Kripto kazino
Torrent Gear
Töleg ulgamlarynda maglumatlary şifrlemek nähili işleýär
Töleg ulgamlary iň duýgur maglumatlar - PAN (kartoçka belgisi), hereket ediş möhleti, CVV/CVC, 3-DS bellikleri, bank rekwizitleri, gapjyk identifikatorlary bilen işleýär. Olaryň syzmagy - jerimeler, banklardan/PSP-den söwdany yzyna almak we göni maliýe ýitgisi. Gorag köp gatlakly gurulýar: kanalda şifrlemek (TLS), ammarda şifrlemek we/ýa-da bellik etmek, açarlary berk dolandyrmak we ygtybarly apparat modullary (HSM). Aşakda - howpsuzlygyň ähli "konweýeri" ýönekeý dilde.
Esasy kerpiçler
Simmetrik kriptografiýa
Algoritmler: AES-GCM/CTR/CBC (de-fakto standart töleglerde - AES-GCM).
Artykmaçlyklary: ýokary tizlik, ykjam açarlar.
Minuslar: açar we IV/nonce barada ygtybarly ylalaşmaly.
Asimmetrik kriptografiýa
Algoritmler: RSA-2048/3072, ECC (P-256/384, Ed25519).
Ulanyş: Açarlary, gollary, PKI, TLS-şahadatnamalary alyş-çalyş/gaplamak.
Artykmaçlyklary: öňünden umumy syr talap etmeýär.
Minuslar: simmetrik şifrlemekden has haýal.
Идея Perfect Forward Secrecy (PFS)
Sessiýa açarlary ECDHE effemer açarlary bilen ylalaşylýar. Serweriň şahsy açary belli bir wagt öçürilse-de, öňki sessiýalar çözülmez.
Ýolda şifrlemek: TLS 1. 2/1. 3
1. El çarpmak (TLS handshake): Müşderi we serwer wersiýalary/şifrleri ylalaşýarlar, serwer sertifikaty (PKI) görkezýär, efemer açarlaryny çalyşýarlar (ECDHE) → sessiýa simmetrik açary döreýär.
2. Maglumatlar: AEAD-re modeimlerde (AES-GCM/ChaCha20-Poly1305) autentifikasiýa bilen iberilýär.
3. Optimizasiýa: TLS 1. 3 tapgyrlary gysgaldýar, resumption-y goldaýar; 0-RTT seresaplylyk bilen ulanýarlar (diňe idempotent haýyşlary).
4. Tölegler üçin tejribe: SSLv3/TLS1 gadagan edýäris. 0/1. 1, TLS1 goşýarys. 2/1. 3, OCSP stapling, HSTS, berk howpsuzlyk sözbaşylary.
"Ammarda" şifrlemek: at rest
Wariantlar
Tom/DB (TDE) doly şifrlemek: çalt girizilýär, göterijä "sowuk" girmekden goraýar, ýöne bozulan programma arkaly syzdyrylmaýar.
Bit/meýdan derejesi (FLE): Aýry-aýry meýdanlar (PAN, IBAN) şifrlenýär. Granulýar, ýöne durmuşa geçirmekde we indekslemekde has kyn.
Format saklaýan şifrlemek (FPE): "16 san ýaly 16 san" görnüşi zerur bolanda peýdalydyr.
Tokenizasiýa: PAN token bilen çalşyrylýar (manysyz setir); bu PAN token vault-da güýçlendirilen gorag astynda saklanýar. Töleg/yzyna gaýtarylanda → söwda belligi "çig" kartlary gaýtadan işlemeýär.
Esasy pikir
Saklamakda "haýsy algoritm" däl-de, açarlar nirede ýerleşýär we kimiň detokenasiýa edip biljekdigi has möhümdir. Şonuň üçin...
Açar dolandyryşy: KMS, HSM we konwertler
Açar iýerarhiýasy (envelope encryption)
Root/KEK (Key Encryption Key): ýokary derejeli gorag, HSM-de saklanýar we ýerine ýetirilýär.
DEK (Data Encryption Key): anyk maglumatlary/partiýany/tablisalary şifrleýär; özi KEK tarapyndan şifrlenendir.
Rotasiýa: KEK/DEK-iň meýilleşdirilen we meýilleşdirilmedik (hadysada) rotasiýasynyň düzgünleri; açarlaryň wersiýasy şifrlenen tekstiň meta-maglumatlarynda görkezilýär.
HSM (Hardware Security Module)
Öz içinde açarlar bilen amallary saklaýan we ýerine ýetirýän, kepillendirilen enjam moduly (mysal üçin FIPS 140-2/3).
Şahsy açarlary çykarmaýar, ulanyş çäklerini/syýasatyny, auditini goldaýar.
Şular üçin ulanylýar: açarlary döretmek, DEK gaplamak, serwer açarlaryny 3-DS, EMV açarlary, PIN amallary, habarlara gol çekmek.
KMS
Açarlar, wersiýalaşdyrmak, elýeterlilik, magazinesurnallar we API syýasatyny merkezleşdirýär.
HSM bilen bilelikde envelope encryption we awtomatiki rotasiýa amala aşyrýar.
Kart standartlary we pudak aýratynlyklary
PCI DSS (we minimal logika)
Esasy pikir: CVV saklamaň, PAN (skope) bejeriş zolagyny azaltyň.
Mümkin bolan ýerlerde - Hosted Fields/Iframe PSP → -a PAN girişi beriň.
Loglar, bekaplar, dampalar - önümler bilen birmeňzeş düzgünler: maskalanmak, şifrlemek, retensiýa.
EMV, PIN и POS
EMV çip/kontakt-less: kart/terminal derejesinde kriptogrammalar, mag zolagynyň klonlanmagyndan gorag.
PIN-bloklar we ISO 9564: PIN pin-pedden prosessinge çenli şifrlenýär, HSM (pin-geçirimler, esasy zolaklar) bilen işleýär.
DUKPT (Derived Unique Key Per Transaction): POS-da her bir töleg BDK-dan gelip çykýan özboluşly açar bilen şifrlenýär → bir habaryň eglişigi beýlekileri çekