В ожидании тройного DES

В ожидании тройного DES

Сегодня, в преддверии “ИКР-2003”, мероприятия, традиционно уделяющего особое внимание различным аспектам безопасности карточного бизнеса, хотелось бы коснуться вопросов, которые на фоне высоких темпов российской EMV-миграции постепенно начинают выходить на передний план. Соответствуют ли применяемые технологии шифрования современным требованиям к обеспечению безопасности карточных платежей? Какие технологии шифрования рекомендуют использовать эксперты? И, наконец, что ждет мировой карточный рынок в случае пренебрежения этими рекомендациями?

EMV – лишь часть панацеи
В последнее время повышение уровня безопасности использования банковских карт становится одной из наиболее актуальных тем, которой посвящаются многие выставки, семинары и форумы и уделяется широкое внимание в специализированной прессе.

Безопасность является одной из так называемых классических причин перехода мирового карточного сообщества на использование микропроцессорных карт, которые в скором времени должны вытеснить менее защищенные карты с магнитной полосой.

В то же время переход на EMV-технологии нельзя считать панацеей от карточного мошенничества. Очевидно, что для повышения уровня безопасности карточных транзакций банкам и компаниям-производителям необходимо держать в поле зрения все аспекты обеспечения защищенности платежей. В частности, если в системе безопасности присутствует хотя бы одно слабое звено, именно оно может оказаться причиной коллапса всей системы. В этой ситуации ключевым моментом защищенности карточных операций становится применение различных технологий шифрования транзакционной информации.

DES: хроника потери иллюзий
Как уже отмечалось, переход на использование EMV-карт не следует расценивать в качестве абсолютной гарантии безопасности карточных платежей. Действительно, EMV-карты гораздо труднее подделать, чем их “магнитные” аналоги. В этом плане использование чиповых карт позволяет эмитенту с определенной долей уверенности говорить о том, что его пользователи защищены от атак мошенников.

Однако при этом не следует забывать, что процесс EMV-миграции происходит неравномерно в различных регионах. И даже в пределах отдельной страны некоторые банки могут достаточно долго реализовывать свои EMV-проекты. Последнее утверждение особенно актуально для стран – территориальных гигантов, например, для России. На таких рынках проблема подготовки терминальной сети для приема EMV-карт будет оставаться актуальной еще в течение длительного времени. В этом случае комбинированные карты будут обслуживаться в POS-терминалах и в АТМ без использования микропроцессорной технологии, путем считывания магнитной полосы. Следовательно, проблема подделки карты и обеспечения сохранности ПИН-кода будет оставаться острой даже для стран с достаточно высокими показателями EMV-миграции.

Как известно, передача ПИН-блока между терминалом и хостовой системой банка осуществляется в шифрованном виде. На данный момент в большинстве случаев проблема защищенности ПИН-кода решается применением алгоритма шифрования DES.

Алгоритм DES (Data Encryption Standard) был разработан в 1967 г. специалистами компании IBM и долгое время оставался де-факто стандартом для шифрования финансовой информации. В 1977 г. DES был утвержден к использованию американским агентством по безопасности National Security Agency (NSA). Примечательно, что первоначально длина криптографических ключей, используемых в DES, составляла 128 бит. Однако впоследствии NSA сократила этот параметр до 56 бит. За прошедшие чуть более четверти века алгоритм DES не претерпел практически никаких существенных изменений.

Вопрос о том, что DES не в состоянии обеспечить надлежащий уровень защищенности карточных транзакций, встал перед специалистами рынка несколько лет назад. Сегодня эксперты утверждают, что за 1-2 дня злоумышленник может взломать защиту алгоритма DES даже на домашнем компьютере.

Однако своего апогея проблема недостаточной криптостойкости DES достигла только в прошлом году. Так, в июне 2002г. американский комитет по стандартизации методов обеспечения информационной безопасности ANSI Accredited Standarts Committee X9 опубликовал отчет, в котором отмечалось, что алгоритм DES не способен поддерживать защищенность транзакционной информации. В феврале 2003г. аспиранты Компьютерной лаборатории Кембриджского университета Майкл Бонд (Mike Bond) и Петр Зелински (Piotr Zielinski) опубликовали свой нашумевший технический отчет “Применения таблиц децимализации для взломов ПИН-кодов” (Decimalization table attacks for PIN cracking), в котором рассмотрели различные аспекты использования ПИН-кодов в банкоматных транзакциях. В своей работе ученые утверждают, что мошеннику, знающему особенности функционирования механизмов шифрования, работы HSM (Hardware Security Module) и ATM, потребуется в среднем 15 попыток, чтобы взломать ПИН-код пользователя. Ранее считалось, что для этого мошенник должен предпринять от 5 тыс. до 10 тыс. попыток. При этом особое внимание в своем отчете ученые уделили выявлению нестойкости алгоритма DES, который применяется в нескольких методах вычисления значения ПИН-кода. (Подробнее см. материал “Обратная сторона PIN-кода”, ПЛАС №3/2003.)

Позиция платежных систем
Справедливости ради следует отметить, что международные платежные ассоциации достаточно оперативно отреагировали на сигналы экспертов и разработали план миграции с DES на применение более безопасного алгоритма шифрования 3DES (Triple DES).

ритма шифрования 3DES (Triple DES). При этом именно родственность алгоритмов DES и 3DES позволила сделать выбор в пользу последнего. Предполагается, что участники рынка могут мигрировать на использование родственного алгоритма шифрования с наименьшими финансовыми и временными затратами. Безусловно, алгоритм 3DES значительно превосходит предшествующий аналог по устойчивости к взломам. Так, например, в 3DES применяется два или три 56-битных ключа. Соответственно, 3DES способен работать в режимах двойного или тройного шифрования. По подсчетам экспертов, 3DES является в 72 квадриллиона раз (!) более устойчивым алгоритмом шифрования, нежели DES.

В первую очередь процесс миграции на 3DES коснулся именно банкоматных сетей, в силу того, что именно ATM традиционно чаще используются для ввода ПИН-кода.

Так, например, по требованиям Visa International с января 2003 г. алгоритм 3DES должны поддерживать все устанавливаемые банкоматы. С января 2007 г. это требование распространится на все АТМ, принимающие карты Visa.

По данным экспертов, на сегодняшний день большинство банкоматов в Европе готовы для применения алгоритма 3DES и поддерживают механизмы управления сессионными ключами большой длины.

В то же время переход на использование 3DES в POS-терминалах и ПИНпадах проходит не столь быстрыми темпами. Это можно объяснить тем, что до недавнего времени пользователи были избавлены от необходимости вводить ПИН-код при проведении POS-терминальных транзакций. Фактически только недавно MasterCard International стала требовать ввода ПИН-кода при проведении платежей по картам Maestro.

Поэтому не удивительно, что достаточно долгое время платежные ассоциации не могли определиться со сроками миграции на 3DES в POSтерминальной сети.

По недавно объявленным требованиям Visa International все устанавливаемые устройства (ПИН-пады, АТМ и POS-терминалы), принимающие карты Visa, при вводе ПИН-кода должны поддерживать использование алгоритма 3DES начиная с января 2004 г., а с января 2006 г. это станет обязательным и для всех ранее установленных терминалов.

Что касается карт MasterCard International, то уже с апреля 2003г. все вновь устанавливаемые POS-терминалы и ПИН-пады должны поддерживать использование протокола 3DES с двойной длиной ключа. В соответствии с этими требованиями к указанной дате необходимые обновления должны быть проведены и в процессинговых системах банков. При этом платежная система настоятельно рекомендовала всем своим участникам обеспечить применение алгоритма 3DES на всех устройствах ввода ПИН-кода в POS-терминалах (POS PIN Entry Device) к апрелю 2005г.

В случае, если к указанному сроку банк не успел перевести свои терминалы на использование алгоритма 3DES, он автоматически попадает под процедуру переноса ответственности за мошеннические транзакции. Известно, что ответственность за потери от мошенничества по карте возлагается на ее эмитента. Данная схема продолжит свое существование и после массового внедрения 3DES, однако в том случае, если мошенническая операция по карте была произведена в POS-терминале, не адаптированном для обслуживания алгоритма 3DES, ответственность автоматически возлагается на банк-эквайер. Характерно, что подобный метод “кнута и пряника” для стимуляции перехода банков на новые технологии применяется Visa International и MasterCard International в отношении эквайринга EMV-карт.

Следует, однако, отметить, что при определении рекомендаций использования 3DES в POS-терминальной сети платежные системы обошли стороной несколько важных вопросов. Например, два основных протокола, используемых для обмена данными между POS-терминалом и хостовой системой банка-эквайера – SPDH, разработанный компанией ACI WorldWide, и APACS 40, продвигаемый Association for Payment Clearing Services (APACS), одной из крупнейших британских банковских ассоциаций, – не способны поддерживать ключи большой длины, а следовательно, не подходят для работы с алгоритмом 3DES. Несмотря на то, что в ближайшее время ACI WorldWide планирует выпустить обновленную версию протокола SPDH, на данный момент POS-протокола, поддерживающего 3DES, фактически не существует.

Проблема управления ключами
До настоящего времени международные платежные системы пока еще не выработали требования или рекомендации, касающиеся управления сессионными ключами. Фактически управление сессионными ключами подразумевает необходимость замены ключей, которые используются для шифрования определенной информации (в том числе и ПИН-блока). В идеале процедура замены сессионных ключей должна осуществляться на регулярной основе, чтобы злоумышленник не смог воспользоваться старым ключом для получения доступа к зашифрованной информации.

На данный момент процедура замены сессионных ключей для алгоритма DES достаточно четко проработана. Еще в 1998 г. ANSI Accredited Standarts Committee X9 разработал стандарт ANSI X9.24-1998, регулирующий процедуру обновления сессионных ключей.

Сегодня существует два основных метода управления сессионными ключами: Master Key/Session Key и DUKPT (Derived Unique Key Per Transaction).

В первом случае сессионный ключ регулярно обновляется хостовой системой банка-эквайера и, зашифрованный мастер-ключом, передается на терминал. Получая зашифрованное значение нового сессионного ключа, терминал расшифровывает его при помощи собственного мастер-ключа. В июне 2002г. ANSI опубликовала отчет, в котором отмечалось, что данный метод обновления сессионных ключей не предназначается для использования с алгоритмом 3DES. По мнению экспертов, метод Master Key/Session Key, соответствующий стандарту ANSI X9.24-1998, не обеспечивает надлежащий уровень безопасности ключей большой длины, используемых в алгоритме 3DES.

В то же время при использовании метода DUKPT сессионный ключ, напротив, не пересылается на терминал с хостовой системы. Он генерируется самим терминалом для каждой отдельной транзакции на основе прошлого ключа и так называемого ключа смещения (некоего произвольного числа). Основным преимуществом данного метода является то, что при его применении сессионный ключ никогда не передается с терминала на хост, а следовательно, не может быть перехвачен мошенником. Хост определяет сессионный ключ для расшифрования полученного ПИН-блока на основании некой информации, передаваемой вместе с транзакцией.

В отличие от Master Key/Session Key данный метод управления сессионными ключами получил одобрение со стороны ANSI. DUKPT соответствует новому стандарту обновления сессионных ключей в алгоритме 3DES, получившему название ANSI ANSI X9.24-2002. Так, например, аналогичный механизм управления ключами применяется в банкоматах.

Следует отметить, что в Европе традиционно используется метод управления сессионными ключами Master Key/Session Key, в то время как DUKPT широко распространен на территории США.

В России, как и в европейских странах, DUKPT не получил широкого распространения. На данный момент использование этого метода реализовано только в процессинговой компании UCS. При этом подавляющее большинство отечественных банков продолжают использовать метод Master Key/Session Key

Таким образом, в преддверии начала процесса глобального перехода на 3DES большинство банков как в Европе, так и России фактически остались без стандарта управления сессионными ключами, отвечающего требованиям безопасного применения алгоритма 3DES.

Новый стандарт
В результате перед специалистами карточного рынка встал вопрос разработки нового стандарта, который бы восполнил пробел, образовавшийся после того, как Master Key/Session Key был признан непригодным для управления ключами алгоритма 3DES. Создание нового стандарта взяли на себя специалисты нескольких компанийпроизводителей (среди которых ACI WorldWide, HP Atalla, Diebold, Thales eSecurity и VeriFone) под эгидой ANSI. Результатом работы совместной экспертной комиссии стала разработка нового стандарта, получившего название ANSI X9 TG31 (GISKE) и увидевшего свет в декабре прошлого года.

По сути, уникальность GISKE состоит в том, что механизм управления сессионными ключами не привязан к какому-либо конкретному алгоритму шифрования. GISKE совместим с наиболее распространенными криптографическими алгоритмами, среди которых DES, 3DES и RSA.

Несмотря на то, что альтернативного механизма обновления ключей, сопоставимого с GISKE по универсальности и надежности, на данный момент не существует, продвижение нового стандарта столкнулось с определенными трудностями. Прежде всего это связано с тем, что международные платежные системы до сих пор не выработали четкую позицию по отношению к GISKE, что мешает вендорам признать механизм новым де-факто стандартом обновления ключей.

Помимо этого, на многих терминальных устройствах, использующих алгоритм DES, реализация механизма GISKE связана с определенными трудностями или вообще невозможна.

Кроме того, при внедрении этого стандарта соответствующие изменения необходимо произвести также в хостовой системе банка-эквайера на стороне HSM-модуля.

В то же время компания Thales eSecurity, один из крупнейших мировых поставщиков HSM, уже объявила о готовности адаптировать свои устройства для использования GISKE. Поддержка процедуры адаптации войдет в одну из версий программного обеспечения Thales e-Security и обойдется пользователю менее чем в 1 тыс. долл. США. Однако банки по-прежнему с опаской относятся к GISKE из-за отсутствия непосредственных рекомендаций платежных систем.

Справедливости ради следует вновь повторить, что реальных конкурентов стандарту GISKE не существует. Поэтому его официальное утверждение платежными системами является не более чем вопросом времени. Однако до получения официального одобрения со стороны Visa International и MasterCard International карточный рынок будет томиться в ожидании.

Производители на перепутье
В сложившейся ситуации в наиболее незавидном положении оказались сами поставщики POS-терминалов и ПИН-падов. С одной стороны, международные платежные системы стали требовать от них в срочном порядке “научить” терминалы использовать новый алгоритм шифрования. С другой – они же не утвердили новый стандарт управления ключами.

Таким образом, вендоры оказались перед непростым выбором: либо выпускать устройства, использующие устаревшие механизмы обновления ключей, либо искать какие-то новые выходы из сложившейся ситуации.

Сегодня существует два варианта решения этой задачи. Первый – подключение программируемого ПИН-пада. Так, VeriFone разработала новую модель программируемого ПИН-пада, поддерживающего применение протокола 3DES. В памяти этого устройства содержится специальный упрощенный макроассемблер, позволяющий программировать непосредственно модуль безопасности ПИН-пада. В частности, используя возможности макроассемблера, специалист банка может перепрограммировать терминал для применения новой процедуры загрузки ключей. В этом случае, после появления официального стандарта управления сессионными ключами, терминал может быть быстро адаптирован под новые рекомендации платежных систем. Аналогичное устройство выпустила на рынок и компания Ingenico.

Ощутимым недостатком таких ПИН-падов является их относительно высокая стоимость, ведь переоснащение развитой терминальной сети новыми перепрограммируемыми ПИНпадами может позволить себе далеко не каждый банк.

Второй вариант предложил один из крупнейших мировых производителей терминального оборудования. Более того, не дожидаясь фактического утверждения стандарта безопасности GISKE, он уже внедрил его во всей своей линейке POS-терминалов и ПИНпадов, стремясь повысить уровень безопасности карточных транзакций. Не исключено, что его примеру последуют и другие производители.

Выводы
Итак, на данный момент в мире сложилась весьма неоднозначная ситуация с переходом на полномасштабное использование алгоритма 3DES.

С одной стороны, эксперты компаний-производителей, специалисты аналитических организаций и международные платежные ассоциации осознают опасность, связанную с применением устаревшей технологии шифрования DES, и дружно выступают за процесс миграции на более эффективный и стойкий 3DES.

С другой стороны, на рынке наблюдается ощутимый вакуум, связанный с отсутствием механизмов, сопутствующих практическому использованию 3DES. До сих пор не разработан новый стандарт обновления сессионных ключей, из-за чего производители HSM-модулей и POS-терминалов, предпочитая не рисковать, не торопятся внедрять в производство перспективные разработки, еще не получившие официального одобрения платежных систем.

Таким образом, мировое банковское сообщество рискует оказаться в ситуации, когда даже такие мощные средства обеспечения безопасности карточных транзакций, как, например, переход на EMV-технологии, не смогут в полной мере обеспечить защищенность платежных операций. Как уже отмечалось, даже второстепенный, на первый взгляд, элемент системы безопасности может стать причиной ее коллапса. Тем более если речь идет о применяемом алгоритме шифрования передаваемого ПИН-блока.

С другой стороны, следует отметить достаточно невысокий интерес к данной проблеме самих банкиров. Безусловно, сейчас перед мировым карточным рынком стоит множество различных проблем, однако решение вопроса миграции на 3DES не следует полностью перекладывать на плечи вендоров. Ведь в конечном итоге всю ответственность за мошеннические операции приходится нести именно банкам.

Остается надеяться, что в ближайшее время “замкнутый круг”, образовавшийся вокруг миграции на 3DES, все же будет разорван, и арсенал борцов с карточным мошенничеством пополнится не только новыми чиповыми технологиями, но и эффективным алгоритмом шифрования.

Хотелось бы также выразить уверенность, что российское банковское сообщество, в свою очередь, не обойдет вниманием данную проблему в ходе грядущей 8-й Международной Конференции и Выставки “Интеллектуальные карты России-2003”, где, как мы ожидаем, она найдет достойное отражение в выступлениях, дискуссиях и инициативах участников этого мероприятия.

Полный текст статьи читайте в журнале «ПЛАС» № 8 (88) ’2003 стр. 38

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных