Используя эти устройства, вся шифровка/дешифровка происходит в закрытом устройстве, и ключи в чистом виде никогда его не покидают.
Физически HSM защищены от вскрытия и обычно устанавливаются в защищенных компьютерных отделах. Попытки открыть их приведут к уничтожению ключей находящихся в устройстве.
Некоторые приложение используют физическую телекоммуникационную линию для дополнительной безопасности, и есть много поставщиков устройств такого типа. Они представляют собой «черный ящик» и не требуют специальных знаний.
Пример.
Шифрование при выдаче денег в банкомате.
Обычная АТМ - транзакция
- Клиент вводит карту в банкомат;
- Клиент вводит свой ПИН;
- Клиент запрашивает наличные;
- Транзакция подтверждена, наличные выданы.
В этот процесс вовлечено очень много шифровок.
1. Клиент вводит карту в банкомат
Магнитная лента читается и сохраняется в буфере банкомата.
2. Клиент вводит свой ПИН
ПИН вводится в защищенный от изменения пад. Сохраненный ПИН заносится в защитный аппаратный модуль.
3. Клиент запрашивает наличные
Сообщение создается в ATM. ПИН шифруется ключом Терминала.
Сообщение посылается хосту, зашифрованное аппаратно.
По получении хостом, аппаратное сообщение дешифруется. Вычисляется CVV и сравнивается со значением на магнитной ленте. ПИН, зашифрованный ключом Терминала дешифрируется. Вычисляется смещение ПИН или PVV. PVV сравнивается с записью в базе данных PVV.
4. Транзакция подтверждена, наличные выданы
Замечание: все функции шифрования хоста обычно происходят в Защищенном модуле. Никакие значения в чистом виде не передаются прикладным программам или вне защищенного окружения.
3.7. Другие приложения шифрования в финансах.
Так же как и обычные использования шифрования, межбанковские сети (например SWIFT) исторически были активными пользователями шифровальных техник.
Множество новых способов доставки и еще более широкое распространение прогрессивных технологий увеличило интерес и использование шифрования.
В случаях когда криптография требуется для широкого распространения среди общества (например домашний банкинг с помощью PC), обычный DES слишком сложен для безопасного управления. В такие системы внедрены более подходящие и безопасные алгоритмы , такие как RSA (система шифрования с открытым ключом).
Некоторые корпоративные приложения используют хорошо защищенный DES, комбинируя с другими алгоритмами – MAC(Код Аутентификации Сообщения, Размер MAC определен в ISO8583 как 16 байт.), физическое шифрование, обмен динамическим ключом и т.д.
4. Устройства обслуживания электронных платежей.
4.1. Использование POS-терминалов.
POS-терминалы, или торговые терминалы, предназначены для обработки транзакций при финансовых расчетах с использованием пластиковых карточек с магнитной полосой и смарт-карт. Использование POS-терминалов позволяет автоматизировать операции по обслуживанию карточки и существенно уменьшить время обслуживания. Возможности и комплектация POS-терминалов варьируются в широких пределах, однако типичный современный терминал снабжен устройствами чтения как смарт-карт, так и карт с магнитной полосой, энергонезависимой памятью, портами для подключения ПИН - клавиатуры (клавиатуры для набора ПИН - кода), принтера, соединения с ПК или с электронным кассовым аппаратом.
Кроме того, обычно POS-терминал бывает оснащен модемом с возможностью автодозвона. POS-терминал обладает "интеллектуальными" возможностями - его можно программировать. В качестве языков программирования используются ассемблер, а также диалекты C и Basic'а. Все это позволяет проводить не только on-line авторизацию карт с магнитной полосой и смарт-карт, но и использовать при работе со смарт-картами режим off-line с накоплением протоколов транзакций. Последние во время сеансов связи передаются в процессинговый центр. Во время сеанса связи POS-терминал может также принимать и запоминать информацию, передаваемую ЭВМ процессингового центра. В основном это бывают стоп - листы, но подобным же образом может осуществляться и перепрограммирование POS-терминалов.
Стоимость POS-терминалов в зависимости от комплектации, возможностей, фирмы-производителя может меняться от нескольких сотен до нескольких тысяч долларов, однако обычно не превышает полутора - двух тысяч. Размеры и вес POS-терминала сопоставимы с аналогичными параметрами телефонного аппарата, а зачастую бывают и меньше.
