Удаленная загрузка ключей (RKL) обеспечивает безопасный и недорогой способ загружать и управлять ключами шифрования ATM на всей сети устройств.
RKL предоставляет операторам сети ATM редкую возможность одновременно улучшить безопасность и операционную эффективность устройств. Однако несмотря на то, что эта технология хорошо зарекомендовала себя во всем мире, согласно отчету ATM and Self-service Software Trends report (О трендах в области ПО банкоматов и устройств самообслуживания) от 2019 года, лишь 44% финансовых учреждений используют удаленную загрузку ключей.
Ключи шифрования используются для защиты и передачи конфиденциальных данных, таких как PIN-код, и крайне важны для предотвращения кражи информации о держателе карты при ее отправке эмитенту на проверку. Для обеспечения надлежащей безопасности эти ключи требуется периодически обновлять.
Обычно ключи шифрования загружаются вручную — такой процесс называется «прямой загрузкой ключей». Для POS-терминалов и PIN-падов процесс требует доставки устройства в специальный центр KIF, где администраторы вручную введут в них ключи. Процесс может быть долгим и дорогим. Он требует дополнительных расходов на то, чтобы обеспечить центру KIF поддержку PCI Level 3, а также — операционных затрат на транспортировку устройств в этот центр.
Дорогой и подверженный ошибкам процесс
Для организаций с обширной сетью ATM и POS процесс ручной загрузки может быть весьма затратным, а также приводить к частым ошибкам, когда администратор вынужден вручную вводить длинные строки шестнадцатеричных значений. А если ключ был скомпрометирован, то быстрая замена ключа становится невозможной. Удаленная загрузка ключе устраняет эти проблемы, одновременне снижая операционные расходы и повышая безопасность.
RKL позволяет удобным и безопасным способом удаленно обновить ключи на всей сети устройств. Исключение человека из этого процесса устраняет возможности допустить ошибку, а также подвергнуться действиям злоумышленника при обновлении ключей в ручном режиме. А поскольку процесс удаленного обновления ключей более прост и дешев, становится возможным изменять ключи чаще, чем раз в год — таким образом снижается подверженность устройств атакам злоумышленников. Если подозревается нарушение, то для загрузки новых ключей достаточно нажать одну кнопку.
RKL гибок в адаптациях к изменениям криптографических алгоритмов. Например, все банкоматы, устанавливаемые с 2002 года, должны использовать алгоритм тройного шифрования данных — значительное улучшение стандарта безопасности для шифрования PIN-кодов.
Но вот появляется более безопасный, улучшенный стандарт шифрования на основе последней версии ANS X9 TR-31, в котором впервые описан метод доставки ключей AES. К тому же, переход на алгоритм хэширования SHA-2 вызывает трудности у многих разработчиков ATM, а удаленная загрузка ключей упрощает процесс миграции.
Доверенный обмен ключами
Успешные операции RKL требуют стандартизированных протоколов обмена между производителем устройства и поставщиком RKL. Основой RKL является доверие между сторонами обмена: с одной стороны находится поставщик RKL, а с другой — устройство. Довери устанавливается через центр сертификатов, создающий цифровой сертификат для конечного устройства и платформы RKL. Сертификат работает как приватный ключ, облегчающий обмен секретными ключами в инфраструктуре публичных ключей.
Конечные устройства и провайдер RKL должны использовать одинаковые протоколы обмена и шифрования. Наиболее распространенным и общепринятым стандартом шифрования для RKL является TR-34, однако есть и другие — они используются в зависимости от производителя, местоположения и прочих факторов. Поставщикам RKL важно разрабатывать гибкий дизайн платформы, чтобы была возможна интеграция со многими производителями.
После первоначальной настройки развертывание RKL происходит моментально. Для локального запуска аппаратные устройства безопасности (HSM) используются, чтобы облегчить управление жизненным циклом ключей: их генерацией, рассылкой и вводом. Эти защищенные от компрометации серверы оснащены внутренним криптографическим устройством для хранения ключей и соответствуют FIPS 140-2 Level 3, PCI HSM и прочим важным отраслевым стандартам. ATM RKL-функции устройства HSM также доступны в облаке для организаций, предпочитающих получать криптографические услуги.
Как только RKL внедрен, функциональность пакетного импорта позволяет легко и одновременно загружать ключи на большое количество устройств. Когда банкоматы организованы в группы, администраторы могут настраивать правила управления ключами, автоматизацию их замены и прочие обновления.
RKL — это безопасный и экономичный способ загружать ключи шифрования ATM и управлять ими на всех сетях устройств, что делает его надежным выбором для обеспечения безопасности финансовых учреждений. Если вы относитесь к 66% сетей ATM, которые по-прежнему полагаются на ручную загрузку ключей, возможно, пришло время подробно рассмотреть решение RKL.
Перевод. Источник: https://www.atmmarketplace.com/blogs/how-to-improve-atm-security-with-remote-key-loading/
