ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Р1323565.

1.008—

2017

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Использование режимов алгоритма блочного шифрования в защищенном обмене сообщениями между эмитентом и платежным приложением

Издание официальное

Москва

Стандартинформ

2018

Предисловие

1    РАЗРАБОТАНЫ Обществом с ограниченной ответственностью «Системы практической безопасности» (ООО «СПБ») совместно с Открытым акционерным обществом «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС») и Обществом с ограниченной ответственностью «КРИПТО-ПРО» (ООО «КРИПТО-ПРО»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2017 г. № 2016-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2018

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

P 1323565.1.008—2017

A.2.3 Расшифрование PIN

С использованием приведенных значений SK_SMC и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

А.2.4 Ключ шифрования счетчиков

На основе ключа SK_AC формируется значение ключа SK_Counters SK_Counters ⁼ 1с/с1с864с50а8а95аЬа515962сас/0Ь42\\

13ca/cbb75c3684d1 /04151 са2сЬ75ес/₁₆ А.2.5 Шифрование значения счетчиков Counters = 0002000200020002₁₆

В результате применения алгоритма шифрования счетчиков получится следующее значение шифрограммы: ЕsKcounters (Counters) = 3ecefdcbf1c9d440₁₆ А.2.6 Расшифрование значения счетчиков

С использованием приведенных значений SK_Counters и значения шифрограммы с помощью операции расшифрования воспроизводятся исходные значения счетчиков.

А.З Исходные данные

Для вычисления имитовставки, шифрования конфиденциальных данных (PIN) и шифрования значения счетчиков используются следующие исходные данные:

PIN = 32478390Ю₁₀

Заголовок сообщения: CLAWINSWP1WP2 = 29сЬ34ас₁₆ Значение сообщения MSG: MSG = 8101658е04₁₆

Значения счетчиков:

AC Session Counter = 0003₁₆ SMI Session Key Counter = 0003₁₆ PIN Decipherment Counter = 0003₁₆ Terminal Mutual Authentication = 0003₁₆ Значения ключей:

^sksmi = ctea82274bd029bbe9e4265a/9651de4a\\ c61 b55c3bc4/862/057d3ed549ce15Ь3₁₆ ^sksmc = 3aee3354c808edd7/3bca1 /77186/86b\\

550748cebe0882e072e7294/6a9660e5₁₆ SK_AC= ed7e91da7485ca6324ae0e982d699e1e\\

3b/74d/8a4691c231ab5d378c02/4367₁₆ A.3.1 Имитовставка для сообщения

Используя исходные данные, получают следующее значение имитовставки:

IM= 8114cd64₁₆

А.3.2 Шифрование конфиденциальных данных (PIN)

PIN-block = 2а3247839010////₁₆

В результате применения алгоритма шифрования PIN получится следующее значение шифрограммы: ^esk_Smc (PIN-block) = Zea7/edcc32687d3₁₆

А.3.3 Расшифрование PIN

С использованием приведенных значений SK_SMC и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

А.3.4 Ключ шифрования счетчиков

На основе ключа SK_AC формируется значение ключа SK_Counters SKcounters ⁼ 2ee67d8b3cc/9aadadd03814e7e25439\\

8ad2c3c341ee30354d0c4025eb06aec1₁₆

А.3.5 Шифрование значения счетчиков

Counters = 0003000300030003.| ₆

В результате применения алгоритма шифрования счетчиков получится следующее значение шифрограммы: £sKcounters (Confers) = 7Ь342/35259е9689₁₆

А.3.6 Расшифрование значения счетчиков

С использованием приведенных значений SK_Counters и значения шифрограммы с помощью операции расшифрования воспроизводятся исходные значения счетчиков.

