Перейти к основному содержанию

Thales payShield 9000 — аппаратный модуль безопасности

Thales PayShield 9000

Payment Hardware Security Module (HSM), аппаратный модуль безопасности Thales HSM9-12S, он же Thales payShield 9000 предназначен для использования в международных платежных системах. Модуль удовлетворяет самые высокие потребности в обеспечении безопасности, производительности, соблюдении последних отраслевых стандартов, а также поддержке чиповых и бесконтактных карт. Более 70% платежных транзакций в мире осуществляется при помощи этого модуля.

Модуль предоставляет все криптографические функции, необходимые для эмиссии пластиковых карт, обработки транзакций с кредитными и дебетовыми картами, а также для выполнения требований безопасности и аудита международных карточных систем.

payShield 9000 обладает полной обратной совместимостью с предыдущими моделями платежных HSM Thales — HSM 8000 и Racal RG7000.

В апреле 2023 года в России было принято решение о переходе российских банков на использование отечественных HSM, который должен пройти до 2025 года. Однако переход на отечественные HSM-модули будет дорогим и небыстрым.

Преимущества Thales payShield 9000

  • Комплексная система безопасности выпуска карт и обработки платежей
  • Интегрируется с большинством существующих банковских приложений
  • Возможность апгрейда функционала и производительности "на месте" программными средствами (без замены модуля)
  • Соответствие стандартам FIPS 140-2 Level 3 и PSI HSM
  • Модульная программная архитектура
  • Возможность изменения программной составляющей
  • Интерфейсная совместимость с предыдущим поколением HSM 8000

thales

Управление ключами

  • Большое количество локальных мастер-ключей (LMK) для разделения типов ключей, приложений и клиентских данных
  • Блоки ключей Thales (в соответствии с ANSI X.9; X.9 TR-31)
  • Поддержка блоков ключей X.9 TR-31
  • Публичные ключи RSA
  • Ключи DUKPT для защиты PIN-кодов
  • Схема основного/сеансового ключей
  • Схема ключей транзакций Racal
  • Поддержка AS2805

payShield 9000 поддерживает большое количество схем управления ключами, включая схему Master/Session key, APACS/Racal Transaction Key, AS2805, DUKPT, технологию Открытых ключей, а также схемы ключевых блоков, выполненных в соответствии со стандартами ANSI X9.24 и X9 TR-31.

Поддержка механизмов криптографии

  • DES и Triple-DES (2 и 3 ключа)
  • AES (128, 192 и 256 бит)
  • RSA (до 2048 бит)
  • FIPS 198-1, MD5, SHA-1, SHA-2

Модуль безопасности payShield 9000 оснащен высокоскоростной подсистемой работы с Открытыми ключами. RSA-криптография используется для двух основных целей:

  • генерации и проверки цифровых подписей;
  • дистрибуции DES-ключей под Открытым ключом RSA.

Модуль может работать с длиной ключа от 320 до 2048 бит с шагом в 16 бит.

Производительность

  • Диапазон производительности до 1500 операций (Triple-DES операций с PIN блоками)
  • Многопоточный режим работы для оптимизации производительности
  • Кластеризация при помощи приложения Security Resource Manager

payShield 9000 выполняет все требования к обработке транзакций для большинства кредитных и дебетовых карточных приложений различных карточных систем, а именно American Express (AMEX), JCB, MasterCard и Visa. Базовое программное обеспечение модуля для обработки транзакций предоставляет эмитентам и эквайрерам, поддерживающим EMV-карты, все команды для систем, основанных на стандартах EMV 3.x и EMV 4.x.

В максимальном скоростном варианте payShield 9000 позволяет выполнять 1500 Triple-DES трансляций ПИН-блока в секунду (TPS), что является рекордным показателем в отрасли. Для приложений, не требующих такого высокого уровня производительности, можно выбрать один из множества других вариантов модулей со скоростью криптографических преобразований, начиная от 20 TPS.

Подключение хостов

  • Асинхронное (v.24, RS-232)
  • TCP/IP и UDP (10/100/1000 Base-T)
  • FICON

Сертификация

  • 140-2 Level 3, 46, 81, 180-3, 186-3, 198
  • PCI HSM v1
  • APCA
  • MEPS
  • NIST SP800-20, SP800-90(A)

Поддержка стандартов финансовой индустрии

  • ISO 9564, 10118, 11568, 13491, 16609,
  • ANSI X3.92, X9.8, X9.9, X9.17, X9.24, X9.31,
  • X9.52, X9.97
  • X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70,
  • AS2805 Pt 14

HSM поддерживает различные EFTPOS-системы (Electronic Funds Transfer at Point of Sale — электронная передача средств в точках продажи), существующие в мире. Многие концепции управления ключами, требуемые для обеспечения безопасности EFTPOS, такие как Racal Transaction Key scheme, были первоначально освоены Thales и встроены в HSM. Также доступны Single и Triple-DES версии DUKPT (метод доставки уникального ключа на каждую транзакцию), APACS и Австралийская схема управления ключами (AS2805).

Работа с платежными картами

  • Функции проверки PIN-кодов и карт American Express/MasterCard/VISA
  • Транзакции и сообщения EMV.3Х и 4Х (включая смену PIN)
  • Удаленная загрузка ключей в банкоматы NCR, Diebold и Wincor Nixdorf
  • Платформа безопасности Europay Security Platform
  • Интеграция с большинством существующих банковских приложений

HSM предназначен для взаимодействия с банкоматами (ATM) и в настоящее время используется во многих главных всемирных сетях банкоматов. HSM может быть настроен на удовлетворение нужд индивидуальных сетей и, если необходимо, на специфические требования отдельных членов сети. Широкое разнообразие интерфейсов к Host-машинам и команды управления ПИН-кодами (ПИН-блоками) позволяют учесть потребности каждого члена системы. В частности, специфические функции, используемые в сетях AMEX, Visa и MasterCard, являются составной частью базового программного обеспечения модуля.

Программное обеспечение модуля payShield 9000 позволяет использовать его при выпуске пластиковых карт, как с магнитной полосой, так и основанных на чиповой технологии. Модуль выполняет генерацию криптографических значений, таких как VISA CVV (Card Verification Value), Mastercard CVC (Card Verification Code) и American Express CSC (Card Security Code), а также используется для генерации PIN-кодов и печати PIN-конвертов. Доступен полный набор криптографических функций подготовки данных, как для контактных, так и бесконтактных карт стандарта EMV.

Средства управления

  • Консольный интерфейс для "немых" терминалов
  • Графический пользовательский интерфейс (GUI) для стандартного программного обеспечения через Ethernet; поддержка локальных и удаленных режимов
  • Кластеризация посредством приложения Security Resource Manager (SRM)
  • SNMP
  • Встроенный журнал ошибок

Удаленный HSM Manager – это новое решение компании Thales e-Security, которое позволяет безопасно управлять модулями HSM 8000 и payShield 9000 удаленно из единого места. Благодаря данной технологии, можно существенно снизить расходы на обслуживание модулей, так как нет необходимости в физическом доступе к HSM.

Команды, использующие технологию RSA, позволяют производить удаленную загрузку мастер-ключей в ATM NCR, Diebold и Wincor-Nixdorf, тем самым снижая затраты на обслуживание банкоматов.

Функции безопасности

  • Двухфакторная аутентификация при помощи смарт-карт
  • Два физических замка и изменение режимов работы с помощью смарт-карт
  • Взломоустойчивый корпус, соответствующий требованиям FIPS 140-2 Level 3
  • Контроль попыток снятия крышки, датчики движения, напряжения и температуры
  • Возможность отключить функции безопасности, не востребованные хостовыми приложениями
  • Журналы аудита

Целостность передаваемой и хранимой в системе информации является первостепенной задачей для пользователей данной информации. Для защиты информации от искажения и подделки обычно используется технология MAC-кодов. payShield 9000 поддерживает большое количество опций макирования для удовлетворения индивидуальных потребностей пользователей, а также команд шифрования/дешифрования, в случае, если необходимо соблюдение требования секретности информации.

Thales payShield 9000 может использовать двойной источник питания, тем самым обеспечивая высокую надежность для критически-важных систем.

Физические характеристики

  • Габариты: 2U для монтажа в 19” серверную стойку 85х478х417 мм
  • Вес 7.3 кг с одним блоком питания, 7.5 – с двумя
  • Напряжение: 100-240V
  • Частота: 40-63Гц
  • Потребляемая мощность: 100В
  • Температура эксплуатации: 10…40С°
  • Влажность: 10-90% (без конденсации)

Ссылки

payShield 9000 ds.pdf

Secure Host Communications.pdf

payShield_9000_Security_Policy_v4.pdf

use-host-command.pdf

Перемещение и установка

HSM предназначен для установки в 19” серверную стойку. Для монтажа или демонтажа вам понадобятся физические ключи, поскольку для размещения или снятия в стоку нужно открыть боковые замки. Для установку в стойку нужны рельсы-салазки. Рельсы к HSM Thales 9000: HSM-RACK1000-02 (если не ошибаюсь), мне попались без маркировки.

HSM не имеет кнопки включения, отключение производится отключением кабелей питания. Данный аппарат может комплектоваться одним или двумя резервируемыми блоками питания. При подключении в стойке блоки питания следует подключать к разным лучам питания.

Перед перемещением HSM убедитесь что в HSM отключена защита. Перевозить HSM следует аккуратно, чтобы не повредить датчики вскрытия. При неправильной работе датчиков HSM не удастся ввести в эксплуатацию.

Сенсоры HSM мониторят: физическое вскрытие, перемещение, температуру, напряжение.

thales

Порты и интерфейсы

  • USB: x6, ввод-вывод данных, вывод статуса, управление, подключение к принтеру.
  • Smartcard: 1 или 4, ввод-вывод данных. По стандарту ISO совместимый считыватель с автоматическим извлечением карт на передней панели.
  • Ethernet: x4, ввод-вывод данных, вывод статуса, управление.
    • MGMT
    • AUX (может не использоваться)
    • DATA 1
    • DATA 2
  • Power: 1 или 2 IEC 60320 С14, 100/240 Volts AC

Кнопка RESET на передней панели используется для перезагрузки модуля, если нажата 2 сек. Кнопка утоплена для защиты от случайного нажатия.

Кнопка ERASE на задней панели payShield 9000 удаляет CSP, которые находятся во встроенном модуле DSP. Процесс не зависит от рабочего состояния HSM и наличия или отсутствия питания. Кнопка утоплена за панелью для предотвращения случайного стирания, и для ее использования требуется тонкая проволока.

Индикаторы

На передней панели 8 LED индикаторов.

  • Power LED
    • 1 БП
      • не горит — нет питания
      • зелёный — есть питание
    • 2 БП
      • не горит — нет питания
      • зелёный — есть питание от обоих БП
      • красный — питание только от верхнего БП
      • жёлтый — питание только от нижнего БП
  • Error LED
    • не горит — нет ошибок
    • мигает красный — есть непрочитанные ошибки в логе
    • красный — есть прочитанные ошибки в логе
  • LMK LED
    • не горит — нет LMK
    • зелёный — есть LMK
  • Alarm LED
    • не горит — нормальная работа
    • горит — сработали датчики безопасности
  • Host 1 LED
    • не горит — нет передачи данных по DATA 1 порту
    • мигает — есть небольшая передача данных по DATA 1 порту
    • горит — есть передача данных по DATA 1 порту
  • Host 2 LED
    • не горит — нет передачи данных по DATA 2 порту
    • мигает — есть небольшая передача данных по DATA 2 порту
    • горит — есть передача данных по DATA 2 порту
  • Management LED
    • не горит — нет передачи данных по MGMT порту
    • мигает — есть небольшая передача данных по MGMT порту
    • горит — есть передача данных по MGMT порт
  • Test LED — не используется

Каждый HSM имеет уникальный серийный номер, который написан на корпусе и загружен в устройство.

Положения ключей

thales

Устройство нельзя задвинуть в стойку без ключей. Требуется сначала открыть оба замка, задвинуть HSM в стойку, затем можно закрыть замки. Замки блокируют рельсы, выдвинуть HSM не получится. Так что не теряйте ключи и берите их с собой на монтаж.

Обзор

Смотрю, валяется у дороги Thales, сфотаю.

thales

Передняя панель.

thales

Ключи от замков.

thales

Вид сбоку.

thales

Закрытый слот расширения.

thales

Два блока питания и заземление.

thales

Порты и кнопки на задней панели.

thales

Вид сверху.

thales

 

Похожие материалы

Межсетевой экран Cisco ASA 5505

Оборудование Cisco ASA 5505 поддерживает разнообразные сервисы, включая межсетевой экран, виртуальные сети (VPN), SSL. ASDM (Cisco Adaptive Security Device Manager) позволяет эксплуатировать оборудование. Cisco ASA 5505 поддерживает функции 8-ми портового коммутатора 10/100 с динамическим перераспределением портов, поддерживает организацию 3-х виртуальных сетей.

ПАК Соболь 3 — описание и установка

ПАК Соболь 3 — это электронный замок. Представляет собой плату, которая вставляется в сервер или рабочую станцию. Безопасность — нашё всё. Ставится сей продукт не по желанию админа, а если есть такие требования. Производитель: ООО "Код Безопасности". Поставим на сервер HPE Proliant DL360 Gen10.

Cisco Firepower 1150 Security Appliance — межсетевой экран

После заявления Cisco о приостановке работы в России, эти железки из-за смарт-лицензий превратились в тыкву. Осталось их выкинуть, продать или каким-то неведомым образом "вылечить". Если кто-то знает приёмы нетрадиционный сетевой медицины — кидайте ссылки.