Bankir.Ru
10 декабря, суббота 23:35

Объявление

Свернуть
Пока нет объявлений.

Des, 3Des шифрование трафика

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Des, 3Des шифрование трафика

    Добрый день всем.

    Интересует железка, которая могла бы шифровать/расшифровывать данные DESом и 3DESом, имела Ethernet порт, нормально реализованое хранение ключей, достаточно высокую скорость работы.

    Вобщем нужно что-то похоже на Racal (который похоже этого делать не может )

    Для PC подошел бы e-токен в крайнем случае, но не то....

    Кто-нить может что-то посоветовать почитать на эту тему?

  • #2
    2 qwe_ua
    Вобщем нужно что-то похоже на Racal (который похоже этого делать не может )
    Судя по описанию того, что интересует, как-раз Racal (RG7410) умеет это все делать. У них есть и более современные модели. Если же речь идёт о шифрования трафика, то у того-же Талеса была "железка", которая его шифрует. Использует TDES с сессионными ключами двойной (а может даже тройной?) длинны, а обменивается ими, используя RSA. Если же говорить о HSM для PC - посмотрите Eracom ProtectServer Orange. Вся инфа есть в инете.

    Комментарий


    • #3
      MaxUA
      Судя по описанию того, что интересует, как-раз Racal (RG7410) умеет это все делать
      ага... значит тот про который я читал "неправильный"

      Использует TDES с сессионными ключами двойной (а может даже тройной?) длинны, а обменивается ими, используя RSA
      круто, но я думаю разработчик ПО под POS не сможет это реализовать...

      Если же говорить о HSM для PC - посмотрите Eracom ProtectServer Orange
      почитаю, спасибо. хотя под PC не хочется...

      Комментарий


      • #4
        2 qwe_ua
        круто, но я думаю разработчик ПО под POS не сможет это реализовать...
        а разработчику не надо ничего реализовывать. Дэвайс шифрует данные самостоятельно.

        Комментарий


        • #5
          MaxUA
          POS будет шифровать весь свой трафик DES(3DES) (как, это проблема разработчика, но они говорят что смогут реализовать), а "мой" хост должен это расшифровывать, железка нужна для расшифровки входящего трафика на хосте и соответственно шифрования ответов.

          Или я где-то очень сильно ошибаюсь?....

          Комментарий


          • #6
            2 qwe_ua
            Хорош подход: исходящий трафик мы на ПОСе шифруем, а на хосте - сами выкручивайтесь. А как-же мэнеджемент ключей (или как у многих - один ключ на несколько функций)? Вобщем - разбирайтесь, но RG7410 не потянет шифровку трафика от сети ПОСов, да и RG8xxx не для этого предназначены.

            Комментарий


            • #7
              Хорош подход: исходящий трафик мы на ПОСе шифруем, а на хосте - сами выкручивайтесь
              Вот я и выкручиваюсь....

              А как-же мэнеджемент ключей (или как у многих - один ключ на несколько функций)?
              Не... не всё так плохо

              Нам разработчик предложил PCшный предхост, но не хотелось бы такое у себя ставить.

              Комментарий


              • #8
                Посмотрите ERACOM. У них есть достаточно навороченные, но в то же время недорогие устройства. Например вот этот ящичек:

                http://www.eracom-tech.com/products/psox/psox.htm

                Но предупреждаю сразу - техническая поддержка у них тово...

                Комментарий


                • #9
                  Если нужно шифровать Ip трафик, почему бы не воспользоваться Vpn.

                  Комментарий


                  • #10
                    Hoyas
                    посы пока что с VPN не дружат...

                    Комментарий


                    • #11
                      qwe_ua

                      Ну почему - не дружат. Некоторые - дружат. Если POS с Ethernet, то какие проблемы?
                      <%(

                      Комментарий


                      • #12
                        VMS
                        посы с Ethernet я только на картинках видел

                        Какие посы имеют Ethernet и могу реализовать VPN? Производитель, модель?

                        Комментарий


                        • #13
                          qwe_ua

                          POSов с Ethernet - довольно много. Те же OMNI3750 (мы используем MoneyLine), и аппаратных VPN клиентов - туча (мы используем DLink). Дорогова-то конечно, и не без проблем, но работает.
                          <%(

                          Комментарий


                          • #14
                            VMS
                            стоп. Между посом и "аппаратным VPN клиентом" трафик в каком виде ходит?

                            Комментарий


                            • #15
                              qwe_ua

                              Естественно голый. Но не вижу в этом особо большой проблемы. Сниффер можно и на модемный выход поставить. Кассовую зону банка - априори считаем "trusted", а в ритейл мы такое не ставим.
                              <%(

                              Комментарий


                              • #16
                                VMS
                                моя безопасность считает, что с модемом это сложнее.

                                Комментарий


                                • #17
                                  qwe_ua

                                  А что даёт основания вашей безопасности считать, что с Ethernet снять трафик в данном случае проще?
                                  <%(

                                  Комментарий


                                  • #18
                                    VMS
                                    наверно то, что это при желании смогут сделать они

                                    тут наверно стоит добавить, что изначально рассматривался вариант подключения поса по RS-232 с компьютер и дальше по сети до процессинга. А вот снять лог с ком-порта уж совсем просто.

                                    Комментарий


                                    • #19
                                      Здесь, как и во многих других темах, происходит путаница в понятиях:
                                      физические интерфейсы (RS232, RJ45-Ethernet adapterа) скрещивают с технологией
                                      передачи данных канального уровня (ppp, Ethernet), сетевые протоколы (X.25,
                                      X.28, IP) с протоколами процессинга(Diebold 912, NDC+) и пр.
                                      На самом деле каждый выполняет свою определенную роль и друг с другом не
                                      совместим, как вислобрюхая свинья и слон - . Банкомат "общается" с
                                      процессингом на своем языке(протокол приложения Diebold 912 или NDC+).
                                      Это именно здесь идет речь о транзакциях - блоков данных (~500Kb),
                                      содержащих номер карты, суммы платежа и пр. Это и есть те данные, которые
                                      необходимо прятать от плохишей. Можно шифровать на этом уровне.
                                      Далее мы имеем дело с транспортным протоколом (X.25, IP), который "умеет"
                                      эти данные доставить до адресата. Как правило, именно на этом уровне применяют различные
                                      алгоритмы шифрования (VPN туннель IPSec для IP пакетов - здесь и 3DES для
                                      данных с AH или ESP аутентификацией). X.25 и FrameRelay являются более
                                      защищенными протоколами по сравнению с "голым" IP, т.к. доступ к данным можно
                                      получить лишь "попав внутрь" виртуального канала (VC). Далее идет среда переда
                                      чи ppp, Ethernet, канальный уровень X.25 или FrameRelay. А уже потом
                                      физические интерфейсы и электричество в чистом виде.
                                      На каждом из уровней возможен взлом, однако самыми опасными участками
                                      являются непосредственно участок прохождения информации через обслуживающий
                                      персонал - первое место и публичные сети - второе место.
                                      Как себя защищать - вопрос компетенции персонала и денег. К примеру,
                                      можно всю информацию от POS-ов и банкоматов "сливать" на общий
                                      сервер-концентратор по месту установки экварингового оборудования (торговый
                                      центр или отделение банка). Сервер с различными интерфейсами и сетевыми
                                      протоколами, далее данные инкапсулируются в общий внешний транспортный
                                      протокол, шифруются и передаются в сторону процессинга. Со стороны процессинга
                                      стоит подобный сервер, производящий обратную операцию. В итоге весь вопрос
                                      сводится к выбору сервера-концентратора и способа передачи.
                                      Серверы-концентраторы могут быть аппаратными (CISCO, D-Link или на что хватит
                                      денег), софтовыми (Linux, FreeBSD - если нет денег) или комбинированными.
                                      Способ передачи - что угодно: выделенка, dial-up, цифровой канал, Internet(как
                                      среда передачи) - выбор велик. Подробнее - Internet/Яndex - наше Все...
                                      &laquo;Я нравлюсь Дамам, ибо скромен…&raquo;
                                      / А.С. Пушкин /

                                      Комментарий


                                      • #20
                                        Hit-hunter
                                        Речь идет о шифровании, в данном случае, именно POS-терминалом.
                                        Как он это будет делать, то ли шифровать iso-пакет, то ли реализовывать VPN, IPsec и т.д. мне по-большому счету всё равно.

                                        Варианты шифрования на концентраторах не устраивают.

                                        Но это в любом случае головная боль разработчика софта под терминал, я же спрашивал про железку которая шифрует/расшифровывает произвольные данные.

                                        Если бы пос мог IPsec это было бы идеально, но не может

                                        зы: "Это именно здесь идет речь о транзакциях - блоков данных (~500Kb), содержащих номер карты, суммы платежа и пр."
                                        500б ?

                                        Комментарий


                                        • #21
                                          qwe_ua
                                          500Кб - , молодец, подкол принят!

                                          Основной вопрос - количество денег. Как известно: "Бабло побеждает зло..." В вашем случае или меняйте софт, XOR-я, к примеру, те самые 500БАЙТ произвольным ключем(самое простое), либо между POS-ом и банком ставьте микро PC с Linux или дешевый роутер (связь+криптование), либо покупайте готовую услугу, широко разрекламированную здесь...
                                          &laquo;Я нравлюсь Дамам, ибо скромен…&raquo;
                                          / А.С. Пушкин /

                                          Комментарий


                                          • #22
                                            вот и решили шифровать Des/3des прям на посе, только вот надо "нечто" что будет это расшифровывать.

                                            Комментарий


                                            • #23
                                              VMS Сниффер можно и на модемный выход поставить.

                                              Никогда сам не видел.
                                              Если у Вас какой-нибудь есть пожалуйста киньте информацию на mail:
                                              tivmail@mail.ru

                                              Комментарий


                                              • #24
                                                Скажите, у нас часть сетки между банком и банкоматом проходит через радио точки, Насколько защищена сетка от взлома? Применяется система шифрования 3DES

                                                Комментарий


                                                • #25
                                                  serenkiy
                                                  На самом деле надежность защиты это не вопрос конкретного алгоритма или протокола - а все в комплексе с
                                                  организацией технологии вообще.

                                                  Чтобы ответить на Ваш вопрос нужно провести комплексное обследование вашей системы - одно шифрование
                                                  3DES не поможет..

                                                  Вот только те вопросы, которые сразу крутятся на языке:

                                                  1. Как и кто генерирует ключи.
                                                  2. Как они вводятся в бакномат и ПЦ, как они утилизируются и как часто меняются...
                                                  3. Что шифруется (только пинблоки или весь траффик)
                                                  4. Есть ли защита целостности передаваемых данных (например MAC)
                                                  5. Какие угрозы Вы понимаете под защищена сетка от взлома
                                                  - просмотр конфиденциальной информации?
                                                  - DoS - атаки?
                                                  - несанкционированная модификация?
                                                  - неотказуемость отправителей?
                                                  - возможность взломать soft банкомата удаленно
                                                  - и т.д.
                                                  6. Вопросы юридической значимости...
                                                  Nick_st

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X