Основные характеристики POS-терминалов:
- занимает мало места на прилавке благодаря компактному и интеграционному дизайну;
- принимает все основные типы кредитных, дебетных и локально-корпоративных карт;
- благодаря наличию удобного встроенного рулонного принтера быстро печатает чеки и отчеты;
- расширяет ваши возможности по работе с большими аппликациями, сохраняет большие файлы данных и транзакций.
Платежный терминал TRANZ 460
Производитель: VeriFone
64 КB‚ EPROM-памяти и 256KB‚ 512 КB‚ или 1 МB‚ оперативной RAM-памяти, поддерживаемой резервными батареями
скорость передачи данных 300, 1200 или 2400 бод с протоколами: CCITT V.21/V.22/V.22 bis
16-ти символьный флуоресцирующий дисплей, включая десятичную точку и запятую
двухдорожечный считыватель магнитных карт
матричный рулонный принтер, 24 колонки серийный
коммуникационный порт RS-232 для прямого соединения с персональным компьютером,
электронным кассовым аппаратом или внешним принтером скорость обмена данными
для работы с PIN PAD-ом, считыватель смарт-карт или считывателем штрих-кодов до
9600 бод
Платежный терминал TMS
Производитель Bull (Франция)
16-разрядный микропроцессор NEC V25
считыватель смарт-карт (ISO-7816) + считыватель магнитной полосы (ISO 1/2)
128 Кб RAM, 512 Кб Flash память
RS232 + RS232 I/O
Dallas Security module
клавиатура (24 клавиши)
графический дисплей (2*16 символов)
встроенный принтер (48 символов на строке, скорость 1 линия/сек)
источник питания 220v/50Hz
4.2. Использование банкоматов.
Банкоматы - банковские автоматы для выдачи и инкассирования наличных денег при операциях с пластиковыми карточками. Кроме этого, банкомат позволяет держателю карточки получать информацию о текущем состоянии счета, проводить операции по перечислению средств с одного счета на другой. Банкомат снабжен устройством для чтения карты, а для интерактивного взаимодействия с держателем карточки - также дисплеем и клавиатурой. Банкомат оснащен персональной ЭВМ, которая обеспечивает управление банкоматом и контроль его состояния. Последнее весьма важно, поскольку банкомат является хранилищем наличных денег. На сегодняшний день большинство моделей рассчитано на работу в on-line режиме с карточками с магнитной полосой, однако появились и устройства, способные работать со смарт-картами и в off-line режиме. Для обеспечения коммуникационных функций банкоматы оснащаются платами X.25.
Денежные купюры в банкомате размещаются в кассетах, которые, в свою очередь, находятся в специальном сейфе. Число кассет определяет количество номиналов купюр, выдаваемых банкоматом. Размеры кассет регулируются, что дает возможность заряжать банкомат практически любыми купюрами. Банкоматы могут размещаться как в помещениях, так и непосредственно на улице и работать круглосуточно.
Пример банкомата, а также его технические характеристики:
Банкомат Diebold 1064ix (внутренний)
Основные характеристики:
Предназначен для выдачи наличных денег, обработки запросов о состоянии счетов, перевод денег с одного счета на другой и распечатки мини-выписок.
Среднее время эксплуатации - 15 лет
Высокая надёжность
Возможность выдачи в одной пачке до 50 купюр
Большая ёмкость кассет (до 3000 купюр)
Монитор 15" (разрешение 640х480х256 цветов)
Процессор Pentium 166, память 16 Мб.
Бесшумный чековый термопринтер 2 или 4 кассеты
для загрузки купюр.
Высота 1360мм
Ширина 470мм
Длина 835мм
Вес 488кг
ПАРАМЕТРЫ ОКРУЖАЮЩЕЙ СРЕДЫ
Рабочая температура от 10° до 38° C
Рабочая влажность 20-80%, без конденсации
5. Стандарты электронных расчетов.
5.1. Стандарт SET.
Аббревиатура SET расшифровывается как Secure Electronic Transactions - безопасные (или защищенные) электронные транзакции. Стандарт SET, совместно разработанный компаниями Visa и MasterCard, обещает увеличить объем продаж по кредитным карточкам через Internet. Совокупное количество потенциальных покупателей - держателей карточек Visa и MasterCard по всему миру - превышает 700 миллионов человек. Обеспечение безопасности электронных транзакций для такого числа покупателей могло бы привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинговых компаний. К этому следует добавить, что и American Express объявила о намерении приступить к внедрению стандарта SET.
Для того чтобы совершить транзакцию в соответствии со стандартом SET, обе участвующие в сделке стороны - покупатель и торгующая организация (поставщик) - должны иметь счета в банке (или другой финансовой организации), использующем стандарт SET, а также располагать совместимым с SET программным обеспечением. В таком качестве могут, например, выступать Web-броузер для покупателя и Web-сервер для продавца - оба, очевидно, с поддержкой SET.
5.2. Концепция Cyber Cash.
Компания CyberCash, расположенная в г. Рестон (штат Вирджиния, США) была пионером в разработке многих концепций, использованных в стандарте SET, и приняла на себя обязательство одной из первых внедрить SET. Множество покупателей и торговых организаций по всему миру используют систему SIPS (simple Internet payment system) производства CyberCash. Есть стимул для использования программного обеспечения CyberCash: в дополнение к повышенной безопасности программное обеспечение поставляется свободно (т.е. бесплатно) как покупателям, так и продавцам. Плата за использование системы CyberCash включается в оплату за обслуживание кредитных карточек.
5.3. Платежи без кодирования - система First Virtual.
Учитывая проблемы, возникающие в связи с необходимостью пересылки номеров кредитных карточек через Internet: необходимость кодирования и обеспечения гарантий от расшифровки третьими лицами, можно сформулировать альтернативный подход. Он состоит в полном отказе от пересылки информации, относящейся к кредитным карточкам, через Internet. Компания First Virtual (США) разработала систему, используя которую, покупатель никогда не вводит номер своей кредитной карточки. В дополнение к платежной системе First Virtual поддерживает собственную систему электронной почты, называемой InfoHaus. Это связано с тем, что основными видами товаров в First Virtual являются программное обеспечение и информация, на поддержку которых и ориентирована система электронной почты.
5.4. Система Digital Cash.
Digital Cash, использующая цифровые или электронные наличные (деньги) - наиболее радикальная форма электронной коммерции. Видимо, поэтому ее распространение осуществляется достаточно медленно. Рассмотренные выше системы традиционны в принципиальном плане - обычные денежные транзакции реализованы в них в электронном Internet-варианте. В то же время электронные наличные - новый тип денег. Они потенциально могут привести к радикальным изменениям в денежном обращении и его регулировании.
6. Выводы
Можно сказать, что сейчас в мире идет процесс поиска новых типов платежных систем, которые максимально удовлетворяли бы все стороны участвующие в денежном обращении. Очень сильно этот процесс связан с развитием всемирной компьютерной сети Internet, так как развитие Internet приводит как к появлению огромного количества дополнительных возможностей, так и к появлению огромного количества новых проблем. Можно с уверенностью сказать, что в ближайшие годы какая-нибудь из появляющихся сейчас систем платежа займет прочное место в нашей жизни. Сейчас практически невозможно определить, что это будет конкретно, но по всей видимости тенденция это совершенствование цифровых денег, действие которых, на данный момент распространяется только в пределах глобальной коммерческой сети Интернет, оформление их правовой базы и вынос их за ее пределы. По всей видимости, основой для выноса цифровых денег за пределы Интернет станут электронные кошельки, которые сейчас выпускает Mondex. Однако возможно, что в ближайшие годы будет изобретено нечто принципиально новое, что сразу вытеснит с рынка все остальные средства денежного обращения. Одно является очевидным, общая тенденция в любом случая заключена в сокращении оборота наличных денег во всем мире, и ставка делается на на многофункциональность карточки.
Наряду с очевидными преимуществами карточки есть нерешенные задачи.
Карточка, а точнее, записанные на ней средства считаются электронными наличными, т. е. средством платежа. Однако традиционно эмитентом наличных денег может быть только центральный банк страны. В данном же случае эмиссия электронных денег как бы доверяется коммерческому банку.
Еще одна проблема, связанная с безопасностью системы, заключается в возможности мошеннического использования карточки, если удастся все же “пробить” сложную систему защиты информации, обеспечиваемую применением микропроцессорных карточек.
Безусловно, использование механизмов аутентификации и криптозащиты повышает стойкость системы на порядки. Тем не менее многие специалисты считают, что освоение микропроцессорных технологий мошенниками - дело времени.
Таким образом, приравнивание записи на карточке к деньгам ставит общество в слишком жесткую зависимость от обеспечения безопасности платежной системы как на организационном, так и на технологическом уровне.