INPAS Soft Remote Key Loader (RKL)
Модуль RemoteKeyLoader (RKL) является решением для удаленной и безопасной передачи ключей шифрования (TMK) в POS-терминал, а также повышает эффективность работы и снижение затрат за счет автоматизации рутинных операций, связанных с процессом загрузки ключей.
2020: Интеграция с UNIPOS
20 января 2020 года компания INPAS сообщила, что будет комплектовать поставляемые POS-терминалы программными модулями RemoteKeyLoader (RKL) и E-slip.
По информации компании, модули будут загружаться в процессе предпродажной подготовки и активироваться по желанию банков и торгово-сервисных предприятий (ТСП). Ранее программные компоненты устанавливались только по индивидуальному запросу. Подробнее здесь.
Как повысить безопасность банкоматов с помощью удаленной установки ключей?
Удаленная загрузка ключей (RKL) обеспечивает безопасный и недорогой способ загружать и управлять ключами шифрования ATM на всей сети устройств.
RKL предоставляет операторам сети ATM редкую возможность одновременно улучшить безопасность и операционную эффективность устройств. Однако несмотря на то, что эта технология хорошо зарекомендовала себя во всем мире, согласно отчету ATM and Self-service Software Trends report (О трендах в области ПО банкоматов и устройств самообслуживания) от 2019 года, лишь 44% финансовых учреждений используют удаленную загрузку ключей.
Ключи шифрования используются для защиты и передачи конфиденциальных данных, таких как PIN-код, и крайне важны для предотвращения кражи информации о держателе карты при ее отправке эмитенту на проверку. Для обеспечения надлежащей безопасности эти ключи требуется периодически обновлять.
Обычно ключи шифрования загружаются вручную — такой процесс называется «прямой загрузкой ключей». Для POS-терминалов и PIN-падов процесс требует доставки устройства в специальный центр KIF, где администраторы вручную введут в них ключи. Процесс может быть долгим и дорогим. Он требует дополнительных расходов на то, чтобы обеспечить центру KIF поддержку PCI Level 3, а также — операционных затрат на транспортировку устройств в этот центр.
Дорогой и подверженный ошибкам процесс
Для организаций с обширной сетью ATM и POS процесс ручной загрузки может быть весьма затратным, а также приводить к частым ошибкам, когда администратор вынужден вручную вводить длинные строки шестнадцатеричных значений. А если ключ был скомпрометирован, то быстрая замена ключа становится невозможной. Удаленная загрузка ключе устраняет эти проблемы, одновременне снижая операционные расходы и повышая безопасность.
RKL позволяет удобным и безопасным способом удаленно обновить ключи на всей сети устройств. Исключение человека из этого процесса устраняет возможности допустить ошибку, а также подвергнуться действиям злоумышленника при обновлении ключей в ручном режиме. А поскольку процесс удаленного обновления ключей более прост и дешев, становится возможным изменять ключи чаще, чем раз в год — таким образом снижается подверженность устройств атакам злоумышленников. Если подозревается нарушение, то для загрузки новых ключей достаточно нажать одну кнопку.
RKL гибок в адаптациях к изменениям криптографических алгоритмов. Например, все банкоматы, устанавливаемые с 2002 года, должны использовать алгоритм тройного шифрования данных — значительное улучшение стандарта безопасности для шифрования PIN-кодов.
Но вот появляется более безопасный, улучшенный стандарт шифрования на основе последней версии ANS X9 TR-31, в котором впервые описан метод доставки ключей AES. К тому же, переход на алгоритм хэширования SHA-2 вызывает трудности у многих разработчиков ATM, а удаленная загрузка ключей упрощает процесс миграции.
Доверенный обмен ключами
Успешные операции RKL требуют стандартизированных протоколов обмена между производителем устройства и поставщиком RKL. Основой RKL является доверие между сторонами обмена: с одной стороны находится поставщик RKL, а с другой — устройство. Довери устанавливается через центр сертификатов, создающий цифровой сертификат для конечного устройства и платформы RKL. Сертификат работает как приватный ключ, облегчающий обмен секретными ключами в инфраструктуре публичных ключей.
Конечные устройства и провайдер RKL должны использовать одинаковые протоколы обмена и шифрования. Наиболее распространенным и общепринятым стандартом шифрования для RKL является TR-34, однако есть и другие — они используются в зависимости от производителя, местоположения и прочих факторов. Поставщикам RKL важно разрабатывать гибкий дизайн платформы, чтобы была возможна интеграция со многими производителями.
После первоначальной настройки развертывание RKL происходит моментально. Для локального запуска аппаратные устройства безопасности (HSM) используются, чтобы облегчить управление жизненным циклом ключей: их генерацией, рассылкой и вводом. Эти защищенные от компрометации серверы оснащены внутренним криптографическим устройством для хранения ключей и соответствуют FIPS 140-2 Level 3, PCI HSM и прочим важным отраслевым стандартам. ATM RKL-функции устройства HSM также доступны в облаке для организаций, предпочитающих получать криптографические услуги.
Как только RKL внедрен, функциональность пакетного импорта позволяет легко и одновременно загружать ключи на большое количество устройств. Когда банкоматы организованы в группы, администраторы могут настраивать правила управления ключами, автоматизацию их замены и прочие обновления.
RKL — это безопасный и экономичный способ загружать ключи шифрования ATM и управлять ими на всех сетях устройств, что делает его надежным выбором для обеспечения безопасности финансовых учреждений. Если вы относитесь к 66% сетей ATM, которые по-прежнему полагаются на ручную загрузку ключей, возможно, пришло время подробно рассмотреть решение RKL.
Blog: Decoding RKL: Inside ATM Cryptography and Our Comprehensive Security Solution
That was the first thing I told myself when we started the Remote Key Loading (RKL) project in 2006. My knowledge about cryptography at that time was limited to symmetric cryptography, which encrypts sensitive information exchanged between two parties using the same key to encrypt and decrypt—you may know it as a “secret key” or “private key.”
In the analysis phase of this new project, however, we had to dive into the world of asymmetric cryptography, in which separate, disparate keys are used for the encryption and decryption processes—this is also referred to as a “public key” and is used in Transport Layer Security (TLS) protocol, RSA keys, digital signatures, certificates and so on. This new aspect of cryptography, with its additional complexities (and the ability not only to encrypt sensitive information but also to enable secure digital signing of information) was incredibly intriguing to me.
When we initially integrated our original RKL solution with our first customer and the first pilot was installed in 2007, we never thought the solution would go on to be installed by more than 30 customers around the world, with more than 85,000 terminal licenses sold. Our customers appreciated the protocol-agnostic aspect of the solution—it doesn’t depend on the switch/host platform, the ATM application, or protocols like NDC and 91x. They also loved the fact that it supports EPPs from nearly every major ATM vendor, and enables more devices to be integrated on demand.
Since that first RKL solution implementation, the ATM ecosystem has changed a great deal. Our latest RKL solution continues to optimize and improve our customers’ security processes, enabling them to comply with current and future security requirements. Today it fully integrates with new EPP devices that comply with the latest PCI revisions (version 1, 2.1 and 3), and evolves along with PCI revisions, so we’re fully prepared for version 4.
We recently introduced a new brochure that explains our RKL solution in great detail, with information to help you make the most informed decision about how to manage your ATM keys:
Solutions like RKL are necessarily in a state of continuous evolution, and we love hearing from our customers with their comments and suggestions. Cryptography is all around us, driving connected commerce and securing communications inside our computers, smartphones, communications networks and so much more—it’s truly fascinating. I hope you enjoy the amazing world of cryptography as much as I do! If you have questions, or want to find out more about how the right cryptographic implementations can secure your network, don’t hesitate to reach out.
Remote Key Load
Remote Key Load — это, по сути, процесс совместного использования общего ключа (ключа A) между хост-системой и защищенным модулем банкомата. До настоящего времени лучшая практика заключалась в том, что команда из двух человек, использующая Dual Control — Split Knowledge, вставляет уникальный ключ DES или Triple DES (ключ) в модуль безопасности банкомата во время установки или повторного набора ключей. Но это решение является затратным, поскольку необходимо отправлять команду на точку.
Другим важным аспектом ручного обращения является риск безопасности, связанный с компрометацией ключа из-за человеческого фактора.
От основных компаний-эмитентов карт на рынке существует требование об увеличении общей схемы защиты ключей путем перехода от Single DES-ключа к Triple DES-ключам. Это приводит к большим размерам ключей, что увеличивает сложность ручного ввода и обработки, и приводит к увеличению стоимости обслуживания.
Для решения вышеуказанных проблем Cryptera рекомендует использовать удаленную загрузку / транспортировку ключей (RKL) / (RKT).
2. Что такое RKL?
Удаленная загрузка ключей — это автоматизированный безопасный процесс, который заменяет процедуру их ручного ввода. Удаленная загрузка ключей основана на асимметричной криптографии с ключами RSA для передачи начального ключа A (главного ключа терминала) с хоста в EPP.
Основные преимущества RKL заключаются в том, что он основан на надежной криптографии с использованием 2048-битных ключей RSA и взаимной аутентификации двух сторон. Кроме того, все операции RKL выполняются в онлайн-среде, избегая необходимости ручного взаимодействия.
Преимущество технологии, основанной на RSA, состоит в том, что обе стороны могут обмениваться открытым ключом, не заботясь о секретности открытого ключа, как следует из названия, и единственный, кто может расшифровать данное сообщение, является владельцем соответствующего Секретного ключ.
3. Ключ аутентификации
Чтобы гарантировать, что никто не сможет модифицировать Открытый ключ, эти ключи хранятся в формате аутентифицированного безопасного переноса данных (сертификатом), который обеспечивает целостность и подлинность. Этот сертификат основан на официальном стандарте под названием X.509. Аутентификация сертификатов регулируется центральным органом, называемым центром сертификации (CA), на который обе стороны будут полагаться. В число компаний, предлагающих услуги CA входят VeriSign, Entrust и Thawte, а также банки и другие стороны могут выступать в этом роли.
4. RKL Стандарты
Рекомендации, определяющие различные аспекты RKL. Общая спецификация требований определена в [1] ANSI X9.24 Часть 2. Более практическое руководство определено в [2] CEN XFS 3.03 Часть 6, которая определяет общий программный интерфейс для устройства Pin Pad, включая функциональность RKL. Основные низкоуровневые определения данных и форматирования сообщений определены в [3] PKCS # 7 от RSA Laboratories.
Основные игроки
Каждый из 3 основных производителей банкоматов определил свою собственную реализацию RKL, в результате чего были созданы две версии протокола RKL, одна из которых использует сертификаты X.509, а другая — базовые подписи RSA. Они пока что не взаимозаменяемы.
5. Зачем внедрять RKL?
Одним из основных преимуществ использования RKLв банкоматах является снижение затрат на установку ключей и общее их обслуживание. В дополнение к этому можно сэкономить на процедурах генерации, хранения, распространения и ручной обработки бумажной ключевой информации, поскольку эти процессы либо не нужны, либо контролируются хост-системой.
С точки зрения безопасности, использование RKL является превосходной современной техникой безопасности, использующей сильную криптографию для защиты и распространения ключей. Кроме того, может быть изменен период обновления ключа, что повышает общую безопасность системы.
Переход к использованию RKL устраняет человеческий фактор, как с точки зрения ручного управления, так и с точки зрения рабочих часов и расстояния, а также позволяет избежать риска компрометации и / или неправильного использования ключевой информации.
6. Как реализовать RKL?
При планировании внедрения системы RKL одним из основных факторов, на который следует обращать внимание, это поддержка RKL в хост-системе. Часто Хост полагается на использование выделенного Host Secure Module (HSM), который является автономным модулем от стороннего поставщика (Thales, HP, IBM, FutureX), который обрабатывает ключи DES и ключи RKL — RSA. Это означает, что модуль HSM, выбранный или используемый в настоящее время, должен поддерживать операции RKL на основе RSA.
Одним из стратегических решений, которые необходимо принять, является выбор центра сертификации (СА) системы RKL. CA отвечает за выдачу сертификатов / подписей открытого ключа хоста и каждого открытого ключа установленных EPP.
7. Cryptera RKL Solution
Поскольку Cryptera является независимым поставщиком EPP, мы стремимся поддерживать основные системы RKL, используемые операторами банкоматов. Это означает, что мы будем поддерживать оба метода.
С точки зрения безопасности Cryptera выбрала метод на основе сертификатов основным методом, поскольку мы считаем, что это лучший и наиболее безопасный вариант, основанный на общепринятых стандартах ANSI / ISO.
Cryptera Standard RKL предлагает следующие функции:
— 2048-битные ключи RSA (сгенерированные внутри в EPP)
— Одна пара ключей RSA для шифрования / дешифрования ключей
— Одна пара ключей RSA для проверки / подписи данных
— Открытые ключи, содержащиеся в сертификатах X.509
— Протокол на основе сертификатов с использованием сертификатов X.509.
— Интерфейс программирования прошивки EPP, совместимый с API XFS 3.03.