Перейдет ли нспк и карта «мир» на российскую криптографию?

Переход на отечественные ответы — не спонтанная реакция на внешние вызовы, а давешний проект, взявший из-за известных событий дополнительный импульс. Алексей Лукацкий говорит об истории вопроса, нынешнем положении дел и ближайшем будущем.

Весна 2014-го года ознаменовалась не только победоносным возвратом Крыма в лоно России, но и очередным большим отключением последовательности отечественных банков (и их клиентов) от интернациональных платежных совокупностей Visa и Master Card.

В 2010-2011-м годах мне довелось принимать участие в ряде непубличных мероприятий, призванных урегулировать вопрос создания Национальной совокупности платежных карт (НСПК)

Ясно, что с позиций международного права присоединение Крыма смотрелось не весьма безупречно и ясно, что США, вычисляющие себя сверхдержавой, важной за благоденствие и благополучие на Земле, решили наказать так Россию. Но гражданам РФ, имеющим платежные карты пострадавших банков, было не до Вестфальской системы и высоких материй интернациональных взаимоотношений. Это в очередной раз привело власти России к мысли о том, что с господством интернациональных платежных совокупностей нужно что-то делать.

В «очередной раз» — по причине того, что это уже не первая попытка подвинуть Visa и Master Card с пьедестала. В 2010-2011-м годах мне довелось принимать участие в ряде непубличных мероприятий, призванных урегулировать вопрос создания Национальной совокупности платежных карт (НСПК). Был создан закон, посвященный полностью этому вопросу, но его будущее была незавидной.

Лобби интернациональных денежных корпораций стало причиной тому, что тему НСПК медлено развернули в русло Национальной платежной системы (НПС), которую должна была дополнить Универсальная Электронная Карта (УЭК). И в первых редакциях законопроекта о НПС было как раз такое разделение. Позже тему УЭК мягко спустили на тормозах и выбросили из законопроекта, что стал всецело посвящен тематике НПС в целом, без фокуса на карточный бизнес.

И в таком виде в 2011-м году закон 161-ФЗ и получил юридическую силу. Все бы ничего, но 2014-й год внес российские власти и свои коррективы снова задумались о теме НСПК. С этого момента события стали развиваться быстро — за каких-то полгода совокупность запустили в тестовую эксплуатацию, и вдобавок через пара месяцев и в боевом режиме.

Но… за кулисами остался вопрос с криптографией, на базе которой была выстроена и запущенная НСПК, и оперативно созданная и созданная отечественная карта «Мир».

А ну как супостаты решать закрутить гайки окончательно и прекратят поставлять в Россию шифровальное оборудование, применяемое в НСПК, и к которому относились не только так именуемые HSM (Hardware Security Module) в платёжных терминалах и банкоматах, но и чипы для платежных карт, трудящихся по стандарту EMV. И в том и другом случае использовалась интернациональные (просматривай американские) криптографические методы. А что если в них была заложена закладка, которая разрешала в один красивый момент перехватить все денежные потоки либо остановить их?

Что за абсурд,— сообщите вы,— никто не будет этого делать, возможность этого мала. Но на то и необходимы разведслужбы в стране, дабы разглядывать кроме того самые редкие события как в полной мере настоящие. Федслужба безопасности, а именно она у нас несёт ответственность за все нюансы шифрования (в госорганах, для персданных, в тахографах, в контрольно-кассовой технике, в электронной подписи и т.п.), «разбросала карты Таро» и создала модель вероятных угроз для Национальной совокупности платежных карт с позиций информационной безопасности.

Перейдет ли нспк и карта «мир» на российскую криптографию?

 

Нужно принять как данность, что «дорожная карта» по переходу на отечественную криптографию уже утверждена и планомерно реализуется

Любой предприниматель, могущий оценивать риски, спросит, прочтя данный список,— «А какова возможность каждой из названных угроз? И были ли прецеденты их реализации? И если они были, то каков был ущерб в этих обстоятельствах?» Это непраздные вопросы, каковые я довольно часто слышу от банкиров, каковые определят о будущих замыслах ФСБ и Банка России. Но тут увы, стандартные законы логики и здравого смысла, говорящие, что эти угрозы выдуманы , не трудятся.

Интересы нацбезопасности и страны редко стыкуются с заинтересованностями рядовых граждан и бизнеса. Исходя из этого нужно принять как данность, что «дорожная карта» по переходу на отечественную криптографию уже утверждена и планомерно реализуется.

Для борьбы с названными угрозами и реализации «дорожной карты» нужно решить три основных задачи:

  1. Внедрить отечественные HSM во все элементы НСПК – банкоматы, платежные терминалы, процессинг и т.п.
  2. Внедрить отечественные криптоалгоритмы на карте «Мир».
  3. Разработка нормативной базы – отечественных аналогов стандарта PCI DSS, правил встраивания отечественной криптографии, оценки соответствия исполнения правил (аудита) и т.д.

Легко выглядящие на бумаге, в действительности за этими тремя пунктами прячется довольно много работы — создание отечественных HSM, их сертификация как в ФСБ, так и в международных платежных совокупностях, управление криптографическими ключами, создание центров управления ключами и сертификатов открытых ключей, платежные приложения. И само собой разумеется крайне важно все это сопроводить соответствующим PR, что бы разъяснял любой из пунктов для будущих пользователей отечественной криптографии в НСПК и карте «Мир».

А как быть с картами Visa и Master Card? Будут они трудиться в НСПК, если они не поддерживают русских методов шифрования?

А вопросов большое количество. Самый очевидный — «за чей счет банкет?» Действительно, ответ не вынудил себя продолжительно ожидать. Никакого национального финансирования для замены зарубежного шифрования на русского не будет.

Действительно, и потребовать, дабы это случилось на следующий день также никто несобирается. На одном из мероприятий Банк России озвучил, что мысль пребывает в постепенном переходе — по мере окончания срока амортизации у платёжных терминалов и банкоматов. Исходя из этого процесс данный не стремителен и растянется на 7-10 лет как минимум.

Второй очевидный вопрос — «А как быть с картами Visa и Master Card? Будут они трудиться в НСПК, если они не поддерживают русских методов шифрования?» Быть может, в душе отечественные регуляторы и были бы рады «засунуть пистон» супостатам, запретив так хождение карт МПС в Российской Федерации, но нужно так как и о гражданах думать, у которых на руках пара миллионов этих карт.

Исходя из этого принято решение о реализации во всех элементах платежной системы двух совокупностей криптографии — с выбором соответствующей в зависимости от платежного приложения на применяемой карте. Уже созданный и сертифицированный HSM поддерживает именно два комплекта криптографических методов. Второй HSM, для конкуренции выбора и возможности альтернативы, находится уже на финальном этапе.

Потому, что в возможности карта «Мир» обязана выйти за пределы России и ею возможно будет (в случае если снова не вмешается геополитика) расплачиваться на протяжении отдыха либо командировок за рубежом, то на ней должна быть реализована и совокупность команд с западной криптографией.

Ожидать что Thales реализует отечественные ГОСТы по шифрованию не приходится

Из этого появляется вопрос — «Что делать с действующими HSM, поддерживающими лишь западную криптографию?» Выбрасывать? Заставлять производителя поддержать рекомендованные ФСБ методы? Применять в паре с отечественным HSM? Ответа до тех пор пока нет. В совершенстве, само собой разумеется, обязан будет употребляться лишь один HSM. Хотя бы с позиций денежных затрат. Ожидать что Thales, в частности эта компания есть фаворитом по поставкам HSM в Россию, реализует отечественные ГОСТы по шифрованию не приходится.

Исходя из этого или два HSM, или лишь отечественный, что по цене сопоставим с продукцией Thales. Но в этом случае он обязан пройти сертификацию в двух совокупностях сертификации:

  • для применения в НПС — в соответствии с требованиями ФСБ и ЦБ в части СКЗИ
  • для применения в МПС — в соответствии с требованиями PCI DSS, PCI PA-DSS (в части платёжных приложений), требованиям FIPS 140-2 Level 3, PCI HSM v1.0 в части HSM.

С сертификацией по требованиям ФСБ я неприятностей не предвижу, а вот с оценкой по требованиям NIST вероятны нюансы. Все-таки геополитическая обстановка в мире до тех пор пока далека от совершенной и США точат зуб на Россию, мешая ей стать на один уровень с Америкой. Предвижу, что палки в колеса при интернациональной сертификации отечественных HSM ставиться смогут.

При помощи Банка России уже переведены на русский язык и запущены в работу стандарты CPS (Card Personalization Specification), CPA (Card Payment Application Specification), 3-D Secure и ряд других

Для решения вопроса с картой «Мир» в 5-м Подкомитете Технического Комитета ТК26 «Криптографическая защита информации» при Ростехрегулировании создана коммисия, складывающаяся из отечественных разработчиков средств шифрования — лицензиатов ФСБ, каковые должны приспособить стандарт EMV (включая CPA, CPS и др.) и существующие в Российской Федерации криптоалгоритмы для работы в НСПК. При помощи Банка России уже переведены на русский язык и запущены в работу стандарты CPS (Card Personalization Specification), CPA (Card Payment Application Specification), 3-D Secure и ряд других. По окончании окончания разработки появится задача сертификации чипа в соответствии с требованиями EMVCo, что также не так скоро, как возможно предположить.

Четвертый вопрос, ответа на что до тех пор пока, как я знаю, нет касается PoS-терминалов. В случае если в банкомат еще возможно внедрить отечественный HSM, то в менее большой терминал это уже не так легко. До тех пор пока на русском рынке нет продуктов, каковые возможно было применять для данной задачи.

Как раз исходя из этого так принципиально важно, дабы карта «Мир» поддерживала две криптографических совокупности, без этого вся выдумка обречена на провал — торговые фирмы не смогут, как их не обязывай, принимать отечественную платежную карту к оплате.

Исходя из этого нас ожидает еще занимательный квест на тему, кто сдастся первым — ФСБ с ее достаточно твёрдыми правилами игры, либо свободолюбивые разработчики

Открытым остается и вопрос платежных приложений – социальных, транспортных и иных, каковые также планируется подключить к НСПК. Следовательно, следуя неспециализированному курсу, они также должны начать поддерживать отечественную криптографию. Но в случае если разработчиков HSM возможно пересчитать по пальцам одной руки (а правильнее хватит всего двух пальцев), а разработчиков чипа для карты «Мир» также не будут «толпиться в приемной», то с разработчиками платежных приложений обстановка не столь однозначная.

Не все из них привычны с требованиями ФСБ к лицензиатам, имеющим право на встраивание и разработку шифровальных средств. И не каждый готов эти требования делать и выполнить. Исходя из этого нас ожидает еще увлекательный квест на тему, кто сдастся первым — ФСБ с ее достаточно твёрдыми правилами игры, либо свободолюбивые разработчики, приверженные модели agile, другими словами «динамично и без претензий по качеству».

Напоследок желал бы заявить, что от задачи создания национальной совокупности платежных карт с применением отечественных НSМ, снабжающих устойчивое функционирование и технологическую независимость НСПК как в независимом режиме, так и вместе с МПС, уже никто не откажется. Но мы находимся на данный момент в начале пути и до тех пор пока рано сказать, в то время, когда будут закончены все начатые работы, разрешающие элементам НСПК прозрачно для потребителя применять сходу две совокупности криптографии — доверенную русского и недоверенную, но массовую, зарубежную. Но то, что это случится, возможно не сомневаться.

Российская национальная система платежных карт Мир ! УЖЕ ДЕЙСТВУЕТ !!!

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: