BIS Journal №2(49)2023

16 июня, 2023

Полноценная замена. В КриптоПро разработали отечественный HSM-модуль

В части импортозамещения в банковской сфере крайне важным и актуальным сегодня является вопрос импортозамещения аппаратных модулей безопасности платежных систем (HSM-модулей), предназначенных для обеспечения криптографической защиты чувствительной информации, обрабатываемой в платёжных системах, и безопасного хранения криптографических ключей.

HSM-модуль является ключевым и одним из самых сложных элементов платежных систем, в том числе Национальной Системы Платежных Карт (НСПК). Поэтому создание и импортозамещение этих модулей является фундаментальным элементом нашей национальной технологической независимости и бесперебойности функционирования финансовой системы. И после ухода из России компании Thales — крупнейшего производителя платежных HSM, с помощью HSM-модулей которого осуществляется более 80% мирового объема транзакций по платежным картам, в том числе крупнейшими российскими банками, — требование импортозамещения данных модулей стало объективной реальностью, подкрепленной требованиями отечественных регуляторов.

Ещё до ухода Thales из России, в Положении Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» было закреплено требование о том, что с 1 января 2024 года в национально значимых платёжных системах должны использоваться только HSM-модули, реализующие иностранные, либо российские и иностранные криптографические алгоритмы, и имеющие подтверждение соответствия требованиям, установленным ФСБ России. Поддержка иностранной криптографии в данном случае обусловлена необходимостью обеспечения совместимости при обслуживании платежных карт международных платежных систем, в первую очередь Visa и MasterCard, которые, однако, в прошлом году также покинули российский рынок. 

Во исполнение 719-П ФСБ России и Банком России совместно разработаны и опубликованы на официальных сайтах соответствующие требования к HSM-модулям и иным элементам платежной системы, функционирующим совместно с ними — банкоматам, платежным терминалам и т. д. (утв. ФСБ России 24.01.2020, 28.02.2020 N ФТ-56-3/32).

Как указано выше, данные требования регуляторов появились заблаговременно, еще до ухода Thales из России. И, как показали события прошлого года, это был оправданный, стратегически продуманный шаг со стороны регуляторов, позволивший финансовым организациям и отечественным производителям HSM-модулей подготовиться к возможным негативным сценариям, некоторые из которых мы как раз сейчас наблюдаем. 

Еще один важный момент — со своим уходом компания Thales полностью прекратила поставки оборудования и техническую поддержку HSM-модулей, которые были поставлены в Россию. И в ближайшие несколько лет это может привести к тому, что устройства начнут выходить из строя без возможности их ремонта внутри страны, из-за того, что они конструктивно являются неразборными. По сути, отсутствие технической поддержки и прекращение поставок приводит к тому, что отдельные кредитные организации уже сейчас начинают испытывать серьезные трудности в этом вопросе. Поэтому вопрос замены HSM-модулей на российские становится еще более актуальным. 

Для разрешения сложившейся ситуации создана и функционирует рабочая группа в составе Банка России, НСПК, основных банков РФ, компаний-разработчиков процессингового ПО и HSM-модулей, идет активное тестирование модулей, большинством банков проведено тестирование на программных эмуляторах, наращивает обороты тестирование аппаратных модулей, после которого можно будет уже приступать к промышленной эксплуатации. И мы надеемся, что к 1 января 2024 года российские аппаратные модули займут свое достойное место в Национальной платежной системе. 

Уже сейчас технически все для этого готово. В частности, специалистами КриптоПро разработан HSM-модуль, который предоставляет возможность полноценной замены (как по функционалу, так и по производительности) соответствующих модулей иностранного производства (в том числе HSM-модулей Thales) в действующих схемах подключения в рамках функционирования информационных систем участников финансового рынка: 

  • банков — эмитентов платёжных карт;
  • банков, осуществляющих эквайринг платёжных карт;
  • процессинговых центров операторов платёжных систем.

