Месяц назад технический комитет по стандартизации «Криптографическая защита информации» (ТК26) принял решение разработать отечественный стандарт для приема карт «Мир».
Карты всех международных систем работают по общему стандарту (EMV), в который вряд ли включат нашу криптографию, так что «для обеспечения национальных интересов нам необходимо создать свой аналог этого стандарта», объясняет консультант по безопасности Cisco Systems Алексей Лукацкий.
Выпуск первой карты «Мир» намечен на декабрь. Пока отечественный стандарт не создан, наша платежная система будет работать по глобальному стандарту, к которому Национальная система платежных карт (НСПК) присоединилась в сентябре. На отечественном аналоге сможет работать только карта «Мир», а карты международных платежных систем продолжат работать на EMV. Поэтому потребуется два криптографических модуля и два канала взаимодействия с платежными системами – международными и отечественной.
«Уже сейчас понятно, что в каждый банкомат и POS-терминал придется ставить сертифицированный в ФСБ аппаратный криптографический модуль, стоимость которого может достигать нескольких тысяч долларов», оценивает Лукацкий.
«Если мы хотим все перевести на российскую криптографию, то придется обновлять железо: те криптомодули, которые уже стоят в банкоматах, нельзя будет адаптировать под наш ГОСТ», говорит сотрудник банка из топ-10.
«ЦБ понимает, что это дорого и участники платежной системы не могут одномоментно заменить все свои банкоматы и терминалы. Поэтому предполагается переходный период в течение 5–7 лет – по мере того, как старые банкоматы и POS-терминалы будут заменяться новыми, поддерживающими отечественную криптографию, получившую поддержку ФСБ», заключает Лукацкий.
По оценкам НСПК, себестоимость карт «Мир» к началу массовой эмиссии будет ниже себестоимости карт других платежных систем, передавал 18 ноября ТАСС со ссылкой на главу НСПК Владимира Комлева.
В то же время, Комлев сообщил ТАСС, что при создании платежной системы «Мир» НСПК учитывала текущие рыночные условия, а на себестоимость карты влияет много факторов – тираж, стоимость печати и, безусловно, стоимость чипа.
«К началу массовой эмиссии карт „Мир“ производители карточных платформ, базируясь на наших спецификациях, смогут предложить собственные реализации платежного приложения. Это также является фактором снижения стоимости производства карт. Над этим уже сейчас работает целый ряд производителей карт и чипов», отметил глава НСПК.
На 1 июля в России было 218 768 банкоматов и 1,2 миллиона терминалов для приема карт, приводят «Ведомости» данные ЦБ.
Владимир Комлев, гендиректор НСПК:
Сотрудник банка из топ-10 сравнивает ситуацию с разной шириной железнодорожной колеи в России и за рубежом: «Мы строим рядом с одной параллельную железную дорогу». К тому же еще не доказано, что использование российской криптографии повысит безопасность платежей, подчеркивает он.
Зачем уходить от мировых стандартов, если криптографическое оборудование, которое используется в карточных процессингах, и так проходит через контролирующие специализированные органы», недоумевает директор управления банковских карт другого банка из первой десятки. НСПК создавала рабочую группу по этому вопросу, вспоминает он, однако цель внедрения отечественной криптографии никто так и не объяснил.
Стандарт распространится не только на инфраструктуру самого банка, но и на чипы для карт, которые производят иностранные компании, добавляет собеседник «Ведомостей».
Переход на национальный стандарт противоречит планам НСПК обеспечить прием своих карт по всему миру. Сотрудник банка из топ-10 вспоминает, как легко вышли на наш рынок платежные системы JCB и China Union Pay – для их приема было достаточно загрузить платежные приложения, а если для приема карт нужно будет менять что-то в каждом банкомате, почти никто на это не пойдет.
Национальная система платежных карт (НСПК) официально начала свою работу в России с 1 апреля. Система будет обрабатывать все внутрироссийские операции по банковским картам. В июле президент России Владимир Путин поставил задачу в 2015 году перейти на отечественные банковские карты.
По словам гендиректора НСПК, российские банки, участвующие в пилотном проекте по эмиссии карт «Мир», находятся в высокой степени готовности к тому, чтобы начать эмиссию первых карт до конца 2015 года.
1 Зачем уходить от мировых стандартов, если криптографическое оборудование, которое используется в карточных процессингах, и так проходит через контролирующие специализированные органы?
2 Какова цель внедрения отечественной криптографии?
Владислав Кочетков, эксперт «ФИНАМ»:
Илья Сачков, основатель и генеральный директор Group IB:
Карты всех международных систем работают по общему стандарту (EMV), в который вряд ли включат нашу криптографию, так что «для обеспечения национальных интересов нам необходимо создать свой аналог этого стандарта», объясняет консультант по безопасности Cisco Systems Алексей Лукацкий.
Выпуск первой карты «Мир» намечен на декабрь. Пока отечественный стандарт не создан, наша платежная система будет работать по глобальному стандарту, к которому Национальная система платежных карт (НСПК) присоединилась в сентябре. На отечественном аналоге сможет работать только карта «Мир», а карты международных платежных систем продолжат работать на EMV. Поэтому потребуется два криптографических модуля и два канала взаимодействия с платежными системами – международными и отечественной.
«Уже сейчас понятно, что в каждый банкомат и POS-терминал придется ставить сертифицированный в ФСБ аппаратный криптографический модуль, стоимость которого может достигать нескольких тысяч долларов», оценивает Лукацкий.
«Если мы хотим все перевести на российскую криптографию, то придется обновлять железо: те криптомодули, которые уже стоят в банкоматах, нельзя будет адаптировать под наш ГОСТ», говорит сотрудник банка из топ-10.
«ЦБ понимает, что это дорого и участники платежной системы не могут одномоментно заменить все свои банкоматы и терминалы. Поэтому предполагается переходный период в течение 5–7 лет – по мере того, как старые банкоматы и POS-терминалы будут заменяться новыми, поддерживающими отечественную криптографию, получившую поддержку ФСБ», заключает Лукацкий.
По оценкам НСПК, себестоимость карт «Мир» к началу массовой эмиссии будет ниже себестоимости карт других платежных систем, передавал 18 ноября ТАСС со ссылкой на главу НСПК Владимира Комлева.
В то же время, Комлев сообщил ТАСС, что при создании платежной системы «Мир» НСПК учитывала текущие рыночные условия, а на себестоимость карты влияет много факторов – тираж, стоимость печати и, безусловно, стоимость чипа.
«К началу массовой эмиссии карт „Мир“ производители карточных платформ, базируясь на наших спецификациях, смогут предложить собственные реализации платежного приложения. Это также является фактором снижения стоимости производства карт. Над этим уже сейчас работает целый ряд производителей карт и чипов», отметил глава НСПК.
На 1 июля в России было 218 768 банкоматов и 1,2 миллиона терминалов для приема карт, приводят «Ведомости» данные ЦБ.
Владимир Комлев, гендиректор НСПК:
Одним из основных направлений стратегии НСПК является продвижение карты «Мир» на международный рынок и обеспечение ее работы не только в России, но и за рубежом. Именно поэтому с самого начала необходимо делать продукт, соответствующий всем международным стандартам.
Сотрудник банка из топ-10 сравнивает ситуацию с разной шириной железнодорожной колеи в России и за рубежом: «Мы строим рядом с одной параллельную железную дорогу». К тому же еще не доказано, что использование российской криптографии повысит безопасность платежей, подчеркивает он.
Зачем уходить от мировых стандартов, если криптографическое оборудование, которое используется в карточных процессингах, и так проходит через контролирующие специализированные органы», недоумевает директор управления банковских карт другого банка из первой десятки. НСПК создавала рабочую группу по этому вопросу, вспоминает он, однако цель внедрения отечественной криптографии никто так и не объяснил.
Стандарт распространится не только на инфраструктуру самого банка, но и на чипы для карт, которые производят иностранные компании, добавляет собеседник «Ведомостей».
Переход на национальный стандарт противоречит планам НСПК обеспечить прием своих карт по всему миру. Сотрудник банка из топ-10 вспоминает, как легко вышли на наш рынок платежные системы JCB и China Union Pay – для их приема было достаточно загрузить платежные приложения, а если для приема карт нужно будет менять что-то в каждом банкомате, почти никто на это не пойдет.
Национальная система платежных карт (НСПК) официально начала свою работу в России с 1 апреля. Система будет обрабатывать все внутрироссийские операции по банковским картам. В июле президент России Владимир Путин поставил задачу в 2015 году перейти на отечественные банковские карты.
По словам гендиректора НСПК, российские банки, участвующие в пилотном проекте по эмиссии карт «Мир», находятся в высокой степени готовности к тому, чтобы начать эмиссию первых карт до конца 2015 года.
Редакция «Мегамозга» задала экспертам два вопроса:
1 Зачем уходить от мировых стандартов, если криптографическое оборудование, которое используется в карточных процессингах, и так проходит через контролирующие специализированные органы?
2 Какова цель внедрения отечественной криптографии?
Владислав Кочетков, эксперт «ФИНАМ»:
Пока не совсем ясно, насколько далёк будет уход от так называемых международных стандартов. Следует учитывать, что, во-первых, стандарты тоже развиваются и меняются, а во-вторых, за благозвучным эвфемизмом “международные стандарты” обычно скрываются технические решения, разработанные весьма узким кругом стран, которые больше всего и выигрывают от стандартизации, и, кстати, временами налагают на другие страны санкции.
Например, новые аппаратные криптографические модули могут однажды попасть под эмбарго. У нас в стране уже много что производить практически разучились, но криптография пока ещё есть, вполне современная.
Путём принятия решения о переходе на отечественную криптографию создаётся некоторый рынок для российских решений. Если вообще не разрабатывать и не внедрять никаких решений, а только сертифицировать и ставить готовые модули, то можно потерять и те компетенции в сфере высоких технологий, которые в стране ещё остались. Разумеется, банки не очень рады своей роли вынужденного инвестора этой индустрии – ведь им придётся нести затраты на апгрейд банкоматов, но, насколько это видится сейчас, процесс перехода будет плавным и у них будет возможность совместить его с плановой заменой оборудования.
Илья Сачков, основатель и генеральный директор Group IB:
Я считаю, что в области банковского обслуживания надо использовать международные стандарты, особенно, если мы не хотим делать бессмысленные вещи, тратить лишние миллионы и хотим подключать к Миру и другие страны.
vanxant
Без технических деталей это не статья, а нытьё жадных банкиров, которым, как обычно, лень палец о палец ударить.
Предлагают сменить только криптоалгоритмы или протокол тоже? Если только алгоритмы (а судя по многолетнему переходному периоду так и есть) — то разговор вообще ни о чём. Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Чипы выпускает Зеленоград в том числе. После всех разоблачений Сноудена использовать в такой чувствительной области импортный чип, разработанный под контролем АНБ и выпущенный китайцами — ну это диверсия чистой воды. Считайте меня параноиком. И да, при ежегодном выпуске сотен миллионов чипов их цена будет копеечная. То, что пишут про десятки тысяч долларов за криптомодуль — это с аппаратным термоядерным генератором случайных числе что ли? Или просто кому-то надо меньше пилить?
Klaster
>>Предлагают сменить только криптоалгоритмы или протокол тоже?
Судя по статье предлагают сменить вообще все под предлогом «что бы наши не разучились». Какая то сомнительная причина, честное слово.
>>Приоритет у нашей криптографии, но если её поддержки почему-то нет, фолбэк на буржуйскую. В чём проблема-то?
Насколько я понял, проблема в том, что раскачиваться можно только первое время, потом своей протокол станет обязательным.
>>Или просто кому-то надо меньше пилить
Я так понимаю собственник банка спросил: а сколько это будет стоить, ему ответили 2-5т уе, не хотите не покупайте. Но без него через какое то время ваш банкомат\терминал потеряет право работать. Собственник умножил на 200-300терминалов и чота приуныл.
vanxant
Что будет стоить 5туе? Пара микросхем для банкомата? При условии производства миллионами штук в год?
Причина очень даже не сомнительная кстати. Вы представляете, что будет, если некто, например, очередной простой сисадмин из АНБ типа Сноудена, но только жадный, или не менее жадный «злёбный руцкий хацкер» найдёт брешь в протоколе Visa? И решит поперечислять денег с карточек, коих в этих ваших интернетах — миллионы? Таки я подскажу — коллапс банковской системы, а за ней и крах экономики.
И это я ещё геополитические риски не упоминаю.
Fuzzyjammer
Откуда миллионы в год, если всего в стране банкоматов 200 тысяч, и обновлять их парк разом никто не станет? И потом, а где гарантии, что вендоры банкоматов, коих два с половиной, вообще захотят поддерживать чьи-то левые криптографические модули?
При чем здесь АНБ и вообще США? Какая еще «брешь в протоколе»? Вы хоть представляете себе, как происходит авторизация операции по карте?
Стандартну EMV 20+ лет, и его только ленивый еще не ковырял (после магнитной полосы, которую можно скопировать на коленке), и тут внезапно брешь найдется?
И потом, с чего вдруг быть «коллапсу»? Банки не карточками зарабатывают. Никакого коллапса ни банков, ни экономики, ни геополитики в случае массового карточного фрода, который банки через несколько часов прикроют, не будет.
vanxant
Банкоматов — 200 тысяч, и ещё миллион pos-терминалов. Это пока QIWI с им подобными не внедрили массовый приём карточек.
Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках.
Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство. HTTPS постарше будет, однако ж heartbleed нашли совсем недавно.
Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах, насколько он соответствует современным реалиям и требованиям к качеству? Сталкивались хоть когда-нибудь? Нет? Ну продолжайте верить в 20+ лет. Когда тот софт писали, интернета считайте что не было.
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты, если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
BiW
И сколько наших, исконно русских, от сохи, банкоматов производится на данный момент?
Миллионы левых транзакций одновременно в случае массового фрода надёжно положат систему «Мир», если ставить именно такую цель. Представьте, что злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте «Мир», имитируя оплату ЖКХ, оплату онлайн-услуг, переводы друзьям и т.п. Сколько это всё будет разгребаться?
Fuzzyjammer
> Собрать ящик с гордым названием банкомат — это конечно rocket science, куда там нам в лаптях и ватниках
Тогда ж почему их клепают не все, кому не лень, а 3-4 производителя, из них 2 с именем? Почему мы до сих пор своих не делаем? Ящик-то не рокет саянс, а вот бюрократию сертификации пройти сложно. Или вы предлагаете банкам ставить везде по два банкомата сразу, один — сертифицированный, для обслуживания карт МПС, другой — «исконно русский», только для карт «Мир»?
> Стандарту EMV 20+ лет это ололо пыщь пыщь доказательство.
Безусловно, сам факт того, что стандарт не вскрыли за 20 лет — это еще не доказательство, но какой-никакой показатель пригодной надежности.
И вы считаете, что ли, что хартблид был закладкой, а не багом?
> Вы хоть представляете, какого уровня и качества софт в этих самых банкоматах
Я представляю, как этот софт влияет на процесс выполнения транзакции — чуть менее, чем никак. Банкомат — тупая коробка с инструментами ввода-вывода, он не производит проверки, не одобряет транзакции, даже сумму посчитать не может сам.
> Миллионы левых транзакций одновременно в случае массового фрода надёжно положат банк-эмитент карты
Миллионы левых транзакций одновременно от имени банкоматов нельзя реализовать. А вот если речь об описываемом вами случае, когда
> злоумышленник рандомно повторяет некоторые из уже проходивших операций по карте, имитируя оплату ЖКХ, оплату онлайн-услуг
то тут чип (о котором статья) вообще не при делах, никаких стандартов EMV ломать для этого не нужно.
BiW
Не несите чушь. Цель установки криптомодуля за 5 т.у.е. — проста и очевидана — обычный попил. Осуществляться он будет за ваш счет, естественно, поскольку банки просто переложат свои расходы на потребителей путем увеличения тарифов на банковские услуги.
А вы представляете что будет, если «руцкий хацкер» найдет брешь в протоколе «мир»? Ах ну да, я забыл — это же истинно наша православная система, одобренная лично
РПЦФСБ. В ней просто не может быть недостатков, ну да, ну да…vanxant
Может. Но тут стратегия неуловимого джо во всей красе.
BiW
Причем тут неуловимый джо? То вы утверждаете, что злобные хацкеры спят и видят, как взломать Визы россиян в целях обогатится, то — что «мир» никому не нужен и ломать его не будут, патамушта никому не нужно? Хотя, если учесть стремительное падение доходов населения и скатывание экономики в УГ, то, действительно, никто и ломать ничего не будет, поскольку скоро и взять там нечего будет.
areht
> банки просто переложат свои расходы на потребителей путем увеличения тарифов на банковские услуги.
Если бы это так просто работало — они бы давно увеличили тарифы без всяких расходов
BiW
И не надо рассказывать сказки про добрых банкиров, которые будут эти 5000 отстегивать из своего кармана — этого не будет ни при каких раскладах, за все заплатит население, как оно уже привыкло.
areht
Это вы мне сказки рассказываете, что эти дождевые банкиры сейчас не хотят тарифы повысить
areht
> Что будет стоить 5туе? Пара микросхем для банкомата?
А у вас в голове какой порядок цифр за пару схем?
Для примера, есть такая штука как ЭКЛЗ. Флешка мегабайта на 4. Около 6000 руб, с установкой раза в полтора больше. Менять надо раз в год.
vanxant
Простите, но где здесь тысячи у.е.?
Я рад, что ваши знакомые в 2015 году умудряются пилить на магнитной ленте.
Но не надо называть это «флешкой»
areht
Простите, но где здесь лента?
Stepanow
12000 при себестоимости 100р и работе «5 минут в носу поковырять» считается нормальным?
Да вы все сумасшедшие! Наденьте гири на ноги и бегите, догоняйте нормальные страны, которые бегут налегке
areht
Нет там «нормальности». Там есть пересечение спроса и предложения, при ограниченном предложении сертифицированной фигни.
PS. Телемастера вызвали починить телевизор.
Тот посмотрел и неожиданно ударил по корпусу кулаком – телевизор заработал.
Мастер говорит «С Вас 101 рубль»
— «101 рубль за один удар?!!!!»
— «Удар стоит рубль. 100 рублей за то, что знал, куда ударить ».
Zergboy
После того, как я узнал, сколько стоила разработка техническо-экономического обоснования Керченского моста, я уже не удивляюсь, что криптомодуль, собранный из тех же самых китайских микросхем, купленных на АЛиэкспрессе, будет стоить именно 5 тыр.