Уважаемые читатели, здравствуйте. Наш ученик решил рассказать о структуре клавиатуры банкомата. Что это такое? Как это выглядит с технической точки зрения? Давайте разбираться.
Предыдущие публикации по финансовым технологиям вы можете найти здесь.
"Рассмотрим клавиатуру банкомата. В обычном ее виде, когда тыкаем, выбирая команду или сумму в банкомате, смотреть особо не на что. А раз что-то техническое выглядит просто, то это, как обычно, обманчиво, и внутри целый мир сложной реализации.
Модуль PIN-клавиатуры (EPP) банкомата – это как автономный компьютер внутри сейфа, это не просто набор кнопок. Это самостоятельный защищённый модуль, который имеет собственный процессор, оперативную память, энергонезависимую память и криптографический сопроцессор.
Он сертифицируется по стандарту PCI EPP. Клавиатура физически изолирована от основной системы банкомата – это коробочка. Она соединена с главным компьютером банкомата через защищённый интерфейс, но это не значит, что она доверяет компьютеру банкомата.
Если главный компьютер банкомата взломан, зловред не может перехватить PIN или подменить логику его обработки. Устройство ввода PIN всегда расположено в оптически, механически и электрически защищённой зоне. Корпус модуля под декоративным покрытием содержит специальную защитную сетку (tamper mesh) и заполнен компаундом, который при попытке вскрытия разрушает все микросхемы.Модуль PIN-клавиатуры хранит несколько типов криптографических ключей в своей защищённой памяти, все они симметричные, и есть им парные ключи.
О ключах. Один экземпляр хранится в модуле PIN-клавиатуры (в его защищённой памяти), а второй — в HSM банка-эмитента (или банка-эквайера).
Симметричные, так как важна скорость шифрования, а для банкомата скорость операций критична. Вот они:
TPK (Terminal PIN Key) — ключ для шифрования PIN-блока перед отправкой в банк-эквайер. Этот ключ уникален для каждого терминала и загружается при инсталляции.
PEK (PIN Encryption Key) — ключ для шифрования PIN при передаче между модулем и основным компьютером банкомата (используется реже, так как обычно шифрование происходит внутри самого модуля).
MAC Key (Message Authentication Code key) — ключ для формирования имитовставки сообщений, гарантирующей целостность и подлинность команд, которыми обмениваются модуль и хост.
KEK (Key Encryption Key) — мастер-ключ для загрузки и обновления остальных ключей в зашифрованном виде.
Все ключи хранятся только внутри модуля и никогда не покидают его в открытом виде. Даже при передаче на хост ключи передаются в зашифрованном виде (под KEK) или используются только для вычисления MAC, но не передаются сами.
Как они попадают в банкомат? При настройке банкомата ключи загружаются в модуль PIN-клавиатуры в зашифрованном виде. Для этого используется KEK (Key Encryption Key).
Процесс обычно выглядит так. HSM в процессинговом центре генерирует TPK. TPK шифруется под KEK (или под транспортный ключ). Зашифрованный TPK передаётся в банкомат. Модуль PIN-клавиатуры расшифровывает TPK с помощью своего KEK (загруженного ранее физически) и сохраняет в своей защищённой памяти.
Кто ещё имеет эти ключи? Ключи могут быть известны следующим.
Модулю PIN-клавиатуры (экземпляр для шифрования).
HSM банка-эмитента (экземпляр для расшифровки и проверки).
HSM банка-эквайера (если используется схема с перешифрованием).
HSM платёжной системы (например, Visa, МИР или Mastercard, если ключи перешифровываются для маршрутизации). Никто из людей не имеет доступа к ключам. Даже администраторы HSM видят только зашифрованные версии или работают с ключами через интерфейсы, не раскрывающие их значения. Иногда эти зашифрованные версии выдаются частями каждому админу отдельно (иногда их зовут «офицер безопасности»). В следующий раз глянем, что происходит при вводе пин-кода в банкомате".
********
Если вам нравятся наши публикации, то вы можете поддержать канал донатом.
У нас есть много полезных и интересных публикаций.
Наш клуб 800Million совместно с Центром психологической безопасности (ЦПБ)
регулярно проводит финансовые курсы. В этой подборке собрана информация о курсах, отзывы о них, а также рассказано о преподавателе.
А это пост, в котором рассказано обо всех наших технологиях.
Здесь - наши статьи.
Здесь подборка с нашими рассказами о 800Million.
Кроме того, у нашего клуба есть своя картинная галерея нейроживописи.
Стиль - супрематизм. Картины созданы нашим мастером. Любую из работ вы можете заказать для приобретения.