КРИПТОПОДСИСТЕМА

Криптография для подготовки данных, персонализации и тестирования пластиковых карт

Криптоподсистема предназначена для обеспечения безопасности процессов подготовки данных, персонализации карт и их тестирования. Криптоподсистема включает в себя криптографическое оборудование и его программную составляющую, а также управляющее программное обеспечение.

На стадии подготовки выпуска карт криптоподсистема осуществляет:

  • Генерацию ПИН-кода и печать секретных величин;
  • Вычисление специализированных величин для кодирования магнитной полосы (CVV, iCVV, PVV);
  • Выполнение операций, необходимых для подготовки данных, выпуска и обслуживания смарт-карт:
  • генерацию и безопасное хранение ключей эмитента, запросов на получение сертификатов;
  • генерацию, проверку и разбор сертификатов RSA-ключей эмитента;
  • трансляция компонент RSA-ключей из одного представления в другое;
  • генерацию ключей карты;
  • перешифрование данных из одних зон безопасности в другие.

На стадии персонализации криптоподсистема выполняет:

  • диверсификацию UDK-ключей;
  • генерацию RSA-ключей карты и сертификатов;
  • перешифрование и безопасное перемещение данных;
  • формирование и переформатирование ПИН-блока;
  • вычисление MAC;
  • выполнение специфичных для каждого типа native-карт функций шифрования.

Аппаратная составляющая криптоподсистемы может быть представлена высокопроизводительным криптооборудованием компаний SafeNet (Eracom), Thales e-Security или специальными SAM-картами. Существует также программная эмуляция криптооборудования, полезная на этапах внедрения и тестирования.

Управляющая программная часть криптоподсистемы должна выполнять процедуры управления ключами LMK, ZCMK, RSA и рабочими ключами эмитента, а также предоставлять интерфейс внешним приложениям для безопасного выполнения прикладных криптопроцедур.

Специфика криптографии смарт-карт

Многие годы криптографические системы использовались в сфере пластиковых карт для подготовки данных, персонализации карт и авторизации транзакций. Технологии работы этого оборудования, обеспечивающего работу с картами с магнитной полосой, были разработаны, отлажены и унифицированы в значительной степени больше, чем криптографические системы для смарт-карт. Для выпуска карт с магнитной полосой прекрасно подходит оборудование Thales e-Security, спектр криптографических функции которого детерминированы версией прошивки.

Сегодня смарт-карты получают все большее распространение, появляются новые приложения, более комплексные схемы их персонализации и использования. Динамичное развитие отрасли требует от криптоподсистемы гибкой поддержки новых тенденций. Платежные системы достаточно часто выпускают новые спецификации и их уточнения; в условиях постоянного изменения и развития рынка эмитенты переходят от одного типа смарт-карты на другой, увеличивают спектр персонализируемых приложений - и все это влечет за собой расширение набора криптографических функций, необходимых для защиты информации, персонализируемой на карте.

Специфика решений на базе устройств SafeNet

В настоящее время на рынке существуют криптоустройства, в значительной мере учитывающие вышеперечисленные особенности смарт-персонализации. Оборудование SafeNet предоставляет разработчику возможность загружать реализации криптографических функций (функциональные модули - FM), отвечающих потребностям конкретного проекта. Благодаря этому модификация состава функциональных модулей может осуществляться сторонними разработчиками без участия производителя оборудования.

Такими же преимуществами, наряду с исключительно невысокой ценой, обладают SAM-карты на основе Java-карт или карт с открытой платформой.

Специфика решения на базе устройств Thales e-Security

Устройства Thales e-Security реализуют несколько другую идеологию: любое изменение в схеме криптографической поддержки персонализации, связанное, например, с добавлением нового приложения, использующего специфическую криптографию, требует изменения прошивки оборудования, что является сложной технической процедурой и требует непосредственного участия производителя оборудования.

Управление ключами

Важной задачей в сфере криптографической безопасности является управление ключами, используемыми в постоянной работе (Key Management).

Эмитент работает со значительным количеством ключевого материала и секретных величин, а именно:

  • генерирует RSA-ключи эмитента, вычисляет их сертификаты;
  • передает информацию и ключи из одной зоны безопасности в другую;
  • оперирует ключами для обеспечения безопасного обмена информацией с картой (Secure Messaging);
  • работает с ключами в других симметричных и асимметричных схемах безопасности.

В связи с этим возникает потребность в удобном средстве для управления и хранения ключевого материала, которое значительно упрощает операции:

  • контроля времени генерации и сроков действия ключей;
  • автоматической проверки KCV-ключа и его принадлежности к определенной зоне безопасности;
  • автоматической замены ключей.

Удобно, когда работать можно с большинством видов криптооборудования (SafeNet, Thales e-Security, SAM-картами и другие), не меняя криптоподсистему и, главное, системы, на нее опирающиеся. Такое преимущество достигается в том случае, если криптоподсистема имеет возможность динамично развиваться и соответствовать требованиям платежных систем.

Решения компании ПРОНИТ

Key Management System программное решение для автоматизации управления криптографическими ключами
KeyCompass CSS программное решение для управления криптооборудованием SafeNet, Thales e-Security и SAM-картами
Cert_Auth модуль проверки формата Issuer Self-signed Certificate