Версия программного обеспечения с поддержкой VeriFone GISKE

Основным алгоритмом, используемым ранее в финансовой индустрии, был алгоритм DES с длинной ключа равной 56 бит. Но с современным развитием техники подобрать действующий ключ к данному алгоритму не составляет труда.

В связи с данной угрозой банки и финансовые организации по всему миру мигрируют на использование усовершенствованного алгоритма шифрования Triple-DES. Алгоритм Triple-DES состоит из двух или трех 56-битных DES ключей, что делает невозможным подбор верного ключа используя стандартную «Brute-force» атаку.

При переходе на использование ключей тройной длины возникли некоторые проблемы.

Ключи стали длиннее, чем размер блока шифра. Это означает, что если используется простой механизм ECB, то каждая часть ключа оперирует раздельно. Если система неправильно реализована и корректные процедуры не приняты, то увеличение безопасности может быть вдвое меньше, чем использование ключа одинарной длины. Текущий стандарт (ISO / ANSI) описывает требования предъявляемые к использованию Triple-DES, но не дает представления о том как это непосредственно должно реализовываться. Это означает, что были разработаны личные механизмы для локального хранения ключей, но для дистрибуции ключей действующий inter-operable механизм использует только простой ECB режим.

Проблема была признана индустрией и обществом стандартизации.

Возникла потребность в разработке нового стандарта, признанного заменить существующий ANSI X9.24 стандарт.

VeriFone GISKE и ANSI TR31

В начале 2002 Thales e-Security работала совместно с VeriFone, ACI, Diebold, ACI и Atalla для создания проекта “Global Interoperable Secure Key Exchange Key Block Specification” (GISKE). За последующие 2 года формат развился в ныне существующий TR31. TR31- новый метод повышенной безопасности для шифрования Triple-DES ключей для обеспечения их приемлемой защищенности во время передачи между системами.

Компания VeriFone применила ранний GISKE формат и реализовала его в Triple-DES PIN Pad продуктах. Реализация VeriFone является эффективно упрощенным подмножеством стандарта TR31. Она поддерживает только ключи шифрования ПИНов и MAC ключи.

С середины июня 2005 года начались поставки новых модуле безопасности HSM c поддержкой VeriFone ISKE. Это оборудование оснащено специализированными системами команд поддержки протокола Verifone ISKE для управления/загрузки T-DES ключей в терминалах Verifone. Данные специализированные версии были разработаны инженерами компании Thales e-Security по заказу российской компании INPAS крупнейшего дистрибьютора терминалов Verifone.

Использование протокола Verifone ISKE позволяет автоматизировать процесс управления главными и сессионными Triple-DES ключами в сетях POS-терминалов Verifone. При этом существенно повышается уровень безопасности сетей платежных терминалов. Согласованные требования использования длинных T-DES ключей в сетях POS-термналов исходят от международных платежных систем Visa , Mastercard и др. Они и обусловлены необходимостью противостоять возросшим техническим возможностям мошеннических кругов.

Поддерживаемое оборудование

HSM8000 - любые версии HSM8000

RG7xx0 - версия 3.0 и 7.0

Поддерживаемое программное обеспечение, в которое добавлены новые команды

Новые команды добавлены в стандартное программное обеспечение HSM8000 версии 2.0 и в стандартное программное обеспечение RG7xx0 версия релиза 3.0/7.0

Программное обеспечение, в котором доступны новые хостовые команды

Других изменение ПО нет.

Описание команд

SA – Генерация TAK

Функция: Генерирование произвольного ключа и шифрование его под LMK 16-17 и TMK.

Заметки: Команда аналогична стандартной команде HA с поддержкой произвольного TAK, зашифрованного под TMK, используя ключевой блок VeriFone.

SC – Генерация TPK или TMK

Функция: Генерирование произвольного ключа и шифрование его под LMK 14-15 и TMK.

Заметки: Команда аналогична стандартной команде HC с поддержкой произвольного TPK или TMK, зашифрованного под TMK, используя VeriFone key block.