Секреты EMV: как защищенные ключи и сертификаты записываются на чип банковской карты

[Carder]

Безопасность EMV как криптографическая система​

По своей сути, EMV — это не просто платежный протокол, а распределенная криптографическая система. Каждая транзакция EMV основана на секретах, которые должны быть сгенерированы, сохранены и использованы таким образом, чтобы предотвратить их разглашение, копирование или манипулирование. Эти секреты — в первую очередь криптографические ключи и цифровые сертификаты — внедряются в чип в процессе тщательно контролируемой персонализации.

Безопасность глобальной инфраструктуры карточных платежей зависит от предположения, что эти секреты никогда не раскрываются за пределами защищенных границ и что каждая карта представляет собой уникальный криптографический идентификатор.

Типы криптографического материала в EMV-карте​

В EMV-чипе хранится несколько категорий конфиденциальной информации, каждая из которых выполняет свою особую функцию:

• Симметричные ключи для криптограмм транзакций
• Асимметричные пары ключей для автономной аутентификации
• Сертификаты, связывающие ключи с эмитентами и схемами.
• Защищенные ключи обмена сообщениями для обеспечения безопасности связи

Для каждой категории действуют разные правила жизненного цикла и механизмы контроля доступа.

Симметричная криптография в EMV​

Симметричная криптография используется для операций, критически важных с точки зрения производительности, таких как генерация криптограмм приложений.

К числу распространенных алгоритмов относятся:

• Тройной DES (3DES)
• Расширенный стандарт шифрования (AES)

Эти алгоритмы реализованы в аппаратном обеспечении или оптимизированном встроенном программном обеспечении микросхемы для обеспечения стабильной синхронизации и устойчивости к анализу побочных каналов.

Асимметричная криптография в EMV​

Асимметричная криптография обеспечивает автономную аутентификацию карт и делегирование доверия.

Исторически EMV основывалась на RSA. Современные системы все чаще поддерживают:

• Криптография на эллиптических кривых (ECC)
• Гибридные схемы обратной совместимости

Асимметричные ключи позволяют терминалам проверять, что карта была выпущена законным эмитентом, без необходимости связываться с эмитентом онлайн.

Иерархия доверия EMV​

Система безопасности EMV построена на основе иерархической модели доверия.

На вершине иерархии находятся корневые ключи платежной системы. Ниже них расположены ключи эмитента, а на самом нижнем уровне — ключи, специфичные для каждой карты. Доверие передается вниз через сертификаты и криптографическую проверку.

Компромисс на одном уровне не означает автоматический отказ от вышестоящих уровней, что способствует сохранению системной устойчивости.

Корневые ключи платежной системы​

Корневые ключи платежных систем управляются такими организациями, как Visa, Mastercard и другими.

Эти ключи:

• Создаются в строго контролируемых условиях.
• Никогда не оставляйте защищенное оборудование без присмотра.
• Распространяются только в виде общедоступных компонентов, встроенных в терминалы.

Корневые ключи являются основой всей цепочки сертификатов EMV.

Ключевые домены эмитента​

Эмитенты используют собственные криптографические домены на уровне схемы.

Управление ключевыми доменами эмитента:

• Криптограммы авторизации
• Защищенный обмен сообщениями
• Автономная аутентификация данных

Ключи в этих областях формируются и управляются независимо каждым эмитентом.

Модули аппаратной безопасности как основа доверия​

Аппаратные модули безопасности (HSM) являются основой управления ключами EMV.

HSM-модули обеспечивают:

• Защищенное от взлома хранилище ключей
• Сертифицированное криптографическое исполнение
• Внедрение правил использования ключей.

Все критически важные ключи EMV генерируются, хранятся и используются внутри HSM.

Процедуры генерации ключей​

Генерация ключей осуществляется в соответствии с формализованными процедурами, разработанными для предотвращения компрометации.

Типичные средства контроля включают в себя:

• Управление с участием двух или трех операторов
• Раздельное знание ключевых компонентов
• Проверенные ключевые церемонии

Для обеспечения непредсказуемости случайность обеспечивается аппаратными генераторами энтропии.

Главные ключи эмитента​

Главные ключи эмитента — это долгосрочные секреты, которые лежат в основе всех ключей на уровне карты.

