ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Р 1323565.

1.011—

2017

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Использование алгоритмов согласования ключа и блочного шифрования при офлайновой проверке PIN

Издание официальное

Предисловие

1    РАЗРАБОТАНЫ Обществом с ограниченной ответственностью «Системы практической безопасности» (ООО «СПБ») совместно с Открытым акционерным обществом «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС») и Обществом с ограниченной ответственностью «КРИПТО-ПРО» (ООО «КРИПТО-ПРО»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2017 г. № 2019-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2018

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

УДК 681.3.06:006.354    ОКС 35.040

Ключевые слова: информационная технология, криптографическая защита информации, аутентификация, ключ, функция хэширования, шифрование PIN, верификация PIN, платежное приложение, платежная карта

7

БЗ 1—2018/95

Редактор Л.С. Зимилова Технический редактор И.Е. Черепкова Корректор Е.Р. Ароян Компьютерная верстка Ю.В. Поповой

Сдано в набор 20.12.2017. Подписано в печать 13.02.2018. Формат 60 * 84¹/₈.

Уел. печ. л. 1,40. Уч.-изд. л. 1,26. Тираж 19 экз. Зак. 103.

Подготовлено на основе электронной версии, предоставленной разработчике^

ИД «Юриспруденция», 115419, Москва, ул. Орджоникидзе, 11. www.jurisizdat.ru y-book@mail.ru

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123001, Москва, Гранатный пер., 4. www.gostinfo.ru info@gostinfo.ru

P 1323565.1.011—2017

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Обозначения ........................................................................ 2

4    Описание алгоритмов.................................................................2

4.1    Процедура зашифрования PIN (терминал)............................................2

4.2    Процедура расшифрования и верификации PIN (карта).................................3

Приложение А (справочное) Контрольные примеры..........................................4

Введение

В настоящих рекомендациях рассмотрен порядок использования алгоритма согласования ключей для аутентификации PIN в офлайновом режиме. Данная процедура выполняется в рамках верификации держателя карты.

Верификация держателя карты производится в целях идентификации лица, получившего карту от ее эмитента (клиента банка), с лицом, совершающим по карте операцию. Данная процедура обработки транзакции выполняется после динамической/комбинированной аутентификации карты терминалом, в процессе которой терминал проверяет сначала сертификат карты, считанный с нее, а затем генерирует случайное число, отправляет его карте для заверения, после чего проверяет полученную в ответ подпись этого случайного числа и служебную информацию. Передача карте в режиме офлайн зашифрованного PIN для верификации выполняется в том случае, если картой и терминалом согласован метод верификации держателя карты "Enciphered PIN verification performed by ICC".

Разработка настоящих рекомендаций вызвана необходимостью внедрения процедур для аутентификации PIN в платежных приложениях.

Примечание — Настоящие рекомендации дополнены приложением А.

IV

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Использование алгоритмов согласования ключа и блочного шифрования при офлайновой проверке PIN

Information technology. Cryptographic data security.

Using key matching and block encryption algorithms in offline PIN verification

Дата введения — 2018—06—01

1    Область применения

Описанные в настоящих рекомендациях алгоритмы рекомендуется применять при проверке PIN в платежной системе «МИР».

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие документы:

ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования

Р 50.1.113—2016 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

Издание официальное

3    Обозначения

В настоящих рекомендациях использованы следующие обозначения:

V_n — конечномерное векторное пространство размерности гг,

А\\В — конкатенация строк, т. е. если А е I/ В е I/ А = (а_/?1_₁, а_п1_₂,    а₀),    В    =    (Ь_П2_1, Ь_п2_₂,

...,Ь₀),тоЛ||В = (а_я1_₁,а_я1_₂, .... а₀, Ь_пЪЛ, Ь_я2_₂, .... Ь₀) е V_nUn2,

C/cc-pin — сертификат открытого ключа карты для проверки PIN;

C/cc-/ss —сертификат эмитента карты;

D_K(M)    — функция расшифрования;

Е_К(М)    — функция зашифрования;

Н₂₅₆    —функция хэширования в соответствии с ГОСТ Р 34.11-2015. Длина значения равна

32 байтам;

IUN —случайное число карты (ICC Unpredictable Number), генерируемое картой в ответ на команду GET CHALLENGE в том случае, когда терминал выбирает метод верификации держателя карты Enciphered PIN Offline. Длина значения равна 8 байтам;

KEK_vko —ключ шифрования, формируемый в соответствии с алгоритмом VKO_ GOSTR3410_2012_256, описанным в Р 50.1.113—2016. Длина значения равна 32 байтам; кР —точка эллиптической кривой кратности к;

m,q — параметры эллиптической кривой id-GostR3410-2001 -CryptoPro-A-ParamSet;

PIN —персональный идентификационный номер (Personal identification number) (4—12 десятичных цифр);

PIN-block —данные для вычисления шифрограммы. Длина значения равна 8 байтам.

UKM —фиксированный параметр, значение которого равно UKM = (ОхООЦОхООЦОхООЦОхООЦ 0x00110x00110x00110x01). Длина значения равна 8 байтам;

\/KO_GOSTR3410_2012_256 — алгоритм согласования ключей, определенный в Р 50.1.113—2016; х    — закрытый    ключ    терминала. Длина значения равна 32 байтам;

хР    — открытый    ключ    терминала. Длина значения равна 64 байтам;

у    — закрытый    ключ    карты. Длина значения равна 32 байтам;

уР    — открытый    ключ    карты. Длина значения равна 64 байтам.

4    Описание алгоритмов

Возможные значения аргументов функций в представленных алгоритмах ограничены допустимостью их использования в качестве входных параметров преобразований.

4.1 Процедура зашифрования PIN (терминал)

Для зашифрования PIN на стороне терминала необходимо сформировать шифрограмму на основе ключа шифрования KEK_vko и значенияР/Л/-Ь/ос/(.

Формирование ключа шифрования KEK_vko происходит в соответствии с алгоритмом согласования ключей VKO_GOSTR3410_2012_256, описанным в Р 50.1.113—2016.

Для этого сертификат открытого ключа карты С_/сс._р/Л/проверяется с использованием раннее считанного с карты сертификата эмитента карты C_/cc__/ss. После чего формируется эфемерная ключевая пара терминала: х — закрытый ключ терминала и хР — открытый ключ терминала в соответствии с ГОСТ Р 34.10-2012.

На основе полученных параметров вычисляется ключ шифрования:

К (х, у, UКМ) = (mlq ■ UKM ■ х mod q) (уР),

KEK_vko (х, у, UKM) = Н₂₅₆ (К (х, у, UKM))

PIN-block формируется в виде:

С N Р Р Р Р P/F P/F P/F P/F P/F P/F P/F P/F F F

Значение в каждом столбце имеет длину 4 бита.

Значение знаков PIN-block определены в таблице 1. Таблица 1

Знак в PIN-block	Имя	Значение
С	Контрольное поле	‘2’ (‘ООЮ’Ь)
N	Длина PIN	4-битный двоичный номер с допустимыми значениями в двоичном представлении от ‘0100’b до ‘1100’Ь (от 4 до 12 в десятичном представлении)
Р	Цифра PIN	4-битное представление цифры PIN с допустимыми значениями в двоичном представлении от ‘0000’Ь до ‘1001’Ь (от 0 до 9 в десятичном представлении)
P/F	Цифра PIN/заполнитель	Определяется длиной PIN
F	Заполнитель	4-битное двоичное число ‘1111 'Ь

Для вычисления шифрограммы применяется алгоритм зашифрования согласно ГОСТ 28147-89 в режиме СВС по ГОСТ Р 34.13-2015 с вектором инициализации IV = 0 (то же, что и двукратное применение алгоритма шифрования в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z):

^ekek_vko (IUN\\PIN-block)

Полученная шифрограмма и открытый ключ терминала отправляются на карту.

4.2 Процедура расшифрования и верификации PIN (карта)

Перед началом процедуры расшифрования и верификации PIN проверяются значения всех необходимых счетчиков, если хоть одно из них достигло своего предельного значения, то обработка прекращается.

Формирование ключа шифрования KEK_vko происходит в соответствии с алгоритмом согласования ключей VKO_GOSTR3410_2012_256, описанным в Р 50.1.113—2016:

К (х, у, UКМ) = (m/q ■ UKM ■ у mod q) (хР),

KEK_vko (х, у, UKM) = Н₂₅₆ (К (х, у, UKM))

С помощью полученного ключа KEK_vko расшифровывается шифрограмма по алгоритму расшифрования согласно ГОСТ 28147-89 в режиме СВС по ГОСТ Р 34.13-2015 с вектором инициализации IV = 0 (то же, что и двукратное применение алгоритма расшифрования в соответствии с ГОСТ 28147-89 в режиме простой замены с узлом замены id-tc26-gost-28147-param-Z):

^DKEK_VKo VmPIN-Ыоск)

После расшифрования и проверки формата PIN-block из него извлекается значение PIN, которое сравнивается со значением, хранимым на карте. Если проверка значения /L/Л/, формата PIN-block или значения PIN выдала неверный результат, то обработка прекращается и происходит возврат ошибки терминалу.

3

Приложение A (справочное)

Контрольные примеры

Приводимые ниже значения параметров PIN, IUN, а также значения ключей терминала х, хР и значения ключей карты у, уР рекомендуется использовать только для проверки корректной работы конкретной реализации алгоритмов, описанных в настоящих рекомендациях.

Все числовые значения приведены в десятичной или шестнадцатеричной записи. Нижний индекс в записи числа обозначает основание системы счисления.

В данном приложении двоичные строки из V*, длина которых кратна 4, записываются в шестнадцатеричном виде, а символ конкатенации («||») опускается. То есть строка а е V_4r будет представлена в виде а_г-1 а_г_₂ ... а₀, где а₍е {0, 1, ..., 9, а, Ь, с, d, е, f}, /= 0, 1, ..., г - 1. Соответствие между двоичными строками длины 4 и шестнадцатеричными строками длины 1 задается естественным образом (таблица А.1).

Преобразование, ставящее в соответствие двоичной строке длины 4г шестнадцатеричную строку длины г, и соответствующее обратное преобразование для простоты записи опускаются.

Таблица А.1 — Соответствие между двоичными и шестнадцатеричными строками

0000	0
0001	1
0010	2
0011	3
0100	4
0101	5
0110	6
0111	7
1000	8
1001	9
1010	а
1011	ь
1100	С
1101	d
1110	е
1111	f

А.1 Исходные данные

Для вычисления секретного ключа и последующего шифрования PIN-block используются следующие данные:

PIN = 1234567₁₀

IUN= 1с/80603с8544с727₁₆

Закрытый ключ терминала: х = с/92с/431с/20375сс/2а537сс/648е14Ь60Ь\\

4с21 а15а579861 Ь7Ье419Ы6ес/861874₁₆ Открытый ключ терминала: хР = 030654асс/14ас/85с/6Ь246ес4а195Ь334\\ ecfe/93c1 /22Ь67с/81 ff7d35e8dd618\\ е538сЗЬ327е93Ы 36697ed5c86173M4W 341 с5/5Ь9792е95362170a993d84a472₁₆

4

P 1323565.1.011—2017

Закрытый ключ карты: у = 246954/9881 d2918/373c01b6d8c9cc0\\

01563с/191078316е8аЗае11741829523₁₆ Открытый ключ карты: уР = 4fc5f57ab09aa6f0f7433edefbb4bcbe\\

4368d64/c/5ec69452982c/ae/61/dc6\\ ае37764Ьс9/910905995е92389537//3\\ b632938a4a6b8e5d1bee20dee371е258₁₆ Символ «\\» обозначает перенос числа на новую строку.

А.1.1 Ключ шифрования

Используя исходные данные, формируется ключ шифрования KEK_vko\

KEK_vko = ае9/с/1983//а8160аЬ8Ь//66с78с890\\

385496c69db2c035/d321cfec3bc/36d₁₆

А.1.2 Зашифрование PIN

PIN-block = 271234567/Ш/₁₆

В результате применения алгоритма зашифрования PIN получится следующее значение шифрограммы: ^ekek_vko UUN\\PIN-block) = 5е227е64/83е8а5470е03Ь97086с4/₁₆

А.1.3 Расшифрование PIN

С использованием приведенных значений KEK_vko и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

А.2 Исходные данные

Для вычисления секретного ключа и последующего шифрования PIN-block используются следующие данные: PIN = 1234487₁₀ IUN = 2d82603c8544c727₁₆ Закрытый ключ терминала: х = 05050505050505050505050505050505W 05050505050505050505050505050505-1₆ Открытый ключ терминала: хР = 2221 d/1866280/2c/d78d2d5/0/4719а\\ caal 87Ь/4/аЫ d8198аЬ53с9с800/Ь/2\\

4db2a57d9c26c61a886c/a10041566ad\\

01080083ed2456e5355d7467cbec327d₁₆

Закрытый ключ карты: у = d92d431d20375cd2a537cd648e14b60M\

4с21а15а579861Ь7Ье419Ы 6ed861874₁₆ Открытый ключ карты: уР = 030654acd14ad85d6b246ec4a195b334\\ ecfe/93c1/22Ь67с/81 //7d35e8dd618\\ е538сЗЬ327е93Ы 36697ed5c86173Ь44\\

341 с5/5Ь9792е95362170a993d84a472₁₆ А.2.1 Ключ шифрования

Используя исходные данные, формируется ключ шифрования KEK_vko\

KEK_vko = 165е107572d0cb10cd2c43558713e181 \\

87a75b3812b020/00b3d05166a201e1e₁₆ A.2.2 Зашифрование PIN PIN-block = 271234487fffffff^

В результате применения алгоритма зашифрования PIN получится следующее значение шифрограммы: ^Ekekvko (IUN\\PIN-block) = ee8/229bc105/29039b7a/06e0058d59₁₆

А.2.3 Расшифрование PIN

С использованием приведенных значений KEK_vko и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

А.З Исходные данные

Для вычисления секретного ключа и последующего шифрования PIN-block используются следующие данные:

PIN = 1234347₁₀

IUN = 3d82603c8544c727₁₆

5

P 1323565.1.011—2017

Закрытый ключ терминала: х = 246954/9881 с/2918ШЗс01Ь6с/8с9сс0\\

01563с/191078316е8аЗае11741829523₁₆ Открытый ключ терминала: хР = 4fc5/57ab09aa6/0/7433edefibb4bcbe\\

4368d64fc/5ec69452982c/ae/61/dc6\\ ае37764Ьс9/910905995e92389537ff3\\ b632938a4a6b8e5d1bee20dee371e258₁₆

Закрытый ключ карты: у = 05050505050505050505050505050505W 05050505050505050505050505050505₁₆ Открытый ключ карты: уР = 2221 dfl 866280/2c/d78d2d5/0/4719а\\ caal 87Ь/4/аЫ d8198аЬ53с9с800/Ь/2\\

4db2a57d9c26c61 a886cfa10041566ad\\

01080083ed2456e5355d7467cbec327d₁₆ A.3.1 Ключ шифрования

Используя исходные данные, формируется ключ шифрования KEK_vkq\

KEK_vkq = b6da0eeb6cbc0ca99b20cbecadcb6e75\\ b77ee8e318e1eba28ada53c8d7086363₁₆ A.3.2 Зашифрование PIN PIN-block = 271234567/Ш7₁₆

В результате применения алгоритма зашифрования PIN получится следующее значение шифрограммы: ^ekek_vko {IUN\\PIN-b\ock) = 5с8е839М9е2031 c01352611 c2d2a379₁₆

A.3.3 Расшифрование PIN

С использованием приведенных значений KEK_vko и значения шифрограммы с помощью операции расшифрования воспроизводится исходное значение PIN.

6