Microcrypt Technologies Ltd.

SAM Hierarchy

Невід'ємним елементом сучасних систем обслуговування смарт-карт у режимі off-line, тобто без підключення до деякого центрального сервера аутентификации, є «апаратні модулі безпеки» (HSM - Hardware Security Module) або SAM-модулі (Security Access Modules). Основним їхнім завданням є безпечне зберігання й застосування секретних ключів, що використовуються для проведення транзакцій з карткою користувача. Крім захисту ключової інформації, модуль безпеки, також може забезпечувати транзакційність протоколу обміну з карткою й безпечне накопичування й зберігання даних по виконаних транзакціях (ця функціональність визначається конкретною сферою застосування модуля безпеки). У загальному випадку, застосування SAM-модулів дозволяє захиститися від двох серйозних погроз безпеки: клонування карток і «вкидання» у систему неавторизованих транзакцій.

«SAM Hierarchy» − це ієрархічна система SAM-модулів, яка призначена для підтримки повного життєвого циклу смарт-карт (або токенів): від випуску й обслуговування, до знищення або переініціалізації. Дана система дозволяє здійснювати безпечне формування, розподіл, зберігання й застосування секретних ключів, що використовують в роботі з картками користувачів. Ієрархія SAM-модулів включає три класи пристроїв різного функціонального призначення:

  • Root − виконують формування секретних ключів для всієї ієрархії SAM-модулів, тобто фактично, її створення.
  • Master − використовуються для резервного зберігання й ініціалізації Service-пристроїв;
  • Service − використовуються безпосередньо для ініціалізації й обслуговування карток користувачів.

Таке розділення ієрархії на класи пристроїв дозволяє розподілити функціональні «ролі» пристроїв, і, відповідно, захиститися від компрометації ключів, внаслідок нецільового використання SAM-модулів. Погроза нецільового використання виникає в умовах застосування SAM-модулів на «неконтрольованій» території. Застосування Root і Master пристроїв, як правило, може бути обмежено одним захищеним приміщенням департаменту ІТ безпеки, у той час як Service-пристрої повинні застосовуватися у складі територіально розподілених POS-терміналів. Тому роль пристрою визначає можливість експорту секретних ключів:

  • Root − може генерувати й експортувати ключі в Master-пристрої;
  • Master − може імпортувати ключі з Root і Master-пристроїв, а також експортувати в інші Master і Service-пристрою;
  • Service − може тільки імпортувати ключову інформацію й застосовувати її для виконання відповідної бізнес функції.

При цьому експорт/імпорт секретних ключів виконується винятково в зашифрованому виді з контролем цілісності й можливий тільки між представниками однієї «ієрархії». Для виконання процедури експорту-імпорту пристрою проходять обопільну динамічну автентифікацію.

Крім того, кожний пристрій має два профілі, захищених самостійними PIN- і PUK-кодами (паролями):

  • Профіль «Користувача» − можливість виконання тільки базових операцій;
  • Профіль «Адміністратора» − можливість виконання привілейованих операцій (генерація, експорт, імпорт ключів).

Залежно від сфери застосування карткової системи, клас Service-пристроїв може включати дві або три категорії пристроїв:

  • Personify – пристрої для ініціалізації й персоніфікації карток користувачів;
  • Field − пристрої для обслуговування карток користувачів в POS-терміналах;
  • Accumulate − пристрої для взаємодії з Field-пристроями, у тому числі «збору» виконаних ними транзакцій (дана категорія може бути відсутня, залежно від бізнес-процесу послуги).

У рамках кожної з категорій може існувати кілька типів пристроїв, наприклад: категорія Field може включати один тип SAM-модуля для зчитування поточного стану «віртуального рахунку» на картці й по одному типу SAM-модулів, відповідно, для його кредитування й дебетування цього рахунку. Конкретний перелік типів SAM-модулів визначається бізнес логікою роботи системи. Весь обсяг ключових майстер даних, використовуваних в одній ієрархії, розбивається на групи за функціональним призначенням й у кожний Service SAM завантажується тільки відповідна йому група ключів. При цьому один Service SAM може одночасно зберігати ключову інформацію відразу для декількох версій емісій карток, випущених з використанням різних ключових майстер-даних.

SAM-модулі всіх типів містять фізичний датчик випадкових чисел, підтримують симетричні (AES, 3DES, ГОСТ 28147-89) і асиметричні (ДСТУ 4145-2002, ECDH) криптоалгоритми й можуть бути адаптовані до специфічних вимог замовника.

У цей час SAM-модулі доступні у вигляді USB-токенів, у двох модифікаціях: «стандарт» і «PIN-pad» - з інтегрованою 5-кнопковою PIN-клавиатурою. Також, на вимогу замовника, SAM-модулі можуть бути виконані у форматі SIM-карти або іншому форм-факторі.

SAM-модулі побудовані на апаратній платформі USB-токенів «mcToken», тому їхні базові характеристики ідентичні, принципова відмінність полягає в переліку криптографічних протоколів, які підтримуються і профілів користувачів, у рамках кожного типу SAM-модуля.