Biztonság a nemzetközi fizetési rendszerek

A sorozat bemutatása valamelyest változott az eredeti tervek. Mivel úgy tűnt, hogy nem értjük az alsó szinten lenne nagyon rossz, hogy elmondja, hogy a feletti. Ezért ebben az időben a beszélgetés lesz:

Mintegy kriptooborudovanii

A PS hosszú Kétféle típusú kriptooborudovaniya: HSM és PINpad

HSM
HSM (hardveres biztonsági modul) - a speciális számítógép, mely különféle titkosítási műveleteket.

HSM egy csodálatos dolog, és meglehetősen drága. Az alsó szinten egy speciális számítógép leggyakrabban készült formájában tényező ISA, PCI, PCI-E kártya. Az ilyen HSM szerelve egy vagy két fizikai COM-port kapcsolódik a tartókonzol. Dunn portokat használ, hogy csatlakoztassa a nyomtatót, kártyaolvasó, vagy CRT-terminális.

Ez egy belső HSM

HSM ismert gyártó egy és két és obchelsya van SafeNet és a Thales e-Security. Csak a magam azok előállítására IBM, az Intel és számos tisztán zhelezyachnyh irodák.

Ennek lényege, HSM, hogy képes elvégezni a különböző titkosítási műveletek részvétele nélkül a központi processzor a számítógép, amelyen telepítve van. És mi az adattitkosítás funkciókat ellenőrzik, és egyeztetni nagyon magas színvonalú és különféle igazolások „helyes, helyes” a teljesítményüket. Bizonyos esetekben, azt mondják, hogy a HSM gyorsítja kriptooperatsii része az igazi, csak nagyon gyenge számítógépeken.
A HSM, van egy nagyon fontos funkciója, hogy biztonságosan tárolni és azon belül az egyik legfontosabb - LMK (helyi mester kulcs). Az igazi kulcs lehet egy pár, de az egyszerűség kedvéért feltételezzük, hogy ő az egyik.
LMK (local master key) - billentyű, amelynek értelmében vagy amely titkosítja az összes többi használt kulcsok HSM adatokat.
Miért ezt?
Tegyük fel, hogy meg kell tárolni 100 3DES kulcs 100h16 bájt, és ha kell 1000 vagy hirtelen kell tárolni 5000 holnapután? Mindez kell biztosítani. És hogy van egy megbízható módja annak, hogy megvédje a kulcsot (egy fizikai eszköz HSM alább). Ezért úgy döntöttünk, hogy nem egy szép, elegáns.

1. Ha meg szeretné tartani a kulcsot K HSM akkor sokat eszik a legfontosabb, hogy a HSM.
2. HSM titkosítja LMK gombot, és a K kulcs titkosírás ad.
3. Ez titkosírás nyugodtan menteni incl és erőszakos számítógépes lemezen, ahol telepítette a HSM.
4. Ha szeretne tenni valamit, hogy a kulcs, akkor adja meg a szükséges Kriptogram HSM-ben, és ő dekódolja azt. És ami fontos, a megfejtett kulcs tartalékokat csak magamban!

Itt érkezünk el azt az alapvető követelményt HSM - kulcsokat kódolatlan jelenleg csak a HSM. Ie nem lehet csak úgy megy, és kap a kulcsot a HSM nyílt szövegben. Kirakodni, csak a másik kulcs - azaz vvide titkosírás.
Így például betölteni a HSM két A és B gomb és kérjen rögzítési adatokat a kulcs A kulcsrakész B. és ezt a műveletet újból adatok titkosítását egyetlen kulcs a másik talán a legfontosabb HSM működését. Hogy képes végrehajtani egy műveletet magában biztosítja, hogy a titkosított adatokat a tiszta formájában nem hagyja el a HSM.
Modern HSM-ek képesek legyenek együttműködni annyi titkosítási funkciók és algoritmusok, így például egy meglehetősen tipikus lista:

• Aszimmetrikus titkosítási algoritmusokat: RSA, DSA, ECDSA Diffie Hellman
• Digitális aláírás: Az RSA, DSA (512-1024 bit), ECDSA, PKCS # 1 v1.5, 9796, X509, időbélyeg
• Szimmetrikus titkosítási algoritmusokat: AES, DES, 3DES, CAST-128, RC2, RC4, vetőmag, ARIA
• Üzenethitelesítő kód (MAC): SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, ripemd160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, DES3 MAC , DES3 Kiskereskedelmi CFB MAC, DES30x9.19 MAC, IDEA MAC, RC-2 MAC, SEED MAC, ARIA MAC, VISA CVV
• Hashelés: MD5, SHA-1, SHA-256, SHA-384, SHA-512, MD2, RIPEMD128, ripemd160, DES MDC-2 PAD1
• Elliptikus görbék (ECC), görbék ECC Brainpool (nevesített és felhasználó által definiált)
• Véletlen szám generálás

HSM is van egy rendszer differenciálódása jogok - ki mit tehet a gombokkal. És ha elfelejtette, vagy elvesztette a jelszavát, hogy inicializálja a HSM vagy közigazgatási jelszavakat a HSM. Ez nem csak rossz, de szörnyű! Csak akkor lehet menteni évmilliók a vonalon jelszó találgatás. Detours nincs itt! És ez az, amiért ezek az eszközök nem nagyon szereti a bűnüldöző szervek.

És még a készülék HSM.
Beépített processzor és a memória a kártyán védi burkolat. Amikor megpróbál, hogy nézd meg, a HSM törli LMK gombot és rögzítse a processzor használható.
HSM telepítve a külső öntvény elem, úgy tervezték, hogy működésének fenntartását a belső processzor. Ha kihúzza, akkor el fogja veszíteni LMK újra. Azt írta, hogy a berendezés drága és minőség - beépített akkumulátor öntött igazán működik 10-15 év.
Van is egy figyelemre méltó jellemzője ez a ruha, akkor meghatározhatja, hogy lekerült a számítógépet, de a számítógép ki van kapcsolva, és ebben az esetben el fogja veszíteni LMK újra!
Próbáld meg kitalálni, hogyan?

Fent azt mutatták, mint a HSM úgynevezett belső teljesítmény - a díjak formájában. Az ilyen kártyák lehet telepíteni a ház és ipari számítógépek már staovitsya külső HSM. És így HSM keresztül érhet a TCP / IP-hálózaton.

Ez a külső HSM, tolatókamera. Az első csak egy számítógépet.

Körülbelül HSM egy csomó mondani, és írjon három cikket. És csak a szakemberek, akik a velük foglalkozó tartozik igazán a száz.

PINpad
PINpad - a felhasználó egyszerűen egy numerikus billentyűzet, de belül szinte HSM. PINpad van egy interfész egy szabványos PC COM-port vagy USB.
PINpad lényegesen gyengébb teljesítményt, mint a dohlenkih HSM és nem lehet tudni, hogy nem sok mindent, de ez már az egyik jellemzője, amely megkülönbözteti a HSM:
A képesség, hogy elfogadja a PIN kód megadására a felhasználó, és titkosítja belül a kulcsot, ami ismét biztonságosan tároljuk benne.
Ez a kulcs az úgynevezett PEK (PIN titkosító kulcs) - a kulcs titkosításához PIN
PINpad azonos követelményeket a nyitó, és talán még egy kicsit többet, mert jelentős Gyakran együtt dolgozni velük eldurvult felhasználók. Meg kell jegyezni, hogy bizonyos esetekben előfordulhat, hogy nincs PINpad POS-terminálok, és adja meg a PIN-kódot közvetlenül a terminálon. Minden modern POS terminálok is védelmet nyújt a nyitó, annak érdekében, hogy elkerüljék a lopást a kulcsokat tőlük.

Íme két példa PINpad-s
ATM vagy önkiszolgáló terminál

Van egy lista a minősített eszközök, amelyek segítségével adja meg a PIN-kódot a bizalom, hogy nem hagyja el a berendezést nem titkosított azt. Ez a lista az úgynevezett PCI PED jóváhagyott listán ez a rendelet www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php

Mintegy PINpad is sokat írnak, és ez a téma egy külön cikkben.

A végén a második rész.