Модуль безопасности Thales e-Security HSM 9000

Типовые применения HSM

Взаимодействие с банкоматами (ATM)  

HSM предназначен для взаимодействия с банкоматами (ATM) и в настоящее время используется во многих главных всемирных сетях банкоматов. HSM может быть настроен на удовлетворение нужд индивидуальных сетей и, если необходимо, на специфические требования отдельных членов сети. Широкое разнообразие интерфейсов к Host-машинам и команды управления ПИН-кодами (ПИН-блоками) позволяют учесть потребности каждого члена системы. В частности, специфические функции, используемые в сетях AMEX, Visa и MasterCard, являются составной частью базового программного обеспечения модуля.

EFTPOS

HSM поддерживает различные EFTPOS-системы (Electronic Funds Transfer at Point of Sale - электронная передача средств в точках продажи), существующие в мире. Многие концепции управления ключами, требуемые для обеспечения безопасности EFTPOS, такие как Racal Transaction Key scheme, были первоначально освоены Thales и встроены в HSM. Также доступны Single и Triple-DES версии DUKPT (метод доставки уникального ключа на каждую транзакцию), APACS и Австралийская схема управления ключами (AS2805). 

Выпуск пластиковых карт

Программное обеспечение модуля payShield 9000 позволяет использовать его при выпуске пластиковых карт, как с магнитной полосой, так и основанных на чиповой технологии. Модуль выполняет генерацию криптографических значений, таких как VISA CVV (Card Verification Value), Mastercard CVC (Card Verification Code) и American Express CSC (Card Security Code), а также используется для генерации PIN-кодов и печати PIN-конвертов. Доступен полный набор криптографических функций подготовки данных, как для контактных, так и бесконтактных карт стандарта EMV.
 

Обработка транзакций

payShield 9000 выполняет все требования к обработке транзакций для большинства кредитных и дебетовых карточных приложений различных карточных систем, а именно American Express (AMEX), JCB, MasterCard и Visa. Базовое программное обеспечение модуля для обработки транзакций предоставляет эмитентам и эквайрерам, поддерживающим EMV-карты, все команды для систем, основанных на стандартах EMV 3.x и EMV 4.x.

Безопасность данных

Целостность передаваемой и хранимой в системе информации является первостепенной задачей для пользователей данной информации. Для защиты информации от искажения и подделки обычно используется технология MAC-кодов. payShield 9000 поддерживает большое количество опций макирования для удовлетворения индивидуальных потребностей пользователей, а также команд шифрования/дешифрования, в случае, если необходимо соблюдение требования секретности информации. 

Ключевые особенности

Новый высокотехнологичный дизайн

Thales payShield 9000 единственный в мире платежный HSM, который может использовать двойной источник питания, тем самым обеспечивая высокую надежность для критически-важных систем. Реализованы разнообразные коммуникационные интерфейсы, так для TCP/IP и UDP - 10/100/1000 BaseT Ethernet, а также асинхронный интерфейс. Порты USB на передней и задней панели модуля заменили последовательные и параллельные порты, используемые на HSM 8000. Для перезагрузки (Restart) и стирания (Erase) теперь используются разные кнопки. payShield 9000 имеет 8 разноцветных светодиодов, благодаря чему для пользователей визуально доступно больше диагностической информации.

Самая высокая производительность в отрасли

В максимальном скоростном варианте payShield 9000 позволяет выполнять 1500 Triple-DES трансляций ПИН-блока в секунду (TPS), что является рекордным показателем в отрасли. Для приложений, не требующих такого высокого уровня производительности, можно выбрать один из множества других вариантов модулей со скоростью криптографических преобразований, начиная от 20 TPS.

Гибкая система управления ключами

payShield 9000 поддерживает большое количество схем управления ключами, включая схему Master/Session key, APACS/Racal Transaction Key, AS2805, DUKPT, технологию Открытых ключей, а также схемы ключевых блоков, выполненных в соответствии со стандартами ANSI X9.24 и X9 TR-31. 

Поддержка RSA

Модуль безопасности payShield 9000 оснащен высокоскоростной подсистемой работы с Открытыми ключами. RSA-криптография используется для двух основных целей:

• генерации и проверки цифровых подписей;
• дистрибуции DES-ключей под Открытым ключом RSA.

Модуль может работать с длиной ключа от 320 до 2048 бит с шагом в 16 бит.

Удаленное администрирование

Удаленный HSM Manager – это новое решение компании Thales e-Security, которое позволяет безопасно управлять модулями HSM 8000 и payShield 9000 удаленно из единого места. Благодаря данной технологии, можно существенно снизить расходы на обслуживание модулей, так как нет необходимости в физическом доступе к HSM. 

Удаленная загрузка ключей в банкоматы

Команды, использующие технологию RSA, позволяют производить удаленную загрузку мастер-ключей в ATM NCR, Diebold и Wincor-Nixdorf, тем самым снижая затраты на обслуживание банкоматов.

Сертификация безопасности

Для выполнения всех криптографических операций и управления ключами, ПИН-кодами и другими чувствительными данными payShield 9000 использует Thales Secure Processing Platform (TSPP). Данная подсистема соответствует требованиям безопасности по FIPS 140-2 Level 3. Также payShield 9000 спроектирован для выполнения требований PCI HSM – нового стандарта безопасности индустрии платежных карт для аппаратных модулей безопасности. 

Технические данные

Управление ключами

• Поддержка нескольких LMK на одном модуле
• Тестовые LMK с известными значениямиThales Key Block (расширение ANSI X9.24)
• X9 TR-31 Key Block
• RSA public key
• DUKPT (DES и Triple-DES)
• Master/Session Key
• Racal Transaction Key
• AS2805 Key (DES и Triple-DES)

Криптографическая поддержка

• DES и Triple-DES (ключи двойной и тройной длины)  
• RSA (до 2048 bits)
• AES и ECC (посредством обновления программного обеспечения)

Производительность

• Модели разной производительности, вплоть до 1500 Triple-DES трансляций ПИН-блоков в секунду 
• Многопоточность для достижения максимальной производительности
• Кластеризация: совместимость с Thales Security Resource Manager (SRM)
• Коммуникационные интерфейсы • Asynchronous (v.24, RS-232)
• TCP/IP и UDP (10/100/1000 Base-T) – два Ethernet порта для надежности
• Сертификация безопасности - Thales Secure Processing Platform (TSPP) находится в процессе сертификации по FIPS 140-2 Level 3, а также MEPS, APCA и PCI HSM

Стандарты финансовой индустрии

• American Express/Mastercard/Visa: функции верификации карт и ПИН-кодов 
• EMV 3.x и 4.x
• Удаленная загрузка ключей в ATM NCR, Diebold и Wincor-Nixdorf
• Europay Security Platform (MasterCard stand-in processing)

Возможности управления

• Консольный интерфейс к текстовым терминалам  
• Графический пользовательский интерфейс через Ethernet для локального и удаленного управления

Безопасность

• Двухфакторная аутентификация операторов, используя смарт-карты 
• Физические замки для безопасности и смены состояния модуля (Offline, Online, Secure)
• Взломоустойчивый дизайн по FIPS 140-2 Level 3
• Датчики обнаружения вторжения
• Датчики перемещения, напряжения и температуры
• Возможность запрещать неиспользуемые команды

Физические параметры

• Форм-фактор: 2U для монтажа в стойку 19" 
• Высота: 85mm (3.35")
• Ширина: 478mm (18.82")
• Глубина: 417mm (16.42")
• Вес: 7.3kg (16lb) с одним модулем питания и 7.5kg (16.5lb) с двумя модулями питания
• Напряжение: от 100 до 240V AC
• Частота: от 47 до 63Hz
• Потребляемая мощность: 100W (максимум)
• Рабочая температура: от 10°C до 40°C
• Влажность: от 10% до 90% (без конденсации)