Microcrypt Technologies Ltd.

SAM Hierarchy

Неотъемлемым элементом современных систем обслуживания смарт-карт в режиме off-line, т.е. без подключения к некоторому центральному серверу аутентификации, являются «аппаратные модули безопасности» (HSM – Hardware Security Module) или SAM-модули (Security Access Modules). Основной их задачей является безопасное хранение и применение секретных ключей, используемых для проведения транзакций с карточкой пользователя. Кроме защиты ключевой информации, модуль безопасности, также может обеспечивать транзакционность протокола обмена с карточкой и безопасное накопление и хранение данных по выполненным транзакциям (эта функциональность определяется конкретной сферой применения модуля безопасности). В общем случае, применение SAM-модулей позволяет защититься от двух серьёзных угроз безопасности: клонирования карточек и «вброса» в систему неавторизованных транзакций.

«SAM Hierarchy» − это иерархическую систему SAM-модулей, предназначенная для поддержки полного жизненного цикла смарт-карт (или токенов): от выпуска и обслуживания, до уничтожения или переинициализации. Данная система позволяет осуществлять безопасное формирование, распределение, хранение и применение секретных ключей используемых для работы с пользовательскими карточками. Иерархия SAM-модулей включает три класса устройств различного функционального назначения:

  • Root – выполняют формирование секретных ключей для всей иерархии SAM-модулей, т.е. фактически, её создание;
  • Master – используются для резервного хранения и инициализации Service-устройств;
  • Service – используются непосредственно для инициализации и обслуживания пользовательских карточек.

Данное разделение иерархии на классы устройств позволяет разделить функциональные «роли» устройств, и, соответственно, защититься от компрометации ключей, вследствие не целевого использования SAM-модулей. Угроза не целевого использования, возникает в условиях применения SAM-модулей на «неконтролируемой» территории. Применение Root и Master устройств, как правило, может быть ограничено одним защищённым помещением департамента ИТ безопасности, в то время как Service-устройства должны применяться в составе территориально распределённых POS-терминалов. Поэтому роль устройства определяет возможность экспорта секретных ключей:

  • Root – может генерировать и экспортировать ключи в Master-устройства;
  • Master – может импортировать ключи из Root и Master-устройств, а также экспортировать в другие Master и Service-устройства;
  • Service – может только импортировать ключевую информацию и применять её для выполнения соответствующей бизнес функции.

При этом экспорт/импорт секретных ключей выполняется исключительно в зашифрованном виде с контролем целостности и возможен только между представителями одной «иерархии». Для выполнения процедуры экспорта-импорта устройства проходят обоюдную динамическую аутентификацию.

Кроме того, каждое устройство имеет два профиля, защищённых самостоятельными ПИН- и ПАК-кодами (паролями):

  • Профиль «Пользователя» – возможность выполнения только базовых операций;
  • Профиль «Администратора» – возможность выполнения привилегированных операций (генерация, экспорт, импорт ключей).

В зависимости от сферы применения карточной системы, класс Service-устройств может включать две или три категории устройств:

  • Personify – устройства для инициализации и персонификации карточек пользователей;
  • Field – устройства для обслуживания карточек пользователей в POS-терминалах;
  • Accumulate – устройства для взаимодействия с Field-устройствами, в том числе «сбора» выполненных ими транзакций (данная категория может отсутствовать, в зависимости от бизнес-процесса услуги).

В рамках каждой из категорий может существовать несколько типов устройств, например: категория Field может включать один тип SAM-модуля для считывания текущего состояния «виртуального счёта» на карточке и по одному типу SAM-модулей, соответственно, для его кредитования и дебетования этого счёта. Конкретный перечень типов SAM-модулей определяется бизнес логикой работы системы. Весь объём ключевых мастер данных, используемых в одной иерархии, разбивается на группы по функциональному назначению и в каждый Service SAM загружается только соответствующая ему группа ключей. При этом один Service SAM может одновременно хранить ключевую информацию сразу для нескольких версий эмиссий карточек, выпущенных с использованием разных ключевых мастер-данных.

SAM-модули всех типов содержат физический датчик случайных чисел, поддерживают симметричные (AES, 3DES, ГОСТ 28147-89) и асимметричные (ДСТУ 4145-2002, ECDH) криптоалгоритмы и могут быть адоптированы к специфическим требованиям заказчика.

В настоящее время SAM-модули доступны в виде USB-токенов, в двух модификациях: «стандарт» и «PIN-pad» – с интегрированной 5-кнопочной ПИН-клавиатурой. Также, по требованию заказчика, SAM-модули могут быть выполнены в формате SIM-карты или другом форм-факторе.

SAM-модули построены на аппаратной платформе USB-токенов «mcToken», поэтому их базовые характеристики идентичны, принципиальное отличие заключается в перечне поддерживаемых криптопротоколов и профилей пользователей, в рамках каждого типа SAM-модуля.