d9e5a92d

Данные шифруются посредством ключа КЕК


Секретные данные шифруются посредством ключа КЕК1 (Key Exchange Key 1), который, в свою очередь, передается в КПД по некоторому секретному каналу. Среди данных, передаваемых эмитентом в КПД, находятся также те, которые будут содержаться на поверхности карты (в напечатанном или эмбоссированном виде), а также на магнитной полосе;
КПД осуществляет генерацию пары несимметричных ключей эмитента и передает открытые ключи в орган сертификации платежной системы для создания сертификатов. Орган сертификации подписывает открытый ключ эмитента своим секретным ключом и создает сертификаты, которые будут подтверждать подлинность эмитента карты перед терминалом в процессе аутентификации. Помимо открытых ключей эмитента при создании сертификатов участвуют и другие данные (такие, как Issuer Identification Number, Certificate Expiration Date, Certificate Serial Number, Hash Algorithm Indicator).

Отметим, что, поскольку процесс получения сертификатов достаточно продолжительный, его можно осуществить заранее, еще даже до изготовления карт-заготовок. Сформированный сертификат переправляется в КПД;
КПД с использованием секретных ключей эмитента для каждой карты подписывает данные, входящие в список данных статической аутентификации (к ним относятся: Application Effective Date, Application Expiration Date, Application Usage Control, Application Primary Account Number (PAN) и т.д.).
В случае поддержки динамической аутентификации для каждой карты создается своя пара несимметричных ключей, открытый ключ карты подписывается секретным ключом эмитента (аналогично описанной выше процедуре), а секретный ключ загружается на карту для участия в дальнейшем в процессе аутентификации.
Помимо создания несимметричных ключей эмитента и карт, в стандартные функции КПД входит генерация 3DES мастер-ключей эмитента и порождаемых ими карточных ключей. К этим ключам относятся:
а) авторизационные ключи, используемые при генерации и проверке криптограмм;
б) ключи, подписывающие скрипты, изменяющие параметры карты;
в) ключи, шифрующие новые значения ПИНа.
Помимо генерации всех необходимых секретных величин, КПД полностью формирует файл с EMV-данными для персонализационно-го устройства. Секретные данные, в том числе и те, которые были зашифрованы ключом КЕК1, перешифровываются ключом (набором ключей) КЕК2. Полученный файл отправляется персонализатору. По секретному каналу туда же переправляется ключ КЕК2;
на персонализационном оборудовании встречаются карты, закрытые КОС, и данные, зашифрованные КЕК2. Внутри используемого на этом этапе защищенного криптографического устройства производится расшифровка данных с помощью полученного КЕК2. Аналогично из полученного от эмитента ключа КМС формируются ключи КОС, с помощью которых открываются карты и перешифровываются данные для микросхемы.

Происходят внешняя и электрическая персонализация.
Стоит отметить, что в приведенной схеме, как это часто бывает, некоторые из участников могут представлять одно и то же юридическое лицо. Стандартной является ситуация, когда персонализационное оборудование и комплекс подготовки данных принадлежат эмитенту и располагаются на территории банка. В то же время технологически все они являются разными участниками процесса.
Итак, подготовка данных - это ключевой как в прямом, так и переносном смысле этап персонализации смарт-карт. За его выполнение ответственность несет программно-аппаратный комплекс, в состав которого входит криптографическое устройство. Рассмотрим более подробно возможную (а зачастую и требуемую) его функциональность. На первом этапе в КПД поступают данные для выпуска карт с магнитной полосой, в том числе информация о владельцах карт. Кроме того, из органа сертификации платежной системы (Visa, MasterCard) поступает сертификат открытого ключа банка-эмитента, подписанный открытым ключом платежной системы.

Перед формированием SDA к сертификату добавляются также необходимые параметры приложения и эмитента. Вычисление цифровой подписи SDA производится с применением открытого ключа эмитента. Далее путем диверсификации симметричного мастер-ключа эмитента (набора ключей) КПД формирует симметричные ключи карты.



Затем, если предусмотрена схема DDA, формируются несимметричные ключи карты и вычисляется сертификат публичного ключа (для каждой карты). После добавления параметров, специфичных для карты, а также риск-параметров, задаваемых эмитентом, данные форматируются и готовы к персонализации на устройстве.


