Р 1323565.1.007-2017
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Информационная технология
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Использование алгоритмов блочного шифрования при формировании проверочного параметра платежной карты и проверочного значения PIN
Information technology. Cryptographic data security. Using block encryption algorithms in generation of a payment card verification parameter and PIN verification value
ОКС 35.040
Дата введения 2018-06-01
Предисловие
1 РАЗРАБОТАНЫ Обществом с ограниченной ответственностью "Системы практической безопасности" (ООО "СПБ") совместно с Открытым акционерным обществом "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС") и Обществом с ограниченной ответственностью "КРИПТО-ПРО" (ООО "КРИПТО-ПРО")
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2017 г. N 2015-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
В настоящих рекомендациях рассмотрены алгоритмы формирования значений CVP, который используется для проверки подлинности карты "МИР", и PVV, необходимого для проверки значения PIN при онлайновой аутентификации.
Разработка настоящих рекомендаций вызвана необходимостью внедрения процедур для формирования проверочных параметров карты в платежных приложениях.
Примечание - Настоящие рекомендации дополнены приложением А.
1 Область применения
Описанные в настоящих рекомендациях алгоритмы рекомендуется применять при формировании проверочного параметра платежной карты (CVP) и проверочного значения PIN (PVV) в платежной системе "МИР".
CVP формируется при эмиссии карты. Проверка CVP выполняется при проведении транзакций по магнитной полосе, проверке чиповых карт в моде магнитной полосы (iCVP) и/или в транзакциях электронной коммерции путем сравнения сформированного и переданного значения CVP (CVP2).
PVV формируется при эмиссии карты. При онлайновой проверки PIN, во время получения эмитентом операции, в которой присутствует криптограмма PIN, выполняется его проверка путем формирования и сравнения PVV на основании данных, считанных с карты "МИР" (,
), и ключа на хосте эмитента.
2 Нормативные ссылки
В настоящих рекомендациях использована нормативная ссылка на следующий стандарт:
ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Термины, определения и обозначения
3.1 Термины и определения
В настоящих рекомендациях применены следующие термины с соответствующими определениями:
3.1.1 эмитент: Банк, выпустивший платежную карту.
3.1.2 держатель карты: Лицо, на имя которого выпущена платежная карта.
3.2 Обозначения
В настоящих рекомендациях используют следующие обозначения:
- конечномерное векторное пространство размерности | |
- конкатенация строк, т.е. если | |
- покоординатное сложение по модулю 2; | |
0...0 | - дополнение десятичными нулями последовательности до тех пор, пока ее длина не станет равной 16. |
- ключ карты для вычисления CVP при эмиссии карт и проверке транзакций по магнитной полосе и в электронной коммерции. Ключ генерируется в HSM с помощью ФДСЧ и хранится в зашифрованном виде в базе данных (БД) хоста эмитента. Длина значения равна 32 байтам; | |
CVP | - проверочный параметр платежной карты (Card Verification Parameter). Длина значения равна трем десятичным цифрам; |
CVP2 | - проверочный параметр карты, который размещен на оборотной стороне карты и использован для выполнения платежных операций без предъявления карты (вычисляется аналогично вычислению CVP). Длина значения равна трем десятичным цифрам; |
| - функция зашифрования; |
iCVP | - проверочный параметр карты, который размещен на чипе карты в составе track2 Equivalent Data и использован при проведении транзакций по чиповым картам в моде магнитной полосы (вычисляется аналогично вычислению CVP). Длина значения равна трем десятичным цифрам; |
- номер карты (Primary Account Number). Длина значения равна от 12 до 20 десятичных цифр; | |
| - последние 11 десятичных цифр |
| - первые 16 десятичных цифр |
PIN | - персональный идентификационный номер (Personal identification number). Длина значения равна от 4 до 12 десятичных цифр; |
| - четыре первые десятичные цифры PIN; |
- ключ карты для вычисления PVV при эмиссии карт и проверке транзакций по магнитной полосе. Ключ генерируется в HSM с помощью ФДСЧ и хранится в зашифрованном виде в БД хоста эмитента. Длина значения равна 32 байтам; | |
| - индекс ключа проверки PIN (PIN verification key index). Цифра в интервале 0...6; |
PVV | - проверочное значение PIN (PIN Verification Value). Длина значения равна четырем десятичным цифрам; |
- сервисный код (Service code). Длина значения равна трем десятичным цифрам; | |
| - срок действия карты. Длина значения равна четырем десятичным цифрам, причем первые две цифры соответствуют году, а две последние - месяцу. |
, 
, 
, 
, то 
4 Описание алгоритмов
Возможные значения аргументов функций в представленных алгоритмах ограничены допустимостью их использования в качестве входных параметров преобразований.
4.1 Алгоритм формирования проверочного параметра карты [CVP (iCVP, CVP2)]
Для получения значения CVP (iCVP, CVP2) изначально вычисляют значение двух блоков:
- первый блок состоит из 16 шестнадцатеричных символов, который формируется по правилу
;
- второй блок также состоит из 16 шестнадцатеричных символов и формируется по правилу:
, если длина менее или равна 16.
Если длина более 16, то:
(не вошедшие в первый блок цифры 
),
где принимает значения 000 (для вычисления значения CVP2), 999 (для вычисления значения iCVP) или одно из значений, приведенных в таблице 1 (для вычисления значения CVP).
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно