Biztonság a nemzetközi fizetési rendszerek, 2. rész - Cikk PCI DSS

A sorozat bemutatása megváltozott. Úgy tűnt, hogy nem értjük az alsó szinten lenne nagyon rossz, hogy azt mondják, hogy a feletti. Ezért ebben az időben a beszélgetés lesz:

Mintegy kriptooborudovanii

A PS hosszú Kétféle típusú kriptooborudovaniya: HSM és PINpad

HSM
HSM (hardveres biztonsági modul) - a speciális számítógép, mely különféle titkosítási műveleteket.

HSM - ez egy csodálatos dolog, és meglehetősen drága. Az alsó szinten van egy speciális célú számítógép, leggyakrabban készült formájában tényező ISA, PCI, PCI-E kártya. Az ilyen HSM szerelve egy vagy két fizikai COM-port kapcsolódik a tartókonzol. Ezek a portok lehet csatlakoztatni a nyomtatót, kártyaolvasó, vagy CRT-terminális.

Ez egy belső HSM.

Ismert gyártók HSM egy, két és obchelsya: ez SafeNet és a Thales e-Security. Szintén a maguk számára előállítani őket IBM, az Intel és számos tisztán zhelezyachnyh irodák.

Ennek lényege, HSM, hogy képes elvégezni a különböző titkosítási műveletek részvétele nélkül a központi processzor a számítógép, amelyen telepítve van. Az adattitkosítás funkciókat ellenőrzik, és egyeztetni nagyon jó minőségű, és a különböző minősítések helyességét / pontosság azok végrehajtását. Bizonyos esetekben azt mondjuk, hogy a HSM felgyorsítja kriptooperatsii, ez részben igaz - csak nagyon gyenge számítógépeken.
A HSM, van egy nagyon fontos funkciója, hogy biztonságosan tárolja belsejében egy kulcs - LMK (helyi mester kulcs). Az igazi kulcs lehet egy pár, de az egyszerűség kedvéért feltételezzük, hogy ő az egyik.
LMK (local master key) - billentyű, amelynek értelmében vagy amely titkosítja az összes többi használt kulcsok HSM adatokat.
Miért ezt?
Tegyük fel, hogy meg kell tárolni 100 3DES kulcs, akkor 100h16 bájt, és ha szükség van 1000 vagy hirtelen kell tárolni 5000 holnapután? Mindez kell biztosítani. És néhány megbízható módon védi a kulcsokat (körülbelül egy fizikai eszköz HSM alább). Ezért úgy döntöttünk, hogy nem egy szép, elegáns.

1. Ha meg szeretné tartani a kulcsot K HSM, akkor adja át a kulcsot a HSM.
2. HSM titkosítja LMK gombot, és a K kulcs titkosírás ad.
3. Ez titkosírás nyugodtan menteni, a Vol. H. És a merevlemezen, ahol telepítette a HSM.
4. Ha szeretne tenni valamit, hogy a kulcs, akkor adja meg a szükséges Kriptogram HSM-ben, és ő dekódolja azt. És fontos, hogy a megfejtett kulcs tartalékokat csak magamban!

Itt érkezünk el azt az alapvető követelményt HSM - kulcsokat kódolatlan jelenleg csak a HSM. E. Nem lehet csak menni, és kap a kulcsot a HSM nyílt szövegben. Kirakodni, csak a másik kulcs - .. Azaz formájában titkosírás.
Azt is, például betöltött HSM két A és B gomb és kérjen rögzítési adatok alapján az A gombot az B gombot és ezt a műveletet újból adatok titkosítását ki az egyik kulcs a másik talán a legfontosabb HSM működését. Hogy képes végrehajtani egy műveletet magában biztosítja, hogy a titkosított adatokat a tiszta formájában nem hagyja el a HSM.
Modern HSM-ek képesek legyenek együttműködni annyi titkosítási funkciók és algoritmusok, így például egy meglehetősen tipikus lista:

• Aszimmetrikus titkosítási algoritmusokat: RSA, DSA, ECDSA Diffie Hellman
• Digitális aláírás: Az RSA, DSA (512-1024 bit), ECDSA, PKCS # 1 v1.5, 9796, X509, időbélyeg
• Szimmetrikus titkosítási algoritmusokat: AES, DES, 3DES, CAST-128, RC2, RC4, vetőmag, ARIA
• Üzenethitelesítő kód (MAC): SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, ripemd160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, DES3 MAC , DES3 Kiskereskedelmi CFB MAC, DES30x9.19 MAC, IDEA MAC, RC-2 MAC, SEED MAC, ARIA MAC, VISA CVV
• Hashelés: MD5, SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, ripemd160, DES MDC-2 PAD1
• Elliptikus görbék (ECC), görbék ECC Brainpool (nevesített és felhasználó által definiált)
• Véletlen szám generálás

HSM is van egy rendszer differenciálódása jogok - ki mit tehet a gombokkal. És ha elfelejtette, vagy elvesztette a jelszavát, hogy inicializálja a HSM vagy HSM közigazgatási jelszavakat, ez nem csak rossz, de szörnyű! Csak akkor lehet menteni évmilliók a vonalon jelszó találgatás. Detours nincs itt! És ez az, amiért ezek az eszközök nem nagyon szereti a bűnüldöző szervek.

És még a készülék HSM.
Beépített processzor és a memória a kártyán védi burkolat. Amikor megpróbál keresni az ő HSM törli LMK-kulcs, és rögzíti a processzor használatát.
HSM telepítve van a külső lítium akkumulátor, úgy tervezték, hogy működésének fenntartását a belső processzor. Ha kihúzza, akkor el fogja veszíteni LMK újra. Azt írta, hogy a berendezés drága és minőség - beépített lítium elem ténylegesen munkát 10-15 év.
Van is egy figyelemre méltó jellemzője ez a kártya: meg tudja állapítani, hogy lekerült a számítógépet, de a számítógép ki van kapcsolva, és ebben az esetben el fogja veszíteni LMK újra!
Próbáld meg kitalálni, hogyan?

HSM fent látható az úgynevezett belső teljesítmény - a díjak formájában. Az ilyen kártyák lehet telepíteni a házban ipari számítógépek, és már egyre külső HSM. És így HSM keresztül érhet a TCP / IP-hálózaton.

Ez a külső HSM, tolatókamera. Az első csak egy számítógépet.

Körülbelül HSM egy csomó mondani, és írjon három cikket. És a szakemberek, akik a velük foglalkozó tartozik igazán a száz.

PINpad
PINpad - a felhasználó egyszerűen egy numerikus billentyűzet, de belül szinte HSM. PINpad van egy interfész egy szabványos PC COM-port vagy USB.
PINpad lényegesen gyengébb teljesítményt, mint a dohlenkih a HSM és nem lehet tudni, hogy nem sok mindent, de ez már az egyik jellemzője, amely megkülönbözteti a HSM: az a képesség, hogy elfogadja a PIN-kódot a felhasználó és titkosítja belül a kulcsot, ami ismét ez biztonságosan tároljuk benne.
Ez a kulcs az úgynevezett PEK (PIN titkosító kulcs) - a kulcs titkosításához PIN
PINpad azonos követelményeket a nyitó, és talán még egy kicsit több jelentős, t. Hogy. A munkát velük gyakran brutális felhasználók. Meg kell jegyezni, hogy bizonyos esetekben előfordulhat, hogy nincs PINpad POS-terminálok és adja meg a PIN-kódot közvetlenül a terminálon. Minden modern POS terminálok is védelmet megnyitása - annak érdekében, hogy elkerüljék a lopást a kulcsokat tőlük.

Íme két példa PINpad-ek: ATM, vagy önkiszolgáló terminál.

Van egy lista a minősített eszközök, ahol megadhatja a PIN teljes bizonyossággal, hogy nem hagyta el a titkosítatlan eszköz. Ez a lista az úgynevezett PCI PED jóváhagyott listán, akkor van feltüntetve.

Mintegy PINpad is sokat írni, és ez a téma egy másik cikk.