3. Схема работы комплекса подготовки данных

Рассмотрим функциональные возможности КПД.
В процессе своей работы комплекс подготовки данных оперирует следующими объектами:
шаблоны приложений EMV (включают в себя данные, необходимые для персонализации приложения, группировку этих данных по файлам и записям, наборы данных для вычисления сертификатов SDA и DDA, используемые криптографические данные и способы их получения);
постоянные значения для ряда используемых параметров (к таким значениям относятся, например, BIN банка, код страны, код валют);
шаблоны персонализируемой карты (включают в себя шаблоны используемых приложений, а также группы постоянных значений, используемые каждым приложением);
задание на подготовку данных (включает в себя используемые шаблоны карт, используемый скрипт ввода данных, список операторов, допущенных к запуску данного задания).
КПД проверяет обрабатываемые данные на правильность формата и допустимых значений (например, месяц в дате не может быть больше 12, а день не может быть больше 31).
Следующие функциональные возможности программного обеспечения являются особенностью полновесного комплекса подготовки данных:
взаимодействие с любой системой бэк-офис;
поддержка широкой номенклатуры криптоустройств, используемых для генерации криптографических данных;
гибкое перераспределение функций по подготовке данных между системой бэк-офис и КПД;
поддержка нескольких источников информации для генерации персонализационных данных. Это особенно актуально для выпуска многофункциональных смарт-карт, когда имеется не одно приложение и информация может приходить из разных источников;
поддержка открытых форматов Visa и EMV Common Personalization, которые, как ожидается, в недалеком будущем станут стандартными для всех персонализационных систем.

Средства производства



Российская специфика эмиссии карт такова, что большинство банков предпочитают приобретать персонализационное оборудование для того, чтобы выпускать карты, практически не прибегая к посторонней помощи. Основным мотивом такого поведения является естественное нежелание банков предоставлять конфиденциальную информацию о клиентах сторонним компаниям - персонализационным бюро.
Таким образом, одним из важнейших вопросов является вопрос рационального выбора персонализационного оборудования. Ниже предлагаются краткий обзор наиболее распространенных типов устройств самой различной производительности (для персонализационных бюро и крупных банков, для средних и мелких банков и филиальной сети) и некоторые их характеристики.
Мировым лидером по производству устройств персонализации карт является американская компания Datacard (около 85% мирового рынка). Оборудование, выпущенное этой компанией, преобладает в банках большинства стран. Россия не является в этом смысле исключением, более того, практически все EMV-карты у нас персонализируются на оборудовании Datacard (не менее 98%).
Свой обзор мы сделаем на примере оборудования именно этой компании, выделив два типа устройств - настольные эмбоссеры и высокопроизводительные конвейерные комплексы.

Эмбоссеры

Настольные эмбоссеры компании Datacard производятся в настоящее время в трех моделях - DC150i, DC280P, DC450 (здесь они перечислены в порядке возрастания производительности). Все устройства могут применяться для персонализации микропроцессорных карт. Для этого на них устанавливаются опциональные модули с встроенным устройством чтения/записи микросхемы.

В случае если эмбоссеры были ранее приобретены без намерения выпускать микропроцессорные карты, данные модули могут быть установлены дополнительно.
Реальная производительность самого мощного из эмбоссеров DC450 на международных картах с магнитной полосой может достигать до 300 карт в час (что составляет примерно 12 с на карту), в то время как DC-150i в состоянии в час персонализировать только около сотни таких карт.
Что же происходит с производительностью эмбоссеров в случае выпуска карт с микросхемой? По нашему опыту для персонализации только одного приложения EMV в самом лучшем случае (для криптографии используется HSM, достаточно быстрая карта, не очень сложное приложение) требуется не менее 6-7 с. В других случаях даже для персонализации только одного приложения это время может возрасти до 15 с. Следовательно, в час можно выпустить только 120-180 карт при использовании DC-450 и не более 70 карт на DC-150i.
При персонализации микросхемных карт на настольных эмбоссерах возникают две основные проблемы. Первая состоит в необходимости контролировать процесс выполнения работы на всех этапах перемещения карты от модуля к модулю с целью реагировать на нештатные ошибочные ситуации так, чтобы обеспечить выпуск карт с непротиворечивой информацией (помещаемой на разных модулях - эмбоссирования, кодирования полосы, записи данных в микросхему) и иметь протокол работы о том, какие карты были успешно выпущены, а какие нет.

Интересные записи



Содержание раздела