7

УДК 681.3.06:006.354

Ключевые слова: информационная технология, криптографическая защита информации, аутентификация, ключ, защищенный обмен сообщениями, платежная карта, платежное приложение

БЗ 1—2018/93

Редактор Л.С. Зимилова Технический редактор И.Е. Черепкова Корректор Е.Р. Ароян Компьютерная верстка Ю.В. Поповой

Сдано в набор 05.12.2017. Подписано в печать 14.02.2018. Формат 60 * 84¹/₈. Гарнитура Ариал. Уел. печ. л. 1,40. Уч.-изд. л. 1,26. Тираж 19 экз. Зак. 100.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

ИД «Юриспруденция», 115419, Москва, ул. Орджоникидзе, 11. www.jurisizdat.ru y-book@mail.ru

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123001, Москва, Гранатный пер., 4. www.gostinfo.ru info@gostinfo.ru

P 1323565.1.008—2017

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Обозначения ........................................................................ 2

4    Описание алгоритмов.................................................................3

4.1    Обеспечение контроля целостности ЗОС между платежным приложением карты

и эмитентом.....................................................................3

4.2    Защита конфиденциальности ЗОС    между платежным    приложением карты и эмитентом......3

4.3    Шифрование значений счетчиков при передаче    эмитенту................................4

Приложение А (справочное) Контрольные примеры..........................................5

Введение

В настоящих рекомендациях рассмотрены алгоритмы реализации механизмов скрипт-процессинга для обеспечения защищенного обмена сообщениями. Процедура скрипт-процессинга может быть выполнена в любое время после завершения обработки первой команды GENERATE АС.

Разработка настоящих рекомендаций вызвана необходимостью внедрения процедур для осуществления защищенного обмена сообщениями платежного приложения карты с эмитентом.

Примечание — Настоящие рекомендации дополнены приложением А.

IV

П О РЕКОМЕНДАЦИИ

Р 1323565.1.008—2017 СТАНДАРТИЗАЦИИ

---

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Использование режимов алгоритма блочного шифрования в защищенном обмене сообщениями между эмитентом и платежным приложением

Information technology. Cryptographic data security.

Using block encryption algorithm modes in secure messaging between the issuer and the payment application

Дата введения — 2018—06—01

1    Область применения

Описанные в настоящих рекомендациях алгоритмы рекомендуется применять при защищенном обмене сообщениями в платежной системе «МИР».

Защищенный обмен сообщениями платежного приложения карты с эмитентом обеспечивается за счет использования механизмов скрипт-процессинга, а также шифрования оффлайновых счетчиков приложения. Реализация скрипт-процессинга подразумевает шифрование конфиденциальных данных команды (PIN-block), а также обеспечение целостности данных каждой команды. Инструкции скрипт-процессинга предназначены для изменения внутренних данных приложения, поэтому защищенный обмен сообщениями с эмитентом используется в ограниченном наборе APDU-команд.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие документы:

ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования

Р 1323565.1.010—2017 Информационная технология. Криптографическая защита информации. Использование функции диверсификации для формирования производных ключей платежного приложения

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

Издание официальное

P 1323565.1.008—2017

Counters    —блок значений счетчиков, состоящий из значений AC Session Counter, SMI

Session Key Counter, PIN Decipherment Counter, Terminal Mutual Authentication Counter. Длина значения равна 8 байтам;

PIN-block    —данные для вычисления шифрограммы. Длина значения равна 8 байтам.

4 Описание алгоритмов

Возможные значения аргументов функций в представленных алгоритмах ограничиваются допустимостью их использования в качестве входных параметров преобразований.

4.1    Обеспечение контроля целостности ЗОС между платежным приложением карты и эмитентом

4.1.1    Алгоритм формирования значения имитовставки для сообщения скрипт-процессинга

Значение имитовставки вычисляется на ключе SK_SM/ в соответствии с ГОСТ 28147-89 с использование узла замены id-tc26-gost-28147-param-Z:

/М = /М_гост (SK_SMI) [ХЦУ], где

X = (CLA||/A/S||P1||P2||’0x80’||’0x00’||’0x00’||’0x00’)

Длина значения Xравна 8 байтам.

У = (MSG||’0x80’||’0x00’||... Ц’ОхОО’)

Длина значения У равна 264 байтам.

Сообщение MSG вычисляется в соответствии с таблицей 1.

Таблица 1

Тэг 1 Длина 1 Значение 1 Тэг 2 Длина 2 ‘87’, если данные команды зашифрованы ‘81 ’, если данные команды передаются в открытом виде Длина данных команды L Данные (L байт) ‘8Е’ ‘04’

Итоговый формат сообщения скрипт-процессинга после формирования имитовставки представляется в виде MSG\\IM.

4.1.2 Алгоритм проверки значения имитовставки для сообщения скрипт-процессинга

Для проверки значения имитовставки для сообщения необходимо выполнить расчет имитовставки аналогично 5.1.1 и сравнить полученное значение со значением таблицы 2.

