Ряд социальных и экономических проблем, присущих России после распада СССР: наличие в стране высококвалифицированных специалистов, низкий уровень оплаты труда технической интеллигенции, высокий уровень криминальности в стране - дают основание предположить, что проблемы мошенничества в электронных системах безналичных расчетов с использованием пластиковых карт могут стоять в России более остро по сравнению с Западом, где ежегодные потери составляют миллиарды долларов. Поэтому вопрос обеспечения безопасности функционирования электронной платежной системы и контроля доступа к финансовой информации приобретает большое значение. Ввиду недостаточного развития линий связи в России наиболее перспективны платежные системы, основанные на автономном принципе (off-line) обслуживания владельцев карточек в торговой точке или банкомате. Универсальная электронная платежная система UEPS (Universal Electronic Payment System) отвечает указанным требованиям и отличается высоким уровнем защищенности, что подтверждено результатами авторитетных международных экспертиз. Именно поэтому построение электронной платежной системы "Сберкарт" c использованием микропроцессорных карт в Сбербанке Российской Федерации базируется на технологии UEPS. Концепция и технология платежной системы UEPS разработана французской компанией NET 1 International.
Основным технологическим принципом UEPS является осуществление всех финансовых транзакций в режиме off-line при непосредственном взаимодействии двух интеллектуальных пластиковых карт. Базовым алгоритмом шифрования информации служит алгоритм DES. Высокая криптостойкость обеспечивается использованием двойного шифрования на ключах длиной 8 байт.
В платежных системах, работающих off-line, большая часть функций по обеспечению контроля действий, по защите от мошенничества ложится на микропроцессорную карту - базовый элемент UEPS. В UEPS используются три основных типа микропроцессорных карт:
служебные карты персонала банка;
торговые карты;
карты.
Все карты содержат 8-битовый микропроцессор.
Приведем технические характеристики карты клиента системы UEPS
Процессор scg-Тhompson, 8 бит, система команд Motorola 6805;
Конструкция и архитектура микропроцессора не позволяют осуществить механическое считывание информации путем спиливания кристалла по слоям, сканирования электронным микроскопом, воздействия ультрафиолетом. При попытках совершить подобные операции микропроцессор полностью выходит из строя. Архитектура самой микропроцессорной карты такова, что процессор контролирует доступ к защищенным областям памяти, передавая управление специальной программе UEPS. Вся информация поступает извне на карту в зашифрованном виде и расшифровывается прикладной программой внутри самой карты с использованием ключей, хранящихся в защищенных областях памяти. Аналогичным образом шифруется, информация, покидающая карту.
Банковские ключи никогда не покидают карту в открытом виде.
Состав и архитектура платежной системы. Системообразующим уровнем единой платежной системы является центр эмиссии (рис. 11.8.), который выполняет следующие функции:
генерацию генерального (системообразующего) ключа платежной системы;
первичную эмиссию микропроцессорных карт - присвоение картам уникальных серийных номеров USN, занесение на карты общесистемной идентифицирующей и контрольной информации, занесение на карты генерального ключа системы;
введение справочников карт и кодов валют, используемых в системе;
введение единой базы данных по заводским номерам и USN-номерам карт, имеющих хождение в системе.
Рис. 11.8. Архитектура платежной системы
Вторым уровнем платежной системы являются банки-участники. Банк-участник платежной системы - финансовый институт, участвующий в расчетах по микропроцессорным картам и несущий полную ответственность по транзакциям, совершенным эмитированным им картам. Каждый из банков-участников перед началом выпуска своих карт (клиентских и торговых) создает собственный набор ключей эмитента или эквайера, который заносятся на карты в процессе эмиссии и используются при формировании и обработке финансовых транзакций. В составе технических средств банка-участника действует ряд автоматизированных рабочих мест (АРМ) исполнителей: администратора, безопасности, бухгалтера.
Третьим уровнем иерархии в платежной системе являются операционные пункты. Операционными пунктами называют структурные подразделения банка-участника, в которых производится обслуживание клиентов банка - открытие-закрытие карточных счетов, выдача карточек, выполнение приходных и расходных операций. Карточная система банка-участника должна включать как минимум один операционный пункт.
Распределение ключей и паролей. В основе безопасности платежной системы UEPS лежит тщательно проработанная схема распределения и использования ключей и индивидуальных паролей субъектов системы UEPS. Распределение ключей и паролей по картам банка, торговца и клиента.
Карта банка
Карта торговца
Карта клиента
Наименование
P0
P0
P0
Мастер-ключ
P1-BIN B
P1-PIN M
P1-PIN1
Пароли P1
P2-RFU
P2-RFU
P2-PIN2
Пароли P2
P3
P3
P3
Пароль P3
P4
P4
P4
Пароль P4
P5
P5
P5
Пароль P5
P6
P6
P6
Пароль P6
P7
P7
P7
Системообразующий ключ Р7
KI1, KI2
-
KI1, KI2
Ключи клиентских карточек
-
КА1, КА2
-
Ключи торговых карточек
SK
SK
SK
Сессионный (сеансовый)-ключ-обмена
Таблица 11.1. Распределение ключей и паролей по картам банка, торговца и клиента
Дадим пояснения к табл. 11.1.
Мастер-ключ P0 обеспечивает генеральный доступ к карте. Назначается и известен только центру эмиссии.
Группа паролей P1:
PIN B- пароль операциониста банка.
PIN M -пароль кассира магазина.
PIN1 -пароль на зачисление средств на карту. Назначается и известен только владельцу карты. Изменяется владельцем в on-line терминале.
Группа паролей P2:
RFU- резервный пароль
PIN2 - пароль на списание средств карты. Назначается и известен только владельцу карты. Изменяется владельцем в off-line терминале.
(Пароли PIN1 и PIN2) могут быть одинаковыми по желанию владельца карты.
Группы паролей P3 и P4 являются резервными.
Пароль P5 участвует совместно с P7 в образовании сессионных -сеансовых ключей. Общий для всех банков-участников единой расчетной системы. Назначается центром эмиссии.
Пароль P6 предоставляет доступ на запись ключей K1х, KАх. Назначается банком-участником.
P6-RFU- резервный пароль.
Системообразующий ключ P7 участвует в образовании сессионных ключей. Является общим для всех банков-участников единой платежной системы. Назначается центром эмиссии.
Ключи клиентских карточек КI1 и КI2 предъявляются при зачислении средств на карту. Участвуют в шифровании записи о транзакции. Назначаются банком-участником.
Ключи торговых карточек КА1, КА2 предъявляются при инкассации карты торговца. Участвуют в шифровании записи о транзакции. Назначаются банком-эмитентом.
Сессионный (сеансовый) ключ обмена SK формируется в памяти карт в результате диалога карты с картой и служит для шифрования всех информационных потоков между картами на протяжении сеанса связи. Уникален для каждого сеанса связи карта-карта.
Цикл платежной транзакции. В цикле платежной транзакции участвуют три стороны:
финансовый институт (банк-участник);
владелец карты;
предприятие торговли услуг или банкомат.
Жизненный цикл платежной транзакции можно разбить на три этапа:
На первом этапе владелец карты имеет возможность получить по своей карте электронную наличность в размере, не превышающем остаток на его лицевом счете (или банк может кредитовать клиента). Эта операция может выполняться как оператором банка, так и в режиме самообслуживания. Она производится на банковском терминале самообслуживания или на рабочем месте оператора банка в режиме on-line с автоматизированной системой банка, так как нужен доступ к информации о состоянии карт-счета клиента, на основании которой и осуществляется финансовая операция. Поэтому подобные операции могут совершаться в любом месте, где есть on-line связь с базой данных карточных счетов клиентов банков.
Для выполнения этой операции клиент обязан предъявить пароль PIN1 на пополнение средств карты со своего счета в банке.
Далее клиент может совершать платежные операции на суммы, не превышающие остатка электронных средств на его карте, в любом месте , где установлено оборудование по обслуживанию микропроцессорных карт стандарта UEPS: off-line торговый терминал, банкомат и т. п. Следует заметить , что реальные деньги , полученные клиентом на карту, находятся на протяжении всего цикла платежной транзакции на отдельном счете.
На втором этапе клиент осуществляет платежную операцию в торговой точке. Эта операция проходит в режиме off-line без запросов на авторизацию владельца карты, так как вся необходимая информация, включая и секретную часть, находится на карте клиента, а карта представляет собой электронный кошелек.
Технически эта операция выполняется следующим способом. В торговом терминале установлена микропроцессорная карта торговца и клиент вставив свою карту в считывающее устройство торгового терминала, производит списание суммы покупки со своей карты на карту торговца, при этом баланс карты клиента уменьшается на сумму транзакции, а баланс карты торговца возрастает на аналогичную сумму. Кроме того, на карту торговца и на карту покупателя заносится полная информация о совершенной транзакции: дата-время, сумма транзакции, идентификатор покупателя и магазина с информацией о банке и номере счета владельца.
Для совершения транзакции покупатель должен ввести свой пароль PIN2 на расходование средств со своей карты. Клиент и торговец получают дополнительно твердые копии информации о совершенной транзакции (чек покупателя) и журнальная лента магазина. Все транзакции также дублируются в памяти торгового терминала в зашифрованном виде. На бумажном чеке отображается название магазина, дата-время совершения операции, номер карты клиента, сумма операции, а также кодированная строка с информацией о совершенной транзакции, для обеспечения возможности восстановления информации о совершенной транзакции.
На третьем этапе торговец, собрав в течение дня на карту торговца список всех проведенных за торговую сессию транзакций с подробным описанием каждой, передает (инкассирует) данную информацию с карты торговца в систему расчетов банка. Эта операция может осуществляться автоматически, по модемной телефонной связи , или физически, по предъявлению карты торговца в любом ближайшем отделении банка или пункте инкассации, но в любом случае зашифрованный список транзакций передается именно с карты торговца а не из памяти торгового терминала. После завершения сеанса инкассации карта торговца очищается для работы в следующем сеансе, и на нее переносятся изменения списка"горячих карт" (hot-list), который карта торговца сообщает торговому терминалу в начале следующего рабочего дня (новой торговой сессии)
На следующем этапе банк, получив информацию о произведенных транзакциях, перечисляет сумму по всем совершенным транзакциям данного магазина на счет торговой организации.
Торговые терминалы. Торговые учреждения банковские пункты выдачи наличности оснащаются терминалами типа EFT-10 с программным обеспечением UEPS. Терминал имеет два считывателя для магнитных карт. В один считыватель в начале рабочего дня устанавливается карта торговца, в другой- карта покупателя при оплате покупки. В базовой поставке терминал EFT-10 имеет также считыватель для карт с магнитной полосой и встроенный модем, что позволяет организовать на одном устройстве обслуживание и пластиковых карт с магнитной полосой.
Торговый терминал, постоянно находящийся вне банковского контроля, является с точки зрения безопасности одним из самых уязвимым элементом платежной системы. Он может подвергаться попыткам взлома (несанкционированного доступа) со стороны криминальных структур. Поэтому недопустимо доверять торговому терминалу секретную, критическую с точки зрения функционирования платежной системы информацию, т.е. банковские ключи и пароли, алгоритмы шифрования, списки финансовых транзакций.
В платежной системе UEPS торговый терминал не хранит никакой секретной информации, а играет только роль элемента, обеспечивающего интерфейсное взаимодействие двух защищенных интеллектуальных устройств: карточки клиента и карточки торговца. Все платежные операции совершаются только в диалоге двух карт. При этом вне карт вся информация всегда зашифрована на базе сессионных ключей.
Формирование сессионных ключей. Диалог между картами клиента и торговца в торговом терминале осуществляется на базе сессионных ключей.
Карта клиента используя внутренний датчик случайных чисел, вырабатывает случайное число в начале каждого нового сеанса взаимодействия с картой торговца, шифрует это число на системных ключах P7,P5 и сообщает карте торговца.
Карта торговца располагая теми же самыми системными ключами P7,P5 расшифровывает принятую информацию и получает тоже самое число в расшифрованном виде. Используя данное число в комбинации с другими ключами и общими для обеих карт данными, карты клиента и торговца одновременно вырабатывают сессионный ключ, который идентичен для обеих карт и уникален для каждого сеанса связи карточек клиента и торговца.
Сессионный ключ находится только в памяти обеих карт и никуда их не покидает. На базе этого сессионного ключа зашифровываются все информационные потоки между картами, что делает бесполезными попытки перехвата сообщений в торговом терминале.
Эмиссия карточек. Все банки-участники единой платежной системы по картам стандарта UEPS получают карты, оснащенные индивидуальным логотипом заказчика (банка-эмитента) и стандартизированным программным обеспечением.
Процедура эмиссии карт состоит из трех этапов:
назначение центром эмиссии системных ключей;
назначение банком-участником банковских ключей и паролей;
персонализация карты клиента банком-участником.
Из них первые два этапа являются секретными и выполняются с соблюдением соответствующих мер безопасности в специально оборудованных помещениях. Третий этап, связанный с непосредственной персонализацией карты является несекретным и выполняется рядовым оператором банка в операционном зале в присутствии клиента.
Система эмиссии карт, распределения и назначения ключей организована таким образом, чтобы сохранить за каждым банком уникальные права и ответственность за владение секретной информацией о своих банковских финансовых ключах.
Процесс эмиссии карт реализуется следующим образом. Центр эмиссии получает тираж карточек трех видов - банковские, торговые и клиентские - все карточки изначально отформатированы и загружены соответствующим программным обеспечением UEPS. Доступ ко всем картам закрыт транспортным ключом P0-транспортынй (уникальный для каждого тиража), который сообщается поставщиком уполномоченному сотруднику банка.
Первый этап эмиссии (секретная фаза) выполняется в центре эмиссии при получении каждого нового тиража карточек с обеспечением специальных мер безопасности администратором системы безопасности. Предъявляя карточкам P0-транспортный , центр эмиссии записывает на все карточки свой секретный мастер-ключ P0, системные ключи P7,P5 и устанавливает для каждой карты уникальный порядковый номер USN в системе банка.
Второй этап эмиссии (секретная фаза) выполняется в банке-участнике при получении каждого нового тиража карточек с обеспечением специальных мер безопасности администратор систем безопасности. Для банковской и торговой карт устанавливаются соответствующие значения паролей P1 и P6. Презентуя пароли P6 на карты банка и торговца, устанавливаются пароли KI1 и KI2 для банковских карт KA1 и KA2 - для торговых. Банк заносит на карты также дополнительную информацию (коды валют, информацию о магазине)
Третий этап эмиссии - персонализация карты является несекретной операцией, выполняемой в присутствии клиента оператором банка, и не требует дополнительных мер безопасности.
Процесс персонализации карты клиента возможен только в диалоге с картой оператора банка. Оператор, презентуя банковской карте свой пароль PIN B , заносит на карту клиента информацию о владельце (Ф.И.О, банковские реквизиты, срок действия карты). Банковская карта переносит в зашифрованном виде на карту клиента банковские ключи KI1 и KI2 и записывает на карту клиента банковские ключи KI1 и KI2 и записывает на карту клиента номер карты оператора, которая участвовала в персонализации. Банковские ключи KI1 и KI2, переносимые на карту клиента с банковской карты, зашифрованы на базе сессионных ключей.
Клиент заносит на карту пароли PIN1 и PIN2 со своей отдельной клавиатуры.
Карта оператора банка контролирует доступ оператора в систему, проверяя его личный пароль PIN B. Кроме того, независимо от желания оператора при каждой процедуре персонализации новой карты в память микропроцессора этой карты всегда заносится номер банковской карты оператора, выдавшего карту клиенту. Поэтому всегда можно установить, какой оператор и когда выдавал эту карту.
Следует отметить, что оператор банка не получает информацию о клиентских паролях PIN1 и PIN2 на зачисление и списание. Эти клиентские пароли не хранятся в системе, они назначаются клиентом, известны только карте и ее владельцу и могут быть изменены клиентом самостоятельно в любой торговой точке в режиме off-line.
Таким образом, без санкции владельца карты, выраженной в сообщении этой карте правильного пароля, никто другой, в том числе и оператор банка, не может провести финансовые операции с картой клиента.
Разграничение ответственности между банками-участниками общей платежной системы. В системе UEPS только банк-участник имеет право и техническую возможность доступа к информации на эмитируемых банком картах. Даже производители и поставщики, обладая всеми техническими средствами, знаниями форматов данных и сообщений в системе, исходных текстов программ, местонахождения и назначения всех ключей и паролей, не в состоянии получить доступ к секретной финансовой информации без знания банковских ключей и паролей.
В системе UEPS предусмотрено разделение ключей и разграничение ответственности между банками-участниками единой платежной системы. Каждый банк-участник платежной системы имеет собственные банковские ключи и пароли, участвующие в шифровании финансовой информации и известные только ему. Эти ключи и пароли уникальны для каждого банка. Таким образом, обеспечение мер безопасности сводится к обеспечению надежного хранения ключей банком-участником системы.
Утрата ключей каким-либо банком участником может привести к возможности несанкционированного доступа только к финансовой информации, касающегося этого банка и не создаст угрозы финансовых потерь для остальных банков-эмитентов участников единой платежной системы.
Двойное шифрование записи о транзакции на ключах банка эквайера и банка эмитента. Запись о каждой платежной транзакции остается незашифрованной (дата транзакции, банковские е реквизиты покупателя), часть информации шифруется на ключах банка-эквайера КА1 и КА2 - сумма, номер USN карты покупателя, номер транзакции на карте торговца , а часть информации на ключах банка эмитента KI1 и KI2 - сумма, USN, PAN, номер транзакции в списке на карте клиента.
Торговец в конце торговой сессии инкассирует список платежных транзакций в свой банк-эквайер. Этот банк-эквайер, предъявляя свои ключи KA1 и KA2, расшифровывает свою часть платежной транзакции и определяет, клиент какого банка, когда и на какую сумму совершил покупку в его магазине. Получив из записи о транзакции информацию о банковских реквизитах покупателя, банк-эквайер формирует платежное уведомление для банка-эмитента, частью которого является зашифрованный сертификат банка-эмитента.
Банк-эмитент, получив платежное уведомление, расшифровывает вторую часть транзакции, предъявляя свои банковские ключи КI1 и КI2 - если расшифрованная информация полностью соответствует содержащейся в платежном уведомлении: в первую очередь сумма транзакции и реквизиты владельца карточки, совершившего покупку, то это платежное уведомление признается подлинным и оплачивается, в противном случае оно отвергается. Таким образом исключается возможность фальсификации платежных уведомлений в межбанковских расчетах.
При учреждении банками процессингового центра они сохраняют право над межбанковскими операциями. При этом каждый банк оставляет за собой исключительное право назначения и ротации банковских ключей KI1,KI2,KA1,KA2.
Контроль прохождения транзакций в платежной системе. Для обеспечения контроля безопасности и решения спорных вопросов в платежной ситуации необходима эффективная система организации сквозной уникальной нумерации и учета платежных транзакций. В системе каждая платежная операция идентифицируется с композицией следующих элементов.
уникальный серийный номер карты клиента в системе;
порядковый номер операции по списку операций на карте клиента;
уникальный серийный номер карты в магазине;
порядковый номер операции по списку операций на карте магазина;
порядковый номер инкассации карты магазина.
Реализованная схема позволяет однозначно проследить прохождение операции по всем элементам системы.