К распространенным основным ключам эмитента относятся:

• IMK-AC (Прикладная криптограмма)
• IMK-SM (Защищенный обмен сообщениями)
• IMK-DA (Аутентификация данных)

Эти ключи никогда не отображаются в открытом виде за пределами защищенного оборудования.

Ключевые концепции диверсификации​

Вместо загрузки одинаковых ключей во все карты, EMV использует диверсификацию ключей.

Метод диверсификации позволяет получить уникальный ключ для каждой карты, используя следующие алгоритмы:

• Главные ключи эмитента
• Данные, специфичные для карты, такие как номер карты (PAN) и порядковый номер.

Это гарантирует, что взлом одной карты не повлияет на другие.

Вывод уникального ключа карты​

Уникальные ключи для карт вычисляются математически внутри аппаратных модулей безопасности (HSM).

Процесс вывода:

• Использует стандартизированные алгоритмы
• Дает детерминированные, но уникальные результаты.
• Воспроизводится системами эмитента

Затем полученные ключи подготавливаются для безопасного внедрения в чип.

Транспортные ключи и обложки для ключей​

Перед установкой ключей их необходимо защитить во время транспортировки.

Это достигается за счет:

• Упаковка ключей под транспортные ключи
• Шифрование с использованием защищенных блоков ключей.
• механизмы защиты целостности

Зашифрованные ключи могут передаваться по сетям и системам хранения данных без риска утечки информации.

Ключи безопасного обмена сообщениями​

Защищенные ключи обмена сообщениями обеспечивают безопасность связи между системой персонализации и чипом.

Они гарантируют:

• Конфиденциальность команд APDU
• Целостность записи данных
• Аутентификация отправителя

Эти ключи имеют решающее значение уже на этапе внедрения ключа.

Вступление в область персонализированной безопасности​

Перед выполнением любой важной операции чип должен войти в привилегированный домен безопасности.

Это включает в себя:

• Взаимная аутентификация
• Установление ключевых параметров сессии
• Авторизация классов командования

Без успешной аутентификации чип отклоняет все защищенные команды.

Внедрение симметричных ключей в микросхему.​

Симметричные ключи внедряются с помощью зашифрованных команд APDU.

Во время инъекции:

• Ключи расшифровываются внутри защищенной оболочки чипа.
• Присваиваются атрибуты использования.
• Права на экспорт отключены.

После сохранения ключи невозможно считать.

Назначение ключевых атрибутов использования​

Каждый ключ, хранящийся на чипе, содержит метаданные, определяющие способ его использования.

Атрибуты указывают:

• Разрешенные криптографические операции
• Контексты транзакций
• Поддерживает ли ключ вывод данных?

Неправильно настроенные атрибуты могут сделать карту непригодной для использования.

Запирание зон хранения ключей​

После того, как все необходимые ключи будут вставлены, зоны хранения ключей запираются.

Блокировка предотвращает:

• Перезапись ключей
• атаки понижения уровня
• Несанкционированные обновления

Блокировки применяются как на уровне операционной системы, так и на уровне оборудования.

Генерация асимметричных ключевых пар ICC​

Для карт, поддерживающих автономную аутентификацию, генерируются асимметричные пары ключей.

Генерация ключей часто происходит:

• Внутри самого чипа
• Использование встроенных генераторов случайных чисел

Приватные ключи никогда не покидают чип.

Создание сертификатов открытого ключа ICC​

Открытый ключ карты должен быть заверен эмитентом.

Этот процесс включает в себя:

• Экспорт открытого ключа
• Подписание в рамках HSM эмитента
• Создание сертификата открытого ключа ICC

Сертификат связывает ключ с идентификационными данными карты.

Хранение сертификатов на чипе​

Сертификаты записываются в защищенные файлы на чипе.

Эти файлы:

• Они считываются терминалами.
• После блокировки изменить невозможно.
• Проверяются в ходе транзакций.

Сертификаты позволяют проводить проверку доверия в автономном режиме.

Методы аутентификации данных в автономном режиме и их криптографическая основа​

EMV определяет несколько механизмов аутентификации данных в автономном режиме, которые напрямую зависят от ключей и сертификатов, созданных в процессе персонализации.

К основным методам относятся:

• Статическая аутентификация данных (SDA)
• Динамическая аутентификация данных (DDA)
• Комбинированный DDA с прикладной криптограммой (CDA)

Каждый метод представляет собой различный баланс между уровнем безопасности, вычислительной сложностью и обратной совместимостью.

Статическая аутентификация данных и ее ограничения​

SDA использует статические данные приложений, подписанные цифровой подписью.

В процессе персонализации:

• Статические элементы данных собираются
• Генерируется хеш этих данных.
• Хэш подписывается с использованием закрытого ключа эмитента.

Полученная подпись сохраняется на чипе. Терминалы проверяют подпись, используя открытые ключи эмитента. Поскольку подписанные данные никогда не изменяются, SDA уязвима для атак клонирования и считается устаревшей в современных системах.

Динамический рабочий процесс аутентификации данных​

DDA повышает безопасность за счет внедрения динамических криптографических задач.

В ходе сделки DDA:

• Терминал отправляет непредсказуемое число.
• Карта подписывает это значение, используя свой закрытый ключ.
• Терминал проверяет подпись, используя сертификат открытого ключа ICC.

Это доказывает наличие закрытого ключа и предотвращает простое клонирование.

Комбинированный DDA с прикладной криптограммой​

CDA интегрирует динамическую аутентификацию непосредственно в процесс генерации криптограмм транзакций.

В этой модели:

• Динамические данные подписи объединяются со значениями, специфичными для конкретной транзакции.
• Аутентификация и авторизация криптографически связаны.
• Атаки с использованием эстафеты и атаки «человек посередине» стали значительно сложнее.

CDA требует больше вычислительных ресурсов, но обеспечивает самую надежную защиту в автономном режиме.

Проверка цепочки сертификатов во время транзакций​

Терминалы подтверждают подлинность карты, проверяя цепочку сертификатов.

Обычно в цепочку входят:

• Сертификат открытого ключа ICC
• Сертификат открытого ключа эмитента
• корневой ключ схемы платежей

Каждый этап проверки зависит от корректности данных сертификата, записанных в процессе персонализации.

Применение криптографических ключей и их использование​

Криптограммы приложений играют центральную роль в онлайн-авторизации EMV.

Ключи, используемые для генерации криптограммы:

• Симметричные и уникальные для каждой карты.
• Они получены из главных ключей эмитента.
• Никогда не покидайте чип или аппаратные модули безопасности (HSM) эмитента.

Эти ключи позволяют эмитентам проверять, что данные транзакции получены с подлинной карты.

Надежные счетчики и механизмы защиты от повторного воспроизведения​

В чипах EMV поддерживаются внутренние счетчики, которые напрямую взаимодействуют с криптографической логикой.

К ним относятся:

• Счетчик транзакций приложений (ATC)
• Офлайн-счетчики для управления рисками

В криптограммы включены счетчики, предотвращающие повторное воспроизведение старых данных транзакций.

Взаимодействие между ключами и логикой управления рисками.​

Криптографические ключи не работают изолированно.

Они взаимодействуют с:

• правила управления рисками по картам
• Коды действий терминала
• Логика принятия решений эмитентом

Персонализация обеспечивает согласованность этих элементов во избежание противоречивых результатов транзакций.

Безопасный обмен сообщениями на этапах после персонализации​

Хотя защищенный обмен сообщениями имеет решающее значение во время внедрения ключа, он также играет роль и после его выпуска.

Защищенный обмен сообщениями может использоваться для:

• Обновления ПИН-кода
• Блокировка приложения
• Обновление параметров

Ключи, позволяющие выполнять эти операции, записываются в процессе первоначальной персонализации.

Защита от атак по побочным каналам​

EMV-чипы реализуют многоуровневую защиту от анализа побочных каналов.

К ним относятся:

• Криптографические операции с постоянным временем выполнения
• Рандомизированные пути выполнения
• Генерация шума

Ключевой материал, записанный в микросхему, защищен как логическими, так и физическими средствами защиты.

Сопротивление внедрению неисправностей​

Кардеры могут попытаться манипулировать поведением микросхемы, используя сбои в напряжении или тактовой частоте.

Микросхемы обнаруживают аномалии и реагируют следующим образом:

• Сброс внутреннего состояния
• Блокировка конфиденциальных операций
• Обнуление взрывоопасных секретов

Эти меры защиты обеспечивают сохранность ключей на протяжении всего срока службы карты.

Ключевые состояния жизненного цикла микросхемы​

Ключи, хранящиеся на чипе, переходят через определенные состояния жизненного цикла.

В число штатов входят:

• Загружено
• Активировано
• Приостановленный
• Ушедший на пенсию

Переходы между состояниями контролируются защищенными командами и политиками эмитента.

Мониторинг использования ключей после их выдачи.​

Хотя ключи невозможно извлечь, их использование косвенно отслеживается.

Эмитенты анализируют:

• Достоверность криптограммы
• Прогресс контратаки
• Модели транзакций

Аномалии могут указывать на компрометацию или неисправность карты.

Сценарии экстренного аннулирования ключей​

В редких случаях эмитентам может потребоваться отреагировать на подозрение в компрометации ключей.

Стратегии смягчения последствий включают в себя:

• Блокировка приложения
• Принудительное проведение транзакций исключительно в режиме онлайн.
• Ускоренная замена карты

Эти ответы основаны на параметрах жизненного цикла, определенных в процессе персонализации.

Специфические криптографические вариации схемы​

Хотя EMVCo определяет общую структуру, схемы вносят в нее вариации.

Возможные различия включают:

• Ключевые методы вывода
• Форматы сертификатов
• Поддерживаемые алгоритмы

Системы персонализации должны реализовывать логику, специфичную для каждой схемы, без ослабления безопасности.

Миграция с RSA на ECC​

Постепенный переход от RSA к ECC влияет на обработку ключей и их сертификацию.

ECC предлагает:

• Укороченная длина клавиш
• Более быстрые вычисления
• Повышенная устойчивость к определенным атакам

В современных чипах и системах персонализации все чаще поддерживается одновременная поддержка обоих алгоритмов.

Гибкость алгоритмов и обеспечение устойчивости к будущим изменениям​

Современные разработки EMV делают акцент на гибкости алгоритмов.

Это позволяет:

• Введение новых криптографических примитивов
• Плавное прекращение поддержки слабых алгоритмов
• Увеличенный срок службы карт

Гибкость обеспечивается за счет адаптивных структур ключей и сертификатов, определяемых в процессе персонализации.

Синхронизация между криптографией чипа и эмитента​

Для корректной работы необходима идеальная синхронизация.

Системы эмитентов должны:

• Используйте идентичную логику вывода.
• Поддерживайте единообразие сертификатов.
• Точное отслеживание ключевых версий

Любое несоответствие приводит к сбою транзакции.

Долгосрочная конфиденциальность хранимых секретов​

Ожидается, что карты EMV будут защищать секреты в течение многих лет.

Долгосрочная конфиденциальность основана на:

• Надежная генерация начальных ключей
• Надежное аппаратное обеспечение чипа
• Консервативные криптографические предположения

Качество внедрения ключа и сертификата определяет уровень безопасности на протяжении всего срока службы карты.

Объекты данных EMV, связанные с ключами и сертификатами.​

Криптографический материал на карте EMV представлен в виде структурированных объектов данных, определенных спецификациями EMV.

К объектам, связанным с ключами и сертификатами, относятся:

• Индекс открытых ключей центра сертификации
• Сертификат открытого ключа эмитента
• Сертификат открытого ключа ICC
• Подписанные статические данные приложения

Каждый объект подчиняется строгим правилам кодирования для обеспечения совместимости между терминалами.

Ограничения на кодирование и длину сертификатов​

Сертификаты EMV не являются стандартными структурами X.509.

Вместо этого, это компактные, определяемые схемой форматы, оптимизированные для ограниченной памяти микросхемы и производительности терминала. Такие поля, как длина модуля, кодирование экспоненты и заполнение, заданы жестко.

Неправильное кодирование приводит к немедленным сбоям транзакций на уровне терминала.

Хэш-алгоритмы в сертификации EMV​

Хэш-функции играют центральную роль в создании и проверке сертификатов.

К числу часто используемых хешей относятся:

• SHA-1 (совместимость с устаревшими алгоритмами)
• SHA-256 (для современных версий)

Выбранный алгоритм хеширования должен стабильно поддерживаться картой, терминалом и бэкэндом эмитента.

Создание объектов статической аутентификации данных​

В случае карт с поддержкой SDA статические данные приложения собираются в процессе персонализации.

Это включает в себя:

• Выбранные записи приложений
• Критические EMV-метки

Генерируется и подписывается хеш этих данных, в результате чего на карте сохраняется объект Signed Static Application Data.

