dar teribil! Puteți salva numai milioane de ani pe linia parola ghicitul. Ocoluri nu este aici! Și de aceea aceste dispozitive nu sunt foarte mândru de agențiile noastre de aplicare a legii.

Și mai multe despre HSM dispozitivului.
Built-in procesor și memorie pe card protejat de o carcasă. Când încercați să se uite sub ea HSM șterge LMK-cheie și blochează procesorul pentru utilizare.
HSM este instalat pe baterie cu litiu exterior, este proiectat pentru a menține funcționarea procesorului intern. Dacă îl deconectați, veți pierde din nou LMK. Am scris că echipamentul este scump și de calitate - baterii litiu construite sunt de fapt de lucru timp de 10-15 ani.
Există, de asemenea, o caracteristică remarcabilă în această carte: se poate stabili că aceasta a fost eliminată din computer, chiar dacă computerul este oprit, caz în care va pierde din nou LMK!
Încearcă să ghicească cum?

HSM de mai sus a fost prezentat în performanța internă așa-numitul - sub formă de taxe. Aceste carduri pot fi instalate în carcasa calculatoarelor industriale, și este deja devine HSM extern. Și astfel HSM puteți accesa prin intermediul rețelei TPC / IP.

Acest HSM extern, vedere din spate. Partea frontală este doar un calculator.

Despre HSM este mult de spus și de a scrie trei articole. Iar profesioniștii care pot lucra cu ei în România într-adevăr, în termen de sute.

PINpad
PINpad - de la utilizator este pur și simplu o tastatură numerică, dar în interior este aproape HSM. PINpad are o interfață la un PC standard, ca un COM-port sau USB.
PINpad performanțe semnificativ mai slabe decât dohlenkih HSM, și poate să nu fie în stare să facă multe lucruri, dar are o facilitate care îl diferențiază de HSM: este abilitatea de a accepta un PIN de utilizator și cripta din interiorul cheii, care din nou acesta este stocat în siguranță, în interiorul acestuia.
Această cheie se numește PEK (cheie de criptare PIN) - cheia pentru a cripta codul PIN
PINpad au aceleași cerințe de deschidere, și poate chiar un pic mai substanțială, t. Pentru a. Lucrul cu ei de multe ori utilizatorii brutalizat. Trebuie remarcat faptul că, în unele cazuri, este posibil să nu aibă PINpad la POS-terminale și introduceți codul PIN direct pe terminal. Toate POS-terminale moderne au, de asemenea, o protecție împotriva deschiderii - pentru a evita furtul cheilor de la ei.

Iată două exemple PINpad-uri: ATM sau terminale self-service.

Există o listă de dispozitive certificate, în cazul în care puteți introduce un cod PIN cu certitudine că el nu a lăsat dispozitiv necriptat. Această listă se numește PCI PED listă aprobată, este dat aici.

Despre PINpad poate scrie, de asemenea, o mulțime, iar acest lucru este un subiect pentru un alt articol.