BIS Journal №2(49)2023

16 июня, 2023

Полноценная замена. В КриптоПро разработали отечественный HSM-модуль

В части импортозамещения в банковской сфере крайне важным и актуальным сегодня является вопрос импортозамещения аппаратных модулей безопасности платежных систем (HSM-модулей), предназначенных для обеспечения криптографической защиты чувствительной информации, обрабатываемой в платёжных системах, и безопасного хранения криптографических ключей.

HSM-модуль является ключевым и одним из самых сложных элементов платежных систем, в том числе Национальной Системы Платежных Карт (НСПК). Поэтому создание и импортозамещение этих модулей является фундаментальным элементом нашей национальной технологической независимости и бесперебойности функционирования финансовой системы. И после ухода из России компании Thales — крупнейшего производителя платежных HSM, с помощью HSM-модулей которого осуществляется более 80% мирового объема транзакций по платежным картам, в том числе крупнейшими российскими банками, — требование импортозамещения данных модулей стало объективной реальностью, подкрепленной требованиями отечественных регуляторов.

Ещё до ухода Thales из России, в Положении Банка России от 4 июня 2020 г. N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» было закреплено требование о том, что с 1 января 2024 года в национально значимых платёжных системах должны использоваться только HSM-модули, реализующие иностранные, либо российские и иностранные криптографические алгоритмы, и имеющие подтверждение соответствия требованиям, установленным ФСБ России. Поддержка иностранной криптографии в данном случае обусловлена необходимостью обеспечения совместимости при обслуживании платежных карт международных платежных систем, в первую очередь Visa и MasterCard, которые, однако, в прошлом году также покинули российский рынок. 

Во исполнение 719-П ФСБ России и Банком России совместно разработаны и опубликованы на официальных сайтах соответствующие требования к HSM-модулям и иным элементам платежной системы, функционирующим совместно с ними — банкоматам, платежным терминалам и т. д. (утв. ФСБ России 24.01.2020, 28.02.2020 N ФТ-56-3/32).

Как указано выше, данные требования регуляторов появились заблаговременно, еще до ухода Thales из России. И, как показали события прошлого года, это был оправданный, стратегически продуманный шаг со стороны регуляторов, позволивший финансовым организациям и отечественным производителям HSM-модулей подготовиться к возможным негативным сценариям, некоторые из которых мы как раз сейчас наблюдаем. 

Еще один важный момент — со своим уходом компания Thales полностью прекратила поставки оборудования и техническую поддержку HSM-модулей, которые были поставлены в Россию. И в ближайшие несколько лет это может привести к тому, что устройства начнут выходить из строя без возможности их ремонта внутри страны, из-за того, что они конструктивно являются неразборными. По сути, отсутствие технической поддержки и прекращение поставок приводит к тому, что отдельные кредитные организации уже сейчас начинают испытывать серьезные трудности в этом вопросе. Поэтому вопрос замены HSM-модулей на российские становится еще более актуальным. 

Для разрешения сложившейся ситуации создана и функционирует рабочая группа в составе Банка России, НСПК, основных банков РФ, компаний-разработчиков процессингового ПО и HSM-модулей, идет активное тестирование модулей, большинством банков проведено тестирование на программных эмуляторах, наращивает обороты тестирование аппаратных модулей, после которого можно будет уже приступать к промышленной эксплуатации. И мы надеемся, что к 1 января 2024 года российские аппаратные модули займут свое достойное место в Национальной платежной системе. 

Уже сейчас технически все для этого готово. В частности, специалистами КриптоПро разработан HSM-модуль, который предоставляет возможность полноценной замены (как по функционалу, так и по производительности) соответствующих модулей иностранного производства (в том числе HSM-модулей Thales) в действующих схемах подключения в рамках функционирования информационных систем участников финансового рынка: 

  • банков — эмитентов платёжных карт;
  • банков, осуществляющих эквайринг платёжных карт;
  • процессинговых центров операторов платёжных систем.

HSM-модуль от КриптоПро разработан на основе программно-аппаратного криптографического модуля «КриптоПро HSM» версии 2.0, который был дополнен программным модулем безопасности для систем платёжных карт, разработанным в соответствии с Положением Банка России от 4 июня 2020 г. N 719-П и PCI PTS HSM Modular Security Requirements. 

Платёжный HSM реализует программно-аппаратный интерфейс поддержки операций системы платёжных карт, позволяя решать следующие задачи:

  • Инициализация и эмиссия платёжных карт с магнитной полосой, бесконтактных и смарт-карт, включая генерацию PIN/CVC/CVP и печать PIN-конвертов, смену и проверку PIN и прочее.
  • Управление ключами (и обеспечение безопасности ключей) на всех этапах жизненного цикла (включая генерацию, печать ключевых компонент, формирование ключей из компонент, диверсификацию ключей, импорт/экспорт и трансляцию).
  • Обработка платёжных транзакций, банковских транзакций от платёжных устройств.

 

Поддерживаемые алгоритмы

  • Шифрование: 2DES, 3DES, AES
  • Электронная подпись: RSA, ECDSA
  • Хэш-функции: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, MD5, ISO 10118-2
  • MAC: ISO 9797-1 MAC algorithm 1, ISO 9797-1 MAC algorithm 3, ANSI X9.19, CBC-MAC, CMAC
  • Согласование ключей: ECDH

 

Форматы ключей

  • KeyBlock (в том числе ANSI X9 TR-31)
  • ANSI X9.17
  • Variant

 

Форматы PIN-блоков

  • ISO 9564-1 & ANSI X9.8 Format 0. ISO Format: 0, алгоритм: 2DES, 3DES.
  • ISO 9564-1 Format 1. ISO Format: 1, алгоритм: 2DES, 3DES.
  • Standard EMV 1996. ISO Format: 2, алгоритм: 2DES, 3DES.
  • Mastercard Pay Now & Pay Later. Алгоритм: 2DES, 3DES.
  • Visa/Amex new PIN only. Алгоритм: 2DES, 3DES.
  • Visa/Amex new & old PIN. Алгоритм: 2DES, 3DES.
  • ISO 9564-1 & ANSI X9.8 Format 3. ISO Format: 3, алгоритм: 2DES, 3DES.
  • ISO 9564-1 Format 4. ISO Format: 4, алгоритм: AES.

 

Производительность(на примере операции трансляции PIN-блоков)

  • 10 000 tps на AES
  • 20 000 tps на 3DES

 

Поддерживаемые технологии

  • МИР
  • Visa VIS, Visa VCP, Mastercard M/Chip, Mastercard MCBP, American Express AEIPS, JCB, Union Pay
  • EMV 3.1.1, EMV 4.1, EMV 4.3
  • Visa CVV, iCVV, CAVV; Mastercard CVC, Chip CVC, AAV
  • IBM 3624 (IBM Offset)
  • ABA PVV
  • Mastercard CAP, Visa DPA
  • Global Platform Secure Channel Protocol 2 (SCP02), Secure Channel Protocol 3 (SCP03); EMV Common Personalization Specification (EMV CPS)
  • DUKPT (X9.24)
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки
17.04.2024
Китайцы используют карты «Мир» для бизнес-платежей

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных