1. Справочная информация Remote Key Load
Remote Key Load — это, по сути, процесс совместного использования общего ключа (ключа A) между хост-системой и защищенным модулем банкомата. До настоящего времени лучшая практика заключалась в том, что команда из двух человек, использующая Dual Control — Split Knowledge, вставляет уникальный ключ DES или Triple DES (ключ) в модуль безопасности банкомата во время установки или повторного набора ключей. Но это решение является затратным, поскольку необходимо отправлять команду на точку.
Другим важным аспектом ручного обращения является риск безопасности, связанный с компрометацией ключа из-за человеческого фактора.
От основных компаний-эмитентов карт на рынке существует требование об увеличении общей схемы защиты ключей путем перехода от Single DES-ключа к Triple DES-ключам. Это приводит к большим размерам ключей, что увеличивает сложность ручного ввода и обработки, и приводит к увеличению стоимости обслуживания.
Для решения вышеуказанных проблем Cryptera рекомендует использовать удаленную загрузку / транспортировку ключей (RKL) / (RKT).
2. Что такое RKL?
Удаленная загрузка ключей — это автоматизированный безопасный процесс, который заменяет процедуру их ручного ввода. Удаленная загрузка ключей основана на асимметричной криптографии с ключами RSA для передачи начального ключа A (главного ключа терминала) с хоста в EPP.
Основные преимущества RKL заключаются в том, что он основан на надежной криптографии с использованием 2048-битных ключей RSA и взаимной аутентификации двух сторон. Кроме того, все операции RKL выполняются в онлайн-среде, избегая необходимости ручного взаимодействия.
Преимущество технологии, основанной на RSA, состоит в том, что обе стороны могут обмениваться открытым ключом, не заботясь о секретности открытого ключа, как следует из названия, и единственный, кто может расшифровать данное сообщение, является владельцем соответствующего Секретного ключ.
3. Ключ аутентификации
Чтобы гарантировать, что никто не сможет модифицировать Открытый ключ, эти ключи хранятся в формате аутентифицированного безопасного переноса данных (сертификатом), который обеспечивает целостность и подлинность. Этот сертификат основан на официальном стандарте под названием X.509. Аутентификация сертификатов регулируется центральным органом, называемым центром сертификации (CA), на который обе стороны будут полагаться. В число компаний, предлагающих услуги CA входят VeriSign, Entrust и Thawte, а также банки и другие стороны могут выступать в этом роли.
4. RKL Стандарты
Рекомендации, определяющие различные аспекты RKL. Общая спецификация требований определена в [1] ANSI X9.24 Часть 2. Более практическое руководство определено в [2] CEN XFS 3.03 Часть 6, которая определяет общий программный интерфейс для устройства Pin Pad, включая функциональность RKL. Основные низкоуровневые определения данных и форматирования сообщений определены в [3] PKCS # 7 от RSA Laboratories.
Основные игроки
Каждый из 3 основных производителей банкоматов определил свою собственную реализацию RKL, в результате чего были созданы две версии протокола RKL, одна из которых использует сертификаты X.509, а другая — базовые подписи RSA. Они пока что не взаимозаменяемы.
5. Зачем внедрять RKL?
Одним из основных преимуществ использования RKLв банкоматах является снижение затрат на установку ключей и общее их обслуживание. В дополнение к этому можно сэкономить на процедурах генерации, хранения, распространения и ручной обработки бумажной ключевой информации, поскольку эти процессы либо не нужны, либо контролируются хост-системой.
С точки зрения безопасности, использование RKL является превосходной современной техникой безопасности, использующей сильную криптографию для защиты и распространения ключей. Кроме того, может быть изменен период обновления ключа, что повышает общую безопасность системы.
Переход к использованию RKL устраняет человеческий фактор, как с точки зрения ручного управления, так и с точки зрения рабочих часов и расстояния, а также позволяет избежать риска компрометации и / или неправильного использования ключевой информации.
6. Как реализовать RKL?
При планировании внедрения системы RKL одним из основных факторов, на который следует обращать внимание, это поддержка RKL в хост-системе. Часто Хост полагается на использование выделенного Host Secure Module (HSM), который является автономным модулем от стороннего поставщика (Thales, HP, IBM, FutureX), который обрабатывает ключи DES и ключи RKL — RSA. Это означает, что модуль HSM, выбранный или используемый в настоящее время, должен поддерживать операции RKL на основе RSA.
Одним из стратегических решений, которые необходимо принять, является выбор центра сертификации (СА) системы RKL. CA отвечает за выдачу сертификатов / подписей открытого ключа хоста и каждого открытого ключа установленных EPP.
7. Cryptera RKL Solution
Поскольку Cryptera является независимым поставщиком EPP, мы стремимся поддерживать основные системы RKL, используемые операторами банкоматов. Это означает, что мы будем поддерживать оба метода.
С точки зрения безопасности Cryptera выбрала метод на основе сертификатов основным методом, поскольку мы считаем, что это лучший и наиболее безопасный вариант, основанный на общепринятых стандартах ANSI / ISO.
Cryptera Standard RKL предлагает следующие функции:
— 2048-битные ключи RSA (сгенерированные внутри в EPP)
— Одна пара ключей RSA для шифрования / дешифрования ключей
— Одна пара ключей RSA для проверки / подписи данных
— Открытые ключи, содержащиеся в сертификатах X.509
— Протокол на основе сертификатов с использованием сертификатов X.509.
— Интерфейс программирования прошивки EPP, совместимый с API XFS 3.03.