Таблица 2

Тэг 1 Длина 1 Значение 1 Тэг 2 Длина 2 Значение 2 ‘87’, если данные команды зашифрованы ‘81’, если данные команды передаются в открытом виде Длина данных команды L Данные (L байт) ‘8Е’ ‘04’ Значение имитовставки

Если значения совпадают, то значение счетчика SMI Session Key Counter уменьшается на 1.

Если значения не совпадают, то приложение должно отклонить команду скрипт-процессинга.

4.2 Защита конфиденциальности ЗОС между платежным приложением карты и эмитентом

4.2.1 Алгоритм шифрования конфиденциальных данных PIN сообщения скрипт-процессинга

Для шифрования конфиденциальных данных PIN формируется PIN-block в следующем виде:

с

N

Р

Р

Р

Р

P/F

P/F

P/F

P/F

P/F

P/F

P/F

P/F

F

F

Значение в каждом столбце имеет длину 4 бита. Значение знаков PIN-block определены в таблице 3.

Таблица 3

Знак в PIN-block Имя Значение С Контрольное поле ‘2’ (‘ООЮ’Ь) N Длина PIN 4-битовый двоичный номер с допустимыми значениями в двоичном представлении от ‘0100’Ь до ‘1100’Ь (от 4 до 12 в десятичном представлении) Р Цифра PIN 4-битовое представление десятичной цифры PIN с допустимыми значениями от ‘0000’b до ‘1001’Ь (от 0 до 9 в десятичном представлении) P/F Цифра PIN/заполнитель Определяется длиной PIN F Заполнитель 4-битовое двоичное число ‘1111 'Ь

Шифрование PIN-block осуществляется на ключе SK_SMC в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z:

ВШcl = Е_гост (SK_SMC) [PIN-block]

4.2.2 Алгоритм расшифрования конфиденциальных данных PIN сообщения скрипт-процессинга

Расшифрование PIN-block осуществляется на ключе SK_SMC в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z:

PIN-block = D_r0CT (SK_SMC) [ВЮскЦ

Формат расшифрованного PIN-block должен соответствовать приведенному в 5.2.1. В противном случае приложение должно отклонить команду.

4.3 Шифрование значений счетчиков при передаче эмитенту

4.3.1    Алгоритм шифрования счетчиков при передаче эмитенту

Блок значений счетчиков шифруется на ключе SK_C0UNTER в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z:

Block2 = EpocT (SK_Counter) [Counters]

Ключ SK_C0UNTER формируется из ключа SK_AC по следующей схеме:

^SKCOUNTER ^{= Н} (^SKAC)’

где Н — это хэш-функция ГОСТ Р 34.11-2012 с длиной выхода, равной 256 битам.

4.3.2    Алгоритм расшифрования счетчиков при передаче эмитенту

Блок значений счетчиков расшифровывается на ключе SK_C0UNTER в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z:

Counters = Efост (^^counter') [Block2]

Ключ SK_C0UNTER формируется из ключа SK_AC по следующей схеме:

^SKCOUNTER ^{= Н} (^SKAC)’

где Н — это хэш-функция ГОСТ Р 34.11-2012 с длиной выхода, равной 256 битам.

4

P 1323565.1.008—2017

Приложение A (справочное)

Контрольные примеры

Приводимые ниже значения параметров PIN, CLA, INS, PI, Р2, а также значения счетчиков AC Session Counter, SMI Session Key Counter, PIN Decipherment Counter, Terminal Mutual Authentication, значение сообщения MSG и значения ключей SK_SMj, SK_SMC, SK_AC рекомендуется использовать только для проверки корректной работы конкретной реализации алгоритмов, описанных в настоящих рекомендациях.

Все числовые значения приведены в десятичной или шестнадцатеричной записи. Нижний индекс в записи числа обозначает основание системы счисления.

В данном приложении двоичные строки из \Л, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации («||») опускается. То есть строка а е V_4rбудет представлена в виде а_г-1 а_г_₂ ... а₀, где а₍- е {0, 1, ..., 9, a, b, с, d, е, f}, / = 0, 1, ..., г - 1. Соответствие между двоичными строками длины 4 и шестнадцатеричными строками длины 1 задается естественным образом (таблица А.1).

Преобразование, ставящее в соответствие двоичной строке длины 4г шестнадцатеричную строку длины г, и соответствующее обратное преобразование для простоты записи опускаются.

Таблица А.1 — Соответствие между двоичными и шестнадцатеричными строками

0000	0
0001	1
0010	2
0011	3
0100	4
0101	5
0110	6
0111	7
1000	8
1001	9
1010	a
1011	b
1100	C
1101	d
1110	e
1111	t

А.1 Исходные данные

Для вычисления имитовставки, шифрования конфиденциальных данных (PIN) и шифрования значения счетчиков используют следующие исходные данные:

PIN = 1234567₁₀

Заголовок сообщения: CM||//VS||P1||P2 = 2Шаа43₁₆ Значение сообщения MSG: MSG= 870445153fbb8e04₁₆ Значения счетчиков:

AC Session Counter = 0001₁₆ SMI Session Key Counter = 0001₁₆ PIN Decipherment Counter = 0001₁₆ Terminal Mutual Authentication = 0001₁₆

5

P 1323565.1.008—2017

Значения ключей:

^sksmi = 4b6a/8/777c5001d6ae570d29b9d1b60\\

43777887c1cc4db64feaa8ba0a226788₁₆ ^sksmc = 6a0cd3673c2ce5e8/32c5c6698829917\\

665ff5b8920750fcec465c2ddc271 cl 4., ₆ SK_AC= 5361ad354b17186e09deb20d37586d46\\ a64/8cddd699238/0210db7d9e6090ed₁₆ Символ «\\» обозначает перенос числа на новую строку.

А.1.1 Имитовставка для сообщения

Используя исходные данные, получают следующее значение имитовставки:

IM= 1f14115e₁₆

А.1.2 Шифрование конфиденциальных данных (PIN)

PIN-block = 271234567/Ш7₁₆

В результате применения алгоритма шифрования PIN получится следующее значение шифрограммы: ^Es_KsMC(^PIN-^block) = 9073ЬЬ4/8/08/916₁₆

А.1.3 Расшифрование PIN

С использованием приведенных значений SK_SMC и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

А.1.4 Ключ шифрования счетчиков

На основе ключа SK_AC формируется значение ключа SK_Counters SK_Counters ⁼ 93a20/29d3e4c445e47358003302b90e\\

223ba98e1b2a55a7c18с086634236е68₁₆

А.1.5 Шифрование значения счетчиков

Counters = 0001000100010001₁₆

В результате применения алгоритма шифрования счетчиков получится следующее значение шифрограммы: ^ESKCounters (Counters) = bdbdfd20657fl3d4₁₆ A.1.6 Расшифрование значения счетчиков

С использованием приведенных значений SK_Counters и значения шифрограммы с помощью операции расшифрования воспроизводятся исходные значения счетчиков.

А.2 Исходные данные

Для вычисления имитовставки, шифрования конфиденциальных данных (PIN) и шифрования значения счетчиков используют следующие исходные данные:

PIN = 1234₁₀

Заголовок сообщения: CLAWINSWP1WP2 = 0001а2ас₁₆ Значение сообщения MSG: MSG = 810545343/45d/8e04₁₆ Значения счетчиков:

AC Session Counter = 0002₁₆ SMI Session Key Counter = 0002₁₆ PIN Decipherment Counter = 0002₁₆ Terminal Mutual Authentication = 0002₁₆ Значения ключей:

^sksmi ^{= 88m} 63b91e53ccd1d42e5aed806b2/2\\ aa022e3b558051642ead998c5e1at330₁₆ ^sksmc ⁼ c7d8fc5f9cb04/9b86t30/0/6e40188a\\

/9513abeO/fd684261 d89424/6c4680a₁₆ SK_AC = 04/9b88d/553d190a2aeb2/4d9/2b6a2\\

/4се8еас89еаЬ879а807866с0ес0е6/8₁₆ A.2.1 Имитовставка для сообщения

Используя исходные данные, получают следующее значение имитовставки:

IM = 48b0d8a6₁₆

А.2.2 Шифрование конфиденциальных данных (PIN)

PIN-block = 241234/ШВД7₁₆

В результате применения алгоритма шифрования PIN получится следующее значение шифрограммы: ^esk_Smc (PIN-block) = Md781574ded10b7₁₆

6