"Функционально-технические требования к аппаратному модулю безопасности (HSM-модуль)" (утв. Банком России 28.02.2020 N ФТ-56-3/35)

3.4. Требования к функциям с использованием российских криптографических алгоритмов

3.4.1. Реализация протокола SCP-F2 защищенного обмена сообщениями в процессе эмиссии платежных карт в соответствии с рекомендацией по стандартизации Р 1323565.1.013-2017.

3.4.1.1. Выработка с использованием HSM сессионных ключей для защиты сообщений SCP-F2: ключа для вычисления имитовставки запроса, ключа для вычисления имитовставки ответа, ключа для формирования/проверки криптограммы аутентификации, ключа для зашифрования/расшифрования полей сообщения, ключа для зашифрования/расшифрования критичных данных.

3.4.1.2. Генерация с использованием HSM криптограммы аутентификации хоста.

3.4.1.3. Проверка с использованием HSM криптограммы аутентификации карты.

3.4.1.4. Формирование с использованием HSM защищенных сообщений хоста, зашифрование критичных данных (опционально), зашифрование полей сообщения (опционально), вычисление имитовставки запроса.

3.4.1.5. Верификация с использованием HSM защищенных сообщений карты: вычисление имитовставки ответа карты и сравнение с принятой.

3.4.2. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.016-2018 "Использование режимов алгоритма блочного шифрования, алгоритмов электронной подписи и функции хэширования в процедуре офлайновой аутентификации платежного приложения".

3.4.2.1. Генерация и проверка IDN (ICC Dynamic Number). HSM вычисляет IDN как функцию номера текущей транзакции АТС (Application Transaction Counter) с использованием мастер-ключа MKIDN в соответствии с рекомендацией по стандартизации Р 1323565.1.016-2018 (п. 4.1) и сравнивает со значением во входных данных. Результат сравнения возвращается хост-системе.

3.4.3. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.015-2018 "Задание параметров алгоритмов электронной подписи и функции хэширования в профиле EMV-сертификатов открытых ключей платежных систем".

3.4.3.1. Генерация ключевой пары ГОСТ Р 34.10-2012 (закрытый и открытый ключ) эмитента и соответствующего самоподписанного сертификата в соответствии с рекомендацией по стандартизации Р 1323565.1.015-2018.

3.4.3.2. Проверка EMV-сертификата ключа эмитента ГОСТ Р 34.10-2012, подписанного корневым ключом УЦ, в соответствии с рекомендацией по стандартизации Р 1323565.1.015-2018.

3.4.3.3. Импорт (с проверкой) EMV-сертификата корневого ключа УЦ в соответствии с рекомендацией по стандартизации Р 1323565.1.015-2018.

3.4.4. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.010-2017 "Использование функции диверсификации для формирования производных ключей платежного приложения".

3.4.4.1. Вывод мастер-ключей карты MKAC, MKSMC, MKSMI, MKIDN. Ключи MKAC, MKSMC, MKSMI, MKIDN выводятся из соответствующих мастер-ключей эмитента IMKAC, IMKSMC, IMKSMI, IMKIDN в соответствии с рекомендацией по стандартизации Р 1323565.1.010-2017 (п. 5.1). HSM производит в соответствии с заданными алгоритмами генерацию ключей MKAC, MKSMC, MKSMI, MKIDN и вывод их в хост-систему в защищенном (зашифрованном) виде с использованием транспортного ключа (Key Encryption Key - KEK) для передачи в систему персонализации.

3.4.5. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.008-2017 "Использование режимов алгоритма блочного шифрования в защищенном обмене сообщениями между эмитентом и платежным приложением".

3.4.5.1. Генерация сообщений скрипт-процессинга (Secure Message) с обеспечением целостности и конфиденциальности в соответствии с рекомендацией по стандартизации 1323565.1.008-2017 (п. 5.1 и п. 5.2). HSM с использованием сессионных ключей карты SKSMC и SKSMI выполняет зашифрование конфиденциальных данных (опционально) и расчет имитовставки за сообщение и возвращает зашифрованные данные и имитовставку хосту. Сессионные ключи SKSMC и SKSMI выводятся из мастер-ключей карты MKSMC и MKSMI соответственно согласно рекомендации Р 1323565.1.010-2017 (п. 5.2).

3.4.5.2. Расшифрование счетчиков карты. HSM производит расшифрование счетчиков, содержащихся в объекте Issuer Application Data, подготовленном приложением для эмитента при онлайновой аутентификации, в соответствии с рекомендацией по стандартизации Р 1323565.1.008-2017 (п. 5.3).

3.4.6. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.009-2017 "Использование режимов алгоритма блочного шифрования при формировании прикладных криптограмм в платежных системах".

3.4.6.1. Проверка криптограммы ARQC и/или генерация ARPC (Р 1323565.1.009-2017).

- Криптограмма приложения (ARQC, TC, AAC) вычисляется с использованием алгоритма MAC (ГОСТ 28147-89 <2> в режиме выработки имитовставки с узлом замены id-tc26-gost-28147-param-Z) в соответствии с рекомендацией Р 1323565.1.009-2017, п. 5.1. MAC формируется с использованием сессионного ключа SKAC. Сессионный ключ SKAC формируется из мастер-ключа карты MKAC в соответствии с рекомендацией Р 1323565.1.010-2017. Ключ MKAC выводится из мастер-ключа эмитента IMKAC в соответствии с рекомендацией Р 1323565.1.010-2017.

--------------------------------

<2> См. примечание к п. 3.3.4.

- Криптограмма ARPC вычисляется в случае положительной проверки прикладной криптограммы Authorization Request Cryptogram (ARQC), сформированной платежным приложением карты. Криптограмма ARPC вычисляется с помощью алгоритма вычисления величины MAC с использованием сессионного ключа SKAC, значения ARQC, 4-байтного элемента данных Card Status Update (CSU) и элемента Proprietary Authentication Data нулевой длины в соответствии с Р 1323565.1.009-2017, п. 5.2.

3.4.7. Реализация функций в соответствии с рекомендацией по стандартизации Р 1323565.1.007-2017 "Использование режимов алгоритма блочного шифрования при формировании проверочного параметра платежной карты и проверочного значения PIN".

3.4.7.1. Генерация CVP/ППК. CVP/ППК (Card Verification Parameter/Проверочный Параметр Карты) - трехзначный код проверки подлинности карты. CVP/iCVP/CVP2 формируется в соответствии с рекомендацией Р 1323565.1.007-2017, п. 5.1. HSM производит генерацию CVP/ППК и выводит сформированное значение в хост-систему.

3.4.7.2. Проверка криптовеличины CVP (CVC/CVV). HSM производит проверку CVP/iCVP/CVP2 (CVC1/CVC2/Chip CVC) и передает результат проверки хост-системе. В процессе проверки вычисляется значение CVP/iCVP/CVP2 в соответствии с рекомендацией Р 1323565.1.007-2017, п. 5.1, которое сравнивается с полученным в ходе транзакции по магнитной полосе, транзакции чиповой карты в моде магнитной полосы или транзакции электронной коммерции значением CVP/iCVP/CVP2 карты. Если вычисленное и присутствующее на карте значения CVP/iCVP/CVP2 совпадают, то проверка выполнена успешно.

3.4.7.3. Генерация криптовеличины PVV в соответствии с рекомендацией Р 1323565.1.007-2017, п. 5.2. HSM производит генерацию PVV для значения PIN и выводит сформированное значение в хост-систему.

3.4.7.4. Проверка криптовеличины PVV. HSM производит проверку PIN по зашифрованному PIN-блоку и PVV, результат проверки передает в хост-систему. В процессе проверки по расшифрованному PIN-блоку вычисляется значение PVV в соответствии с рекомендацией Р 1323565.1.007-2017, п. 5.2, которое сравнивается с полученным в аутентификационном сообщении PVV карты. Если вычисленное и присутствующее на карте значения PVV совпадают, то PIN считается верным, если нет, то неверным.

3.4.8. Реализация алгоритма ECDSA в соответствии с NIST FIPS 186-4 и "ANSI X9.62: Public Key Cryptography for the Financial Services ECDSA".

3.4.8.1. Генерация закрытых ключей ECDSA для кривых P-192, P-224, P-256 P-384 и P-521 с использованием встроенного ГСЧ HSM.

3.3.5. Представление ключей в формате key block-gost