Для проведения комплекса мероприятий по защите информации при ее хранении, обработке и передаче в платежной системе применяется средство криптографической защиты информации «Тумар».
Открытое распределение ключей
Средство криптографической защиты информации использует открытое распределение ключей. Алгоритмы шифрования и электронной цифровой подписи устроены таким образом, что для их функционирования одной стороне не требуется знание секретного ключа другой, а необходим лишь некоторый его прообраз, так называемый открытый ключ. Открытый ключ вычисляется из секретного ключа с применением односторонней функции, т.е. вычисление секретного ключа из открытого неосуществимо за реальное время. Данный алгоритм был предложен в 1976 году учеными У.Диффи и М.Хеллманом и используется средством криптографической защиты информации «Тумар».
Функции центра сертификации и распределения ключей выполняет удостоверяющий центр НПК, задачами которого является выпуск регистрационных свидетельств и обеспечение доверия при обмене ключевой информацией.
Доступ в платежную систему
Доступ в платежную систему предоставляется только зарегистрированным пользователям. Система усиленной идентификации удаленных пользователей построена на крипто-протоколе двусторонней идентификации, то есть идентифицируется не только клиент платежной системы, но и центр платежной системы.
Обеспечение целостности и конфиденциальности информации
После того как процедура идентификации завершилась удачно, и клиент платежной системы установил связь, происходит обмен информацией между центром и клиентом платежной системы. Для обеспечения целостности передаваемой по каналу связи информации вычисляется имитовставка (криптографическая контрольная сумма или код аутентификации сообщения), данная процедура осуществляет защиту от умышленного или неумышленного внесения изменений (искажений) в передаваемую информацию. Для обеспечения конфиденциальности производится шифрование хранимой или передаваемой по открытым каналам информации, которое гарантирует защиту от несанкционированного доступа к этой информации и позволяет избежать компрометации информации.
Аутентификация электронных документов
Для решения вопроса аутентификации электронных документов применяется механизм электронной цифровой подписи (ЭЦП), который реализован на базе асимметричного криптографического алгоритма Эль-Гамаля с применением функции хеширования. Основной особенностью ЭЦП является тот факт, что поставить такую подпись может только один пользователь — автор этого документа, имеющий секретный ключ. Осуществить же проверку целостности, подлинности и авторства документа (аутентифицировать) может любой пользователь, имеющий регистрационное свидетельство автора этого документа. Данный механизм позволяет полностью заменить бумажный документооборот электронным, а также разрешать любые спорные ситуации, связанные с их аутентификацией.
Обеспечение целостности ядра системы и организация парольного доступа в приложениях
Для защиты от случайного или злоумышленного изменения ядра системы, состоящего из выполнимых модулей терминальной системы и системы криптографической защиты, производиться вычисление имитовставок на каждый выполняемый модуль. Это делается для того, чтобы избежать случаев порчи или внесения программных закладок вирусами или злоумышленниками.
Используемые стандарты
Используемые алгоритмы шифрования реализованы в соответствии с международным стандартом ГОСТ 28147-89 «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
Процедуры формирования и проверки электронной цифровой подписи выполнены в соответствии с международными стандартами ГОСТ 34.310-2004 «Криптографическая защита информации. Процедуры выработки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и ГОСТ 34.311-2004 «Криптографическая защита информации. Функция хеширования». Регистрационные свидетельства, выпущенные Удостоверяющим Центром, соответствуют рекомендациям Х.509 v.3, RFC 5280 «Certificate and Certificate Revocation List (CRL) Profile» и RFC 3739 «Qualified Certificates Profile».