Динамические элементы данных аутентификации​

DDA и CDA основаны на динамических данных аутентификации.

Микросхема создает эти элементы в режиме реального времени, используя следующие методы:

• Терминал выдает непредсказуемые числа
• Внутренние счетчики
• Значения контекста транзакции

В процессе персонализации обязательна корректная инициализация вспомогательных ключей.

Индексирование и идентификация ключей на микросхеме​

Ключи, хранящиеся на чипе, идентифицируются с помощью индексов, а не явных идентификаторов.

Ключевые индексы:

• Сопоставление логических функций с физическим хранилищем ключей.
• На них ссылаются команды EMV.
• Должно соответствовать ожиданиям эмитента.

Несоответствие индексов приводит к ошибкам криптографической проверки.

Взаимодействие между сертификатами и выбором приложения​

Проверка подлинности сертификата связана с выбором приложения.

При выборе приложения:

• Терминал получает объекты, связанные с сертификатами.
• Логика проверки определяет, разрешена ли аутентификация в автономном режиме.

Неправильная персонализация может привести к тому, что терминалы полностью пропустят аутентификацию.

Обработка ошибок офлайн-аутентификации​

Если аутентификация в автономном режиме не удалась, применяются предопределенные правила.

Эти правила могут:

• Принудительная онлайн-авторизация
• Отклонить транзакцию
• Запустить резервное поведение

Поведение контролируется данными, записываемыми в процессе персонализации.

Использование защищенных элементов в мобильном EMV​

В мобильных реализациях EMV используются одни и те же криптографические концепции.

Ключи и сертификаты записываются в:

• Встроенные защищенные элементы
• Защищенные среды на основе eSIM

Принципы инъекции остаются неизменными, хотя механизмы переноса различаются.

Персонализация токенизированных учетных данных​

При использовании токенизации криптографический материал представляет собой токен, а не реальный номер PAN.

Поддержка персонализации:

• Параметры управления доменом
• Управление жизненным циклом токенов
• Криптографическая связь между токеном и устройством

Это расширяет сферу действия безопасности EMV на цифровые экосистемы.

Синхронизация сертификатов между системами​

Системы эмитентов, системы персонализации и терминалы должны обмениваться согласованными данными сертификатов.

Сбои синхронизации могут привести к следующим последствиям:

• Отклоненные карты
• Ошибки аутентификации в автономном режиме
• Увеличение количества онлайн-транзакций

Контроль версий и дисциплина распространения имеют решающее значение.

Механизмы аннулирования и внесения в черный список​

EMV предоставляет ограниченные механизмы для отзыва лицензии.

Стратегии отзыва включают в себя:

• Списки аннулированных сертификатов на терминальном уровне
• принятие решений со стороны эмитента
• Принудительная онлайн-обработка

Персонализированные данные определяют, как карты реагируют на сценарии аннулирования.

Поверхность атаки во время персонализации​

Этап персонализации является основной целью атаки.

К числу угроз относятся:

• Внутренние атаки
• Вредоносная модификация скрипта
• Компрометированные транспортные ключи

Меры по снижению рисков основаны на многоуровневом контроле и возможности проведения аудита.

Разделение обязанностей при обращении с ключами​

Оперативная безопасность обеспечивает строгое разделение обязанностей.

Ни один оператор не может:

• Сгенерировать ключи
• Одобрить инъекцию
• Доступ к журналам аудита

Это снижает риск преднамеренного взлома.

Непрерывный мониторинг криптографических операций​

Современные системы обеспечивают мониторинг в режиме реального времени.

Системы наблюдают:

• модели использования HSM
• Показатели успешности инъекций
• Аномалии ошибок

Неожиданные закономерности приводят к расследованиям.

Долгосрочное криптографическое обслуживание​

Персонализация EMV-технологии рассчитана на длительный срок службы устройства.

В числе вопросов, касающихся технического обслуживания, следует отметить:

• Прекращение поддержки алгоритмов
• Обновление серверной системы
• Совместимость с устаревшими терминалами

Современные ключи должны оставаться в безопасности в течение многих лет.

Контроль передачи знаний и документации​

Криптографические процедуры документируются с предельной точностью.

В документацию входят:

• Основные формулы вывода
• правила составления сертификатов
• Процедуры реагирования на чрезвычайные ситуации

Доступ к документации строго контролируется.