Перейти к основному содержанию

Thales payShield 9000 — аппаратный модуль безопасности

Thales PayShield 9000

Payment Hardware Security Module (HSM), аппаратный модуль безопасности Thales HSM9-12S, он же Thales payShield 9000 предназначен для использования в международных платежных системах. Модуль удовлетворяет самые высокие потребности в обеспечении безопасности, производительности, соблюдении последних отраслевых стандартов, а также поддержке чиповых и бесконтактных карт. Более 70% платежных транзакций в мире осуществляется при помощи этого модуля.

Модуль предоставляет все криптографические функции, необходимые для эмиссии пластиковых карт, обработки транзакций с кредитными и дебетовыми картами, а также для выполнения требований безопасности и аудита международных карточных систем.

payShield 9000 обладает полной обратной совместимостью с предыдущими моделями платежных HSM Thales — HSM 8000 и Racal RG7000.

В апреле 2023 года в России было принято решение о переходе российских банков на использование отечественных HSM, который должен пройти до 2025 года. Однако переход на отечественные HSM-модули будет дорогим и небыстрым.

Преимущества Thales payShield 9000

  • Комплексная система безопасности выпуска карт и обработки платежей
  • Интегрируется с большинством существующих банковских приложений
  • Возможность апгрейда функционала и производительности "на месте" программными средствами (без замены модуля)
  • Соответствие стандартам FIPS 140-2 Level 3 и PSI HSM
  • Модульная программная архитектура
  • Возможность изменения программной составляющей
  • Интерфейсная совместимость с предыдущим поколением HSM 8000

thales

Управление ключами

  • Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных
  • Блоки ключей Thales (в соответствии с ANSI X.9; X.9 TR-31)
  • Поддержка блоков ключей X.9 TR-31
  • Публичные ключи RSA
  • Ключи DUKPT для защиты PIN-кодов
  • Схема основного/сеансового ключей
  • Схема ключей транзакций Racal
  • Поддержка AS2805

payShield 9000 поддерживает большое количество схем управления ключами, включая схему Master/Session key, APACS/Racal Transaction Key, AS2805, DUKPT, технологию Открытых ключей, а также схемы ключевых блоков, выполненных в соответствии со стандартами ANSI X9.24 и X9 TR-31.

Поддержка механизмов криптографии

  • DES и Triple-DES (2 и 3 ключа)
  • AES (128, 192 и 256 бит)
  • RSA (до 2048 бит)
  • FIPS 198-1, MD5, SHA-1, SHA-2

Модуль безопасности payShield 9000 оснащен высокоскоростной подсистемой работы с Открытыми ключами. RSA-криптография используется для двух основных целей:

  • генерации и проверки цифровых подписей;
  • дистрибуции DES-ключей под Открытым ключом RSA.

Модуль может работать с длиной ключа от 320 до 2048 бит с шагом в 16 бит.

Производительность

  • Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками)
  • Многопоточный режим работы для оптимизации производительности
  • Кластеризация при помощи приложения Security Resource Manager

payShield 9000 выполняет все требования к обработке транзакций для большинства кредитных и дебетовых карточных приложений различных карточных систем, а именно American Express (AMEX), JCB, MasterCard и Visa. Базовое программное обеспечение модуля для обработки транзакций предоставляет эмитентам и эквайрерам, поддерживающим EMV-карты, все команды для систем, основанных на стандартах EMV 3.x и EMV 4.x.

В максимальном скоростном варианте payShield 9000 позволяет выполнять 1500 Triple-DES трансляций ПИН-блока в секунду (TPS), что является рекордным показателем в отрасли. Для приложений, не требующих такого высокого уровня производительности, можно выбрать один из множества других вариантов модулей со скоростью криптографических преобразований, начиная от 20 TPS.

Подключение хостов

  • Асинхронное (v.24, RS-232)
  • TCP/IP и UDP (10/100/1000 Base-T)
  • FICON

Сертификация

  • 140-2 Level 3, 46, 81, 180-3, 186-3, 198
  • PCI HSM v1
  • APCA
  • MEPS
  • NIST SP800-20, SP800-90(A)

Поддержка стандартов финансовой индустрии

  • ISO 9564, 10118, 11568, 13491, 16609,
  • ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31,
  • X9.52, X9.97
  • X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70,
  • AS2805 Pt 14

HSM поддерживает различные EFTPOS-системы (Electronic Funds Transfer at Point of Sale — электронная передача средств в точках продажи), существующие в мире. Многие концепции управления ключами, требуемые для обеспечения безопасности EFTPOS, такие как Racal Transaction Key scheme, были первоначально освоены Thales и встроены в HSM. Также доступны Single и Triple-DES версии DUKPT (метод доставки уникального ключа на каждую транзакцию), APACS и Австралийская схема управления ключами (AS2805).

Работа с платежными картами

  • Функции проверки PIN-кодов и карт American Express/MasterCard/VISA
  • Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN)
  • Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf
  • Платформа безопасности Europay Security Platform
  • Интеграция с большинством существующих банковских приложений

HSM предназначен для взаимодействия с банкоматами (ATM) и в настоящее время используется во многих главных всемирных сетях банкоматов. HSM может быть настроен на удовлетворение нужд индивидуальных сетей и, если необходимо, на специфические требования отдельных членов сети. Широкое разнообразие интерфейсов к Host-машинам и команды управления ПИН-кодами (ПИН-блоками) позволяют учесть потребности каждого члена системы. В частности, специфические функции, используемые в сетях AMEX, Visa и MasterCard, являются составной частью базового программного обеспечения модуля.

Программное обеспечение модуля payShield 9000 позволяет использовать его при выпуске пластиковых карт, как с магнитной полосой, так и основанных на чиповой технологии. Модуль выполняет генерацию криптографических значений, таких как VISA CVV (Card Verification Value), Mastercard CVC (Card Verification Code) и American Express CSC (Card Security Code), а также используется для генерации PIN-кодов и печати PIN-конвертов. Доступен полный набор криптографических функций подготовки данных, как для контактных, так и бесконтактных карт стандарта EMV.

Средства управления

  • Консольный интерфейс для "немых" терминалов
  • Графический пользовательский интерфейс (GUI) для стандартного программного обеспечения через Ethernet; поддержка локальных и удаленных режимов
  • Кластеризация посредством приложения Security Resource Manager (SRM)
  • SNMP
  • Встроенный журнал ошибок

Удаленный HSM Manager – это новое решение компании Thales e-Security, которое позволяет безопасно управлять модулями HSM 8000 и payShield 9000 удаленно из единого места. Благодаря данной технологии, можно существенно снизить расходы на обслуживание модулей, так как нет необходимости в физическом доступе к HSM.

Команды, использующие технологию RSA, позволяют производить удаленную загрузку мастер-ключей в ATM NCR, Diebold и Wincor-Nixdorf, тем самым снижая затраты на обслуживание банкоматов.

Функции безопасности

  • Двухфакторная аутентификация при помощи смарт-карт
  • Два физических замка и изменение режимов работы с помощью смарт-карт
  • Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3
  • Контроль попыток снятия крышки, датчики движения, напряжения и температуры
  • Возможность отключить функции безопасности, не востребованные хостовыми приложениями
  • Журналы аудита

Целостность передаваемой и хранимой в системе информации является первостепенной задачей для пользователей данной информации. Для защиты информации от искажения и подделки обычно используется технология MAC-кодов. payShield 9000 поддерживает большое количество опций макирования для удовлетворения индивидуальных потребностей пользователей, а также команд шифрования/дешифрования, в случае, если необходимо соблюдение требования секретности информации.

Thales payShield 9000 может использовать двойной источник питания, тем самым обеспечивая высокую надежность для критически-важных систем.

Физические характеристики

  • Габариты: 2U для монтажа в 19” серверную стойку 85х478х417 мм
  • Вес 7.3 кг с одним блоком питания, 7.5 – с двумя
  • Напряжение: 100-240V
  • Частота: 40-63Гц
  • Потребляемая мощность: 100В
  • Температура эксплуатации: 10…40С°
  • Влажность: 10-90% (без конденсации)

Ссылки

payShield 9000 ds.pdf

Secure Host Communications.pdf

payShield_9000_Security_Policy_v4.pdf

use-host-command.pdf

Перемещение и установка

HSM предназначен для установки в 19” серверную стойку. Для монтажа или демонтажа вам понадобятся физические ключи, поскольку для размещения или снятия в стоку нужно открыть боковые замки. Для установку в стойку нужны рельсы-салазки. Рельсы к HSM Thales 9000: HSM-RACK1000-02 (если не ошибаюсь), мне попались без маркировки.

HSM не имеет кнопки включения, отключение производится отключением кабелей питания. Данный аппарат может комплектоваться одним или двумя резервируемыми блоками питания. При подключении в стойке блоки питания следует подключать к разным лучам питания.

Перед перемещением HSM убедитесь что в HSM отключена защита. Перевозить HSM следует аккуратно, чтобы не повредить датчики вскрытия. При неправильной работе датчиков HSM не удастся ввести в эксплуатацию.

Сенсоры HSM мониторят: физическое вскрытие, перемещение, температуру, напряжение.

thales

Порты и интерфейсы

  • USB: x6, ввод-вывод данных, вывод статуса, управление, подключение к принтеру.
  • Smartcard: 1 или 4, ввод-вывод данных. По стандарту ISO совместимый считыватель с автоматическим извлечением карт на передней панели.
  • Ethernet: x4, ввод-вывод данных, вывод статуса, управление.
    • MGMT
    • AUX (может не использоваться)
    • DATA 1
    • DATA 2
  • Power: 1 или 2 IEC 60320 С14, 100/240 Volts AC

Кнопка RESET на передней панели используется для перезагрузки модуля, если нажата 2 сек. Кнопка утоплена для защиты от случайного нажатия.

Кнопка ERASE на задней панели payShield 9000 удаляет CSP, которые находятся во встроенном модуле DSP. Процесс не зависит от рабочего состояния HSM и наличия или отсутствия питания. Кнопка утоплена за панелью для предотвращения случайного стирания, и для ее использования требуется тонкая проволока.

Индикаторы

На передней панели 8 LED индикаторов.

  • Power LED
    • 1 БП
      • не горит — нет питания
      • зелёный — есть питание
    • 2 БП
      • не горит — нет питания
      • зелёный — есть питание от обоих БП
      • красный — питание только от верхнего БП
      • жёлтый — питание только от нижнего БП
  • Error LED
    • не горит — нет ошибок
    • мигает красный — есть непрочитанные ошибки в логе
    • красный — есть прочитанные ошибки в логе
  • LMK LED
    • не горит — нет LMK
    • зелёный — есть LMK
  • Alarm LED
    • не горит — нормальная работа
    • горит — сработали датчики безопасности
  • Host 1 LED
    • не горит — нет передачи данных по DATA 1 порту
    • мигает — есть небольшая передача данных по DATA 1 порту
    • горит — есть передача данных по DATA 1 порту
  • Host 2 LED
    • не горит — нет передачи данных по DATA 2 порту
    • мигает — есть небольшая передача данных по DATA 2 порту
    • горит — есть передача данных по DATA 2 порту
  • Management LED
    • не горит — нет передачи данных по MGMT порту
    • мигает — есть небольшая передача данных по MGMT порту
    • горит — есть передача данных по MGMT порт
  • Test LED — не используется

Каждый HSM имеет уникальный серийный номер, который написан на корпусе и загружен в устройство.

Положения ключей

thales

Устройство нельзя задвинуть в стойку без ключей. Требуется сначала открыть оба замка, задвинуть HSM в стойку, затем можно закрыть замки. Замки блокируют рельсы, выдвинуть HSM не получится. Так что не теряйте ключи и берите их с собой на монтаж.

Обзор

Смотрю, валяется у дороги Thales, сфотаю.

thales

Передняя панель.

thales

Ключи от замков.

thales

Вид сбоку.

thales

Закрытый слот расширения.

thales

Два блока питания и заземление.

thales

Порты и кнопки на задней панели.

thales

Вид сверху.

thales

 

Похожие материалы

Видеорегистратор EVD-8224-11

Данная серия DVR разработана для охраны и обеспечения безопасности широкого спектра объектов. Устройство использует операционную систему Linux. Поддерживает стандарт сжатого видео H.264mp формата и G.711A формат для сжатого аудио, эти форматы обеспечивают высокое качество изображения, низкий уровень ошибки кодирования и позволяет воспроизводить одиночный статичный кадр.

Видеорегистратор Beward BK01108-P8

IP видеорегистратор. До 8 IP-каналов со звуком, 8xPoE, 3072x2048 (6 Мп), до 240 к/с, Н.264, экспорт в AVI, детектор лиц, подключение камер по ONVIF, P2P сервис, 1 SATA HDD 3.5``, мобильный клиент iOS/Android, поддержка облачных хранилищ.