Криптография для подготовки данных, персонализации и тестирования пластиковых карт

Криптоподсистема предназначена для обеспечения безопасности процессов подготовки данных, персонализации карт и их тестирования. Криптоподсистема включает в себя криптографическое оборудование и его программную составляющую, а также управляющее программное обеспечение.

На стадии подготовки выпуска карт криптоподсистема осуществляет:

• Генерацию ПИН-кода и печать секретных величин;
• Вычисление специализированных величин для кодирования магнитной полосы (CVV, iCVV, PVV);
• Выполнение операций, необходимых для подготовки данных, выпуска и обслуживания смарт-карт:

• генерацию и безопасное хранение ключей эмитента, запросов на получение сертификатов;
• генерацию, проверку и разбор сертификатов RSA-ключей эмитента;
• трансляция компонент RSA-ключей из одного представления в другое;
• генерацию ключей карты;
• перешифрование данных из одних зон безопасности в другие.

На стадии персонализации криптоподсистема выполняет:

• диверсификацию UDK-ключей;
• генерацию RSA-ключей карты и сертификатов;
• перешифрование и безопасное перемещение данных;
• формирование и переформатирование ПИН-блока;
• вычисление MAC;
• выполнение специфичных для каждого типа native-карт функций шифрования.

Аппаратная составляющая криптоподсистемы может быть представлена высокопроизводительным криптооборудованием компаний SafeNet (Eracom), Thales e-Security или специальными SAM-картами. Существует также программная эмуляция криптооборудования, полезная на этапах внедрения и тестирования.

Управляющая программная часть криптоподсистемы должна выполнять процедуры управления ключами LMK, ZCMK, RSA и рабочими ключами эмитента, а также предоставлять интерфейс внешним приложениям для безопасного выполнения прикладных криптопроцедур.

Специфика криптографии смарт-карт

Многие годы криптографические системы использовались в сфере пластиковых карт для подготовки данных, персонализации карт и авторизации транзакций. Технологии работы этого оборудования, обеспечивающего работу с картами с магнитной полосой, были разработаны, отлажены и унифицированы в значительной степени больше, чем криптографические системы для смарт-карт. Для выпуска карт с магнитной полосой прекрасно подходит оборудование Thales e-Security, спектр криптографических функции которого детерминированы версией прошивки.

Сегодня смарт-карты получают все большее распространение, появляются новые приложения, более комплексные схемы их персонализации и использования. Динамичное развитие отрасли требует от криптоподсистемы гибкой поддержки новых тенденций. Платежные системы достаточно часто выпускают новые спецификации и их уточнения; в условиях постоянного изменения и развития рынка эмитенты переходят от одного типа смарт-карты на другой, увеличивают спектр персонализируемых приложений - и все это влечет за собой расширение набора криптографических функций, необходимых для защиты информации, персонализируемой на карте.

Специфика решений на базе устройств SafeNet

В настоящее время на рынке существуют криптоустройства, в значительной мере учитывающие вышеперечисленные особенности смарт-персонализации. Оборудование SafeNet предоставляет разработчику возможность загружать реализации криптографических функций (функциональные модули - FM), отвечающих потребностям конкретного проекта. Благодаря этому модификация состава функциональных модулей может осуществляться сторонними разработчиками без участия производителя оборудования.

Такими же преимуществами, наряду с исключительно невысокой ценой, обладают SAM-карты на основе Java-карт или карт с открытой платформой.

Специфика решения на базе устройств Thales e-Security

Устройства Thales e-Security реализуют несколько другую идеологию: любое изменение в схеме криптографической поддержки персонализации, связанное, например, с добавлением нового приложения, использующего специфическую криптографию, требует изменения прошивки оборудования, что является сложной технической процедурой и требует непосредственного участия производителя оборудования.

Управление ключами

Важной задачей в сфере криптографической безопасности является управление ключами, используемыми в постоянной работе (Key Management).

Эмитент работает со значительным количеством ключевого материала и секретных величин, а именно:

• генерирует RSA-ключи эмитента, вычисляет их сертификаты;
• передает информацию и ключи из одной зоны безопасности в другую;
• оперирует ключами для обеспечения безопасного обмена информацией с картой (Secure Messaging);
• работает с ключами в других симметричных и асимметричных схемах безопасности.

В связи с этим возникает потребность в удобном средстве для управления и хранения ключевого материала, которое значительно упрощает операции:

• контроля времени генерации и сроков действия ключей;
• автоматической проверки KCV-ключа и его принадлежности к определенной зоне безопасности;
• автоматической замены ключей.

Удобно, когда работать можно с большинством видов криптооборудования (SafeNet, Thales e-Security, SAM-картами и другие), не меняя криптоподсистему и, главное, системы, на нее опирающиеся. Такое преимущество достигается в том случае, если криптоподсистема имеет возможность динамично развиваться и соответствовать требованиям платежных систем.

Решения компании ПРОНИТ