Термин: RKL (Remote Key Loading)
Термин ATM: Термин: RKL (Remote Key Loading).
RKL — Remote Key Loading (Дистанционная загрузка ключей)
Определение
RKL (Remote Key Loading) — процедура дистанционной загрузки криптографических ключей в EPP банкомата без физического визита инженера. Альтернатива традиционной Key Ceremony (физическое присутствие двух ответственных сотрудников).
Зачем нужен RKL
| Традиционный подход | RKL |
|---|---|
| Инженер физически приезжает с ключевой дискетой/смарт-картой | Ключи загружаются по защищённому каналу |
| Требуется две независимые персоны (dual control) | Dual control через программный механизм |
| Дорого при большом парке ATM | Масштабируется на тысячи ATM |
| Долго (несколько дней при замене всех ключей) | Часы или минуты |
Стандарты RKL
| Стандарт | Описание |
|---|---|
| ANSI X9.24 Part 2 | Asymmetric key distribution (RSA-based RKL) |
| TR-34 | Key transport using asymmetric cryptography — основной стандарт RKL |
| TR-31 | Key block format (защита ключей при передаче) |
| PCI PTS POI | Требования к PIN-устройствам при RKL |
Механизм TR-34 RKL (упрощённо)
sequenceDiagram
participant KDH as Key Distribution Host\n(Bank HSM + KMS)
participant ATM_EPP as ATM EPP\n(TPP - Token Proxy Point)
Note over KDH,ATM_EPP: Предварительно:\nEPP имеет сертификат устройства (подписан CA)
KDH->>ATM_EPP: 1. Запрос сертификата EPP
ATM_EPP-->>KDH: 2. EPP Certificate (публичный ключ EPP)
KDH->>KDH: 3. Верифицировать сертификат EPP (через CA)
KDH->>KDH: 4. Зашифровать ZPK под\nпубличным ключом EPP
KDH->>KDH: 5. Подписать сообщение\nпривватным ключом KDH
KDH->>ATM_EPP: 6. Encrypted + Signed Key Block\n(TR-34 message)
ATM_EPP->>ATM_EPP: 7. Верифицировать подпись KDH
ATM_EPP->>ATM_EPP: 8. Дешифровать ZPK\nнижним приватным ключом EPP
ATM_EPP->>ATM_EPP: 9. Сохранить ZPK в защищённой памяти
ATM_EPP-->>KDH: 10. Подтверждение OKИерархия ключей при RKL
flowchart TD
IK["Initial Key (IK)<br/>загружается физически при производстве EPP"]
TK["Transport Key (TK)<br/>временный ключ для сессии RKL"]
ZPK["ZPK (Zone PIN Key)<br/>рабочий ключ шифрования PIN"]
ZAK["ZAK (Zone Auth Key)<br/>ключ MAC"]
ZEK["ZEK (Zone Encryption Key)<br/>ключ данных"]
IK --> TK
TK --> ZPK
TK --> ZAK
TK --> ZEKРеализации RKL
| Система | Описание |
|---|---|
| NCR RKL | Встроен в APTRA / ATM управление NCR |
| DN AllConnect | Diebold Nixdorf RKL через AllConnect |
| WebIUS | Wincor — инициация RKL через Web-интерфейс |
| Thales payShield | HSM с поддержкой TR-34 |
| KAL Kalignite | RKL через Kalignite Enterprise |
Безопасность RKL
- Канал защищён TLS 1.2/1.3 с mutual authentication
- Ключи передаются в формате TR-31 Key Block (метаданные + зашифрованное значение)
- Dual control реализуется программно: два авторизованных офицера подтверждают операцию в KMS
- Все события RKL логируются в HSM audit log (неизменяемый)
Где используется
- ATM-IFX-и-другие — RKL sequence diagram
- ATM-WebIUS — инициация RKL через WebIUS
- TERM-hsm — HSM как источник ключей
- TERM-epp — EPP как получатель ключей
- TERM-pin-block — ZPK используется для PIN Block