HSM-модуль от КриптоПро разработан на основе программно-аппаратного криптографического модуля «КриптоПро HSM» версии 2.0, который был дополнен программным модулем безопасности для систем платёжных карт, разработанным в соответствии с Положением Банка России от 4 июня 2020 г. N 719-П и PCI PTS HSM Modular Security Requirements. 

Платёжный HSM реализует программно-аппаратный интерфейс поддержки операций системы платёжных карт, позволяя решать следующие задачи:

  • Инициализация и эмиссия платёжных карт с магнитной полосой, бесконтактных и смарт-карт, включая генерацию PIN/CVC/CVP и печать PIN-конвертов, смену и проверку PIN и прочее.
  • Управление ключами (и обеспечение безопасности ключей) на всех этапах жизненного цикла (включая генерацию, печать ключевых компонент, формирование ключей из компонент, диверсификацию ключей, импорт/экспорт и трансляцию).
  • Обработка платёжных транзакций, банковских транзакций от платёжных устройств.

 

Поддерживаемые алгоритмы

  • Шифрование: 2DES, 3DES, AES
  • Электронная подпись: RSA, ECDSA
  • Хэш-функции: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, MD5, ISO 10118-2
  • MAC: ISO 9797-1 MAC algorithm 1, ISO 9797-1 MAC algorithm 3, ANSI X9.19, CBC-MAC, CMAC
  • Согласование ключей: ECDH

 

Форматы ключей

  • KeyBlock (в том числе ANSI X9 TR-31)
  • ANSI X9.17
  • Variant

 

Форматы PIN-блоков

  • ISO 9564-1 & ANSI X9.8 Format 0. ISO Format: 0, алгоритм: 2DES, 3DES.
  • ISO 9564-1 Format 1. ISO Format: 1, алгоритм: 2DES, 3DES.
  • Standard EMV 1996. ISO Format: 2, алгоритм: 2DES, 3DES.
  • Mastercard Pay Now & Pay Later. Алгоритм: 2DES, 3DES.
  • Visa/Amex new PIN only. Алгоритм: 2DES, 3DES.
  • Visa/Amex new & old PIN. Алгоритм: 2DES, 3DES.
  • ISO 9564-1 & ANSI X9.8 Format 3. ISO Format: 3, алгоритм: 2DES, 3DES.
  • ISO 9564-1 Format 4. ISO Format: 4, алгоритм: AES.

 

Производительность(на примере операции трансляции PIN-блоков)

  • 10 000 tps на AES
  • 20 000 tps на 3DES

 

Поддерживаемые технологии

  • МИР
  • Visa VIS, Visa VCP, Mastercard M/Chip, Mastercard MCBP, American Express AEIPS, JCB, Union Pay
  • EMV 3.1.1, EMV 4.1, EMV 4.3
  • Visa CVV, iCVV, CAVV; Mastercard CVC, Chip CVC, AAV
  • IBM 3624 (IBM Offset)
  • ABA PVV
  • Mastercard CAP, Visa DPA
  • Global Platform Secure Channel Protocol 2 (SCP02), Secure Channel Protocol 3 (SCP03); EMV Common Personalization Specification (EMV CPS)
  • DUKPT (X9.24)
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.12.2024
Безбумажность подождёт! «Сбербанк» возвращает «аналоговые» документы в моду
11.12.2024
«Код Безопасности» присоединился к Консорциуму для исследований безопасности ИИ-технологий
11.12.2024
Расходы на новые ИТ-активы должны будут утверждаться правкомиссией по цифровому развитию
11.12.2024
РКН покажет, где правильно хоститься
11.12.2024
Дата-центры наконец-то перестанут «крутить счётчики»
10.12.2024
Конференция «Сетевая безопасность». Эксперты — о рынке NGFW
10.12.2024
В России появится реестр «хороших мальчиков». Депутаты хотят оцифровать домашних и безнадзорных животных
10.12.2024
Период «охлаждения» приходит в сферу недвижимости
10.12.2024
Григоренко: Важно не просто заместить зарубежное ПО, но и тиражировать новое
10.12.2024
Банк России представил III квартал 2024 года в антифрод-разрезе

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных