Компьютерная безопасность

Для каждой открытой системы выбирается организация, являющаяся центром открытой системы. Этой организации принадлежат мастер-крип-топлаты, и только эта организация может добавлять участников открытой системы. Мастер-криптоплата генерирует общие ключи системы и переносит их в криптоплаты эмитентов.
В дальнейшем эмитент самостоятельно инициализирует свои криптоплаты на основе криптоплат, переданных ему из центра. Каждый участник открытой системы создает часть ключей для использования только своей системой. Это обязательно должны быть ключи кредитования и ЭЦП транзакции.
Сгенерированные ключи системы хранятся в зашифрованном виде в ап-паратно-защищенной памяти самого процессора безопасности. Для шифрования ключей используется RSA алгоритма.
Ключи системы делятся на ключи открытой системы и ключи закрытой системы. Первые получают все участники открытой системы. Общие ключи используются для идентификации карты как карты открытой системы и дебетования карты на РOS-терминале. Кроме ключей открытой системы создается также Kinitl-ключ, идентифицирующий эмитента в открытой системе.
Для каждого нового эмитента создается пара контрольных карт (контрольная и инициализационная), предназначенных для использования при выпуске карт клиентов.
Ключи закрытой системы уникальны для каждого участника системы и создаются модулем управления ключами с использованием процессора безопасности эмитента. В процессе генерации ключей эмитент имеет возможность «переписать» ключ открытой системы Kdebit2. В этом случае он оказывается уникальным ключом эмитента и кошелек смарт-карты,защищенный ключом Kdebit2, становится закрытым криптографическим средством. «Закрытые» кошельки нельзя дебетовать на торговых терминалах других эмитентов. В системе используются следующие ключи:
• ключи клиента;
• ключи эмитента;
• ключи транспортной карты;
• ключи устройств, работающих со смарт-картами.
Каждая карта клиента имеет свой уникальный набор ключей, создающихся на основе парных ключей эмитента. Необходимо отметить, что при инициализации карты клиента в процессинговом центре эмитента все ключи, записываемые на карту, генерируются на основе пары мастер-ключей системы и серийного номера карты. Даже если ключ карты известен пару-шителю, подделать ее невозможно, поскольку у поддельной карты будет другой серийный номер. При этом используется следующий алгоритм: К = DES((DES(CepHHHbm номер карты, Мастер-ключ 1) ХСЖСерийный номер карты), Мастер-ключ 2).
Карта клиента содержит следующие ключи:
• аутентификации;
• дебетования карты (один из них может быть ключом закрытой системы);
• кредитования карты;
• для доступа к файлам на карте (файл транзакции, дополнительные файлы);
• для подписи транзакции при пересылке между участниками системы.
Для каждого эмитента создаются его уникальные ключи закрытой системы:
• кредитования кошельков;
• создания ЭЦП к операциям дебетования и кредитования кошельков;
• доступа к дополнительным файлам на картах клиентов;
• шифрования PIN-кода;
• для подписи транзакции данного эмитента.
Ключи системы загружаются в карточки и во все устройства, работающие с карточками. Далее ключи используются в процессах кредитования/ дебетования карт и при проверке подлинности транзакций во время передачи от терминала к процессинговому модулю и от одного процессингово-го модуля к другому.
Секретные ключи транспортной карты вычисляются и записываются на карту в момент ее инициализации в процессинговом центре. Набор секретных ключей уникален для каждой карты, они являются производными серийного номера карты и парных ключей системы, хранящихся в базе данных. При этом используется алгоритм, аналогичный алгоритмам генерации для ключей клиента. PIN-код, общий для всех транспортных карт, хранится в базе и автоматически прописывается на карту. К ключам транспортной карты относятся:
• ключ, идентифицирующий эмитента;
• ключ для доступа на чтение/запись транзакций на транспортной карте.
Ключи устройств, работающих со смарт-картами (например, PINpad CM 450/SC 455/ SC 552), загружаются в устройство посредством ПО процес-сингового модуля (CMS). Набор загружаемых ключей выбирается в зависимости от назначения устройства (POS-терминал, терминал кредитования и т.д.). Устройство PINpad оснащено модулем SAM, где хранятся ключи в открытом виде, и при попытке вскрытия модуля они сбрасываются из памяти терминала.