Термин: HSM (Hardware Security Module)
Термин ATM: Термин: HSM (Hardware Security Module).
HSM — Hardware Security Module
Определение
HSM (Hardware Security Module, аппаратный модуль безопасности) — физическое вычислительное устройство, специально разработанное для:
- Безопасного хранения криптографических ключей
- Выполнения криптографических операций (шифрование, дешифрование, подпись, верификация)
- Защиты ключей от извлечения: при попытке физического вскрытия — самоуничтожение ключей (tamper-response)
Применение в ATM-экосистеме
| Место | Роль HSM |
|---|---|
| ATM (EPP) | Secure PIN entry device: формирует и шифрует PIN block; называть его HSM корректно только если документация устройства так классифицирует модуль |
| Процессинговый центр | Платежный HSM обрабатывает PIN block, key translation, MAC, EMV cryptogram operations |
| Key Management | Хранит LMK, шифрует рабочие ключи (ZPK, ZAK, ZEK) |
Стандарты и сертификация
| Стандарт | Описание |
|---|---|
| PCI PTS HSM | Стандарт PCI SSC для платежных HSM; актуальная ветка v5.0 опубликована в 2026 |
| ISO 13491 | Secure cryptographic devices для retail financial services |
| FIPS 140-2 / 140-3 | Общая сертификация криптомодулей; применимость зависит от требований банка/регулятора |
| ГОСТ Р 34.12 | Алгоритм “Кузнечик”; применимость к HSM зависит от российского сертификационного контекста |
Популярные HSM для ATM-процессинга
| Производитель | Модель | Особенность |
|---|---|---|
| Thales | payShield 9000, payShield 10K | Де-факто стандарт в платёжной индустрии |
| Utimaco | SecurityServer | Немецкий, популярен в Европе |
| nCipher (Entrust) | nShield | Универсальный |
| Атликс-HSM | — | Российский, ГОСТ, ФСБ-сертификация |
| КриптоПро | КриптоПро HSM | Российский, ГОСТ |
Иерархия ключей (упрощённо)
flowchart TD
LMK["LMK (Local Master Key)<br/>в HSM, никогда не покидает"]
ZMK["ZMK (Zone Master Key)<br/>обменный"]
ZPK["ZPK (Zone PIN Key)<br/>шифрует PIN Block"]
ZAK["ZAK (Zone Auth Key)<br/>MAC сообщений"]
ZEK["ZEK (Zone Encryption Key)<br/>данные"]
LMK --> ZMK
ZMK --> ZPK
ZMK --> ZAK
ZMK --> ZEKГде используется
- ATM-Архитектура-ATM — HSM в нижнем отсеке ATM
- ATM-XFS-CEN — EPP SP (локальный HSM в PIN Pad)
- ATM-IFX-и-другие — Remote Key Loading, TLS
- TERM-pin-block — что шифрует HSM
Источники
- ISO: ISO 13491-1:2024 — Secure cryptographic devices.
- PCI SSC: PCI PTS HSM v5.0.
Ссылаются на эту заметку
Заметка
ATM — база знаний
Заметка
ПО: ACI BASE24 и другие процессинговые платформы
Заметка
Базовая архитектура ATM
Заметка
ПО: OpenWay WAY4
Заметка
Протоколы IFX, OPF, SNMP и другие
Заметка
Производитель ATM: SAGA Systems
Заметка
PCI Standards for ATM
Заметка
PIN Block Formats
Заметка
Сетевая архитектура ATM
Заметка
Глоссарий ATM — индекс терминов
Заметка
Термин: ARQC (Authorization Request Cryptogram)
Заметка
EPP — Encrypting PIN Pad
Заметка
Термин: PCI DSS
Заметка
Термин: PIN Block
Заметка
Термин: RKL (Remote Key Loading)
Заметка
ПО: TranzAxis (Compass Plus)