Сигурността в международните платежни системи, Част 2 - статия с PCI DSS

Последователността на представяне е променило. Струваше ми се, че без да разбират по-ниското ниво би било много погрешно да се каже, че на ниво по-горе. Ето защо, в този момент на разговора ще бъде:

За kriptooborudovanii

В PS в дългосрочен използва два вида kriptooborudovaniya: HSM и PINPAD

HSM
HSM (модул за защита хардуер) - специализиран компютър, който изпълнява различни криптографски операции.

HSM - това е нещо прекрасно, и доста скъпо. На по-ниско ниво е компютър със специално предназначение, най-често се прави във форм-фактор на ISA, PCI, PCI-E карта. Такава HSM оборудван с една или две физически COM-портове, свързани с монтажната скоба. Тези портове се използват за свързване на принтера, четец на карти, или CRT-терминал.

Това е вътрешен HSM.

Известни производители HSM един, два и obchelsya: го SafeNet и Thales електронна сигурност. Също така за себе си ги произвежда IBM, Intel и редица чисто zhelezyachnyh офиси.

Същността на HSM е, че тя може да изпълнява различни криптографски операции без участието на централния процесор на компютъра, на който е инсталиран. Функциите за шифроване на данни се проверяват и съгласуват с много високо качество и имат различни сертификати за коректност / точност на тяхното изпълнение. В някои случаи ние казваме, че HSM ускорява kriptooperatsii, това е отчасти вярно - само на наистина слаби компютри.
В HSM, има една много важна функция, тя съхранява сигурно вътре един ключ - LMK (местен майстор ключ). Истинският ключ може да е малко, но за простота приемем, че той е един.
LMK (местен майстор ключ) - ключ, при които или който криптира всички останали ключове, използвани данни HSM.
Защо направи това?
Да предположим, че трябва да се съхранява 100 3DES ключ, то 100h16 байта, и ако имате нужда от 1000 или изведнъж трябва да се съхраняват 5000 вдругиден? Всичко това трябва да бъде предоставена. И в някои надежден начин за защита на ключовете (около физическо устройство HSM-долу). Затова решихме да направим доста елегантна.

1. Когато искате да се запази ключовата K в HSM, се преминава ключа в HSM.
2. HSM криптира LMK ключ и ключ K криптограма дава.
3. Тази криптограма можете спокойно да спаси, в т. Н. И на вашия твърд диск, където сте инсталирали на HSM.
4. Когато искате да направите нещо с този ключ, ще ви даде необходимата криптограма HSM-в, и той го разшифрова. И важното е, че се декриптират ключовите резерви само в себе си!

Тук стигаме до основно изискване HSM - ключове в чист текст присъства само в рамките на HSM. Е. Не може просто да отиде и да получите ключовете от HSM в чист текст. Оставете ги само под различен ключ - .. Т.е., под формата на криптограма.
Можете също така, например, зареден в HSM два ключа А и Б и попитайте за прекодиране на данни от под ключ под ключовото Б. И тази операция е отново за криптиране на данни от един ключ за друг е може би най-важната операция HSM. Способността му да направи операция в себе си да гарантира, че криптираните данни в чист вид не напускат HSM.






Модерен HSM-ите могат да работят с толкова много функции и алгоритми за криптиране, така например, доста типичен списък:

• Асиметричните алгоритми за криптиране: RSA, DSA, ECDSA, Diffie Hellman
• Цифров подпис: RSA, DSA (512-1024 бита), ECDSA, PKCS 1 v1.5, 9796, X509, клеймото
• Симетрични криптиращи алгоритми: AES, DES, 3DES, CAST-128, RC2, RC4, SEED, ARIA
• удостоверяване съобщение код (MAC): SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, des3 MAC , des3 дребно CFB MAC, DES30x9.19 MAC, IDEA MAC, RC-2 MAC, SEED MAC, ARIA MAC, VISA CVV
• Хеширане: MD5, SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1
• Елиптични криви (ECC), криви ECC Brainpool (Име и дефинирани от потребителя)
• Генериране на случайни числа

HSM също има система за диференциация на права - кой може да направи това, което с ключовете. И ако сте забравили или изгубили паролата за инициализиране на HSM или административни пароли HSM, това е не само лошо, но ужасно! Можете да запишете само милиони години на паролата по линия познае. Обичайния си маршрут не е тук! И това е защо тези устройства не са много любители на нашите правоохранителни органи.

И още за HSM на устройството.
Вграден процесор и паметта на картата, защитен с корпус. Когато се опитате да погледнете под нея HSM изтрие LMK ключ и заключва процесор за ползване.
HSM е монтиран на външната литиева батерия, има за цел да поддържа функционирането на вътрешния процесор. Ако го изключите, ще загубите LMK отново. Написах, че оборудването е скъпо и качество - построен литиеви батерии са всъщност работят в продължение на 10-15 години.
Налице е също така забележителен функция в тази карта: тя може да се определи, че тя е била извадена от компютъра, въпреки че компютърът е изключен, в който случай ще загубите LMK отново!
Опитайте се да предполагам как?

HSM-горе, е показано на така наречения вътрешен изпълнение - под формата на такси. Тези карти могат да бъдат монтирани в корпуса на промишлени компютри, и тя вече се превръща външен HSM. И така HSM можете да получите достъп чрез мрежата TPC / IP.

Този външен HSM, задно виждане. Предната част е само един компютър.

За HSM какво да кажа и напиша три статии. И професионалисти, които могат да работят с тях в България наистина в рамките на стотици.

PINPAD
PINPAD - от страна на потребителя е просто цифрова клавиатура, но вътре в нея е почти HSM. PINPAD има един интерфейс към стандартен персонален компютър като COM-порт или USB.
PINPAD значително по-слаба производителност в сравнение с dohlenkih на HSM, и може да не е в състояние да направи много неща, но има една функция, която го отличава от HSM: е възможността да се приеме PIN от страна на потребителя и да го криптирате под коша, което отново тя се съхранява сигурно вътре в нея.
Този ключ се нарича ПЕК (ключ за криптиране PIN) - ключ за криптиране на ПИН
PINPAD има същите изисквания за откриването, а може би дори малко по-съществено, т. За. Работата с тях често жестоко потребители. Трябва да се отбележи, че в някои случаи може да не сте PINPAD на ПОС терминали и въведете ПИН-кода директно на терминала. Всички съвременни POS-терминали също имат защита срещу отваряне - за да се избегне кражба на ключовете си от тях.

Ето два примера PINPAD-S: ATM или терминални самообслужване.

Има списък на сертифицирани устройства, където можете да въведете ПИН код, със сигурност, че той не напусне некриптиран устройство. Този списък се нарича PCI PED Одобрен списък, той е даден тук.

За PINPAD може също да пиша много, а това е тема за друга статия.