Securitatea în sistemele de plăți internaționale

Secvența de prezentare a schimbat oarecum cu planurile inițiale. După cum se pare că, fără a înțelege nivelul inferior ar fi foarte greșit să spunem că, la nivelul de mai sus. Prin urmare, în acest moment conversația va fi:

Despre kriptooborudovanii

PS în timp folosit două tipuri kriptooborudovaniya: HSM și PINpad

HSM
HSM (modulul hardware de securitate) - un computer specializat care efectuează diverse operații criptografice.

HSM este un lucru minunat, și destul de scump. La nivelul inferior este un calculator specializat cel mai adesea făcută în factorul de formă al ISA, PCI, PCI-E. O astfel de HSM echipat cu unul sau două fizice COM-porturi conectate pe suportul de montare. Porturile Dunn sunt utilizate pentru a conecta imprimanta, cititor de carduri, sau CRT-terminale.

Acesta este un HSM intern

producătorii cunoscut-HSM unu și doi și obchelsya este SafeNet si Thales e-securitate. Doar pentru mine si le produc IBM, Intel și un număr de birouri pur zhelezyachnyh.

Esența HSM este că se poate efectua diverse operații criptografice fără participarea procesorului central al computerului în cazul în care acesta este instalat. Și ce funcții de criptare a datelor sunt verificate și reconciliate foarte înaltă calitate și au diverse certificări pentru a „corecta, corectă“ performanța lor. În unele cazuri, ei spun că HSM accelerează kriptooperatsii face parte din calculatoarele adevărate, numai într-adevăr slabe.
În HSM, există o funcție foarte importantă, se poate stoca în siguranță și în interiorul o singură cheie - LMK (master key local). Cheia reală poate fi câteva, dar pentru simplitate presupunem că el este unul.
LMK (cheie master locală) - cheia sub care sau care criptează toate celelalte chei utilizate date HSM.
De ce face asta?
Să presupunem că aveți nevoie pentru a stoca 100 cheie 3DES este 100h16 bytes, iar dacă aveți nevoie de 1000 sau dintr-o dată trebuie să fie stocate 5000 a doua zi după ziua de mâine? Toate acestea trebuie să fie furnizate. Și cum este o modalitate sigură de a proteja cheile (despre un dispozitiv fizic HSM de mai jos). Așa că am decis să facem o destul de elegant.

1. Când doriți să păstrați K-cheie în HSM vă overeat este cheia pentru HSM.
2. HSM Codeaza cheie LMK, iar criptograma K-cheie vă oferă.
3. Acest criptograme vă poate salva în condiții de siguranță incl și disc de calculator violent în cazul în care ați instalat HSM.
4. Când vrei să faci ceva cu acea cheie, da criptograma necesare HSM-in, si el decriptează. Și ceea ce este important, rezervele cheie decriptat numai în mine!

Aici am ajuns la HSM cerință fundamentală - cheile în clartext prezente numai în cadrul HSM. Ie nu poți pur și simplu du-te și de a lua cheile de la HSM în text clar. le Unload numai sub o cheie diferită - și anume, criptograma vvide.
Deci, puteți încărca, de exemplu, HSM două chei A și B și cere recodare de date de la o cheie A la cheie B. Și această operație este re-criptare a datelor dintr-o singură cheie la celălalt este, probabil, cea mai importantă operațiune HSM. Capacitatea sa de a efectua o operație în sine asigură că datele criptate în forma sa pură nu părăsește HSM.






Modern HSM-i posibilitatea de a lucra cu atât de multe funcții de criptare și algoritmi, deci, de exemplu, o listă destul de tipic:

• algoritmi de criptare: RSA asimetrici, DSA, ECDSA, Diffie Hellman
• Semnătura digitală: RSA, DSA (512-1024 biți), ECDSA, PKCS # 1 v1.5, 9796, X509, Timestamp
• algoritmi de criptare simetrici: AES, DES, 3DES, CAST-128, RC2, RC4, SEED, ARIA
• Cod autentificarea mesajelor (MAC): SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, des3 MAC , des3 de vânzare cu amănuntul CFB MAC, MAC DES30x9.19, IDEA MAC, RC-2 MAC, SEED MAC, MAC ARIA, VISA CVV
• Hashing: MD5, SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1
• Curbe eliptic (ECC), curbele ECC Brainpool (denumite și definite de utilizator)
• Generarea de numere aleatoare

HSM are, de asemenea, un sistem de diferențiere a drepturilor - cine poate face ce cu cheile. Și dacă ați uitat sau pierdut parola pentru a inițializa HSM sau parole administrative de la HSM. Nu este doar rău, dar teribil! Puteți salva numai milioane de ani pe linia parola ghicitul. Ocoluri nu este aici! Și de aceea aceste dispozitive nu sunt foarte mândru de agențiile noastre de aplicare a legii.

Și mai multe despre HSM dispozitivului.
Built-in procesor și memorie pe card protejat de o carcasă. Când încercați să se uite la ea, HSM șterge tasta LMK și blocați procesorul de a utiliza.
HSM instalat pe baterie laminat exterior, este proiectat pentru a menține funcționarea procesorului intern. Dacă vă deconectați, veți pierde din nou LMK. Am scris că echipamentul este scump și de calitate - baterie built-turnate funcționează într-adevăr timp de 10-15 ani.
Există, de asemenea, o caracteristică remarcabilă în această rochie, se poate stabili că aceasta a fost eliminată din computer, chiar dacă computerul este oprit, caz în care va pierde din nou LMK!
Încearcă să ghicească cum?

Deasupra sa demonstrat ca HSM în performanța internă așa-numitul - sub formă de taxe. Aceste carduri pot fi instalate în calculatoarele de locuințe și industriale este staovitsya deja HSM extern. Și astfel HSM puteți accesa prin intermediul rețelei TPC / IP.

Acest HSM extern, vedere din spate. Partea frontală este doar un calculator.

Despre HSM este mult de spus și de a scrie trei articole. Și doar profesioniști care pot lucra cu ei în România într-adevăr, în termen de sute.

PINpad
PINpad - de la utilizator este pur și simplu o tastatură numerică, dar în interior este aproape HSM. PINpad are o interfață la un PC standard, ca un COM-port sau USB.
PINpad de performanță semnificativ mai slabă decât HSM dohlenkih și poate să nu fie în stare să facă multe lucruri, dar are o facilitate care îl diferențiază de HSM:
capacitatea de a accepta o intrare PIN de la utilizator și cripta din interiorul cheii, care din nou este stocat în siguranță, în interiorul acestuia.
Această cheie se numește PEK (cheie de criptare PIN) - cheia pentru a cripta codul PIN
PINpad au aceleași cerințe de deschidere, și poate chiar un pic mai substanțială, deoarece de multe ori lucreaza cu ei brutalizate utilizatori. Trebuie remarcat faptul că, în unele cazuri, este posibil să nu aveți PINpad pe POS-terminale, și pot introduce codul PIN direct pe terminal. Toate POS-terminale moderne au, de asemenea, o protecție de deschidere, pentru a evita furtul cheilor de la ei.

Iată două exemple PINpad-uri pentru
ATM sau terminale self-service

Există o listă de dispozitive certificate pe care le puteți introduce codul PIN cu încredere, el nu părăsește dispozitivul nu este criptat l. Această listă se numește lista aprobată PCI PED este prin prezenta www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php

Despre PINpad poate scrie, de asemenea, o mulțime și este un subiect al unui articol separat.

Capătul celei de a doua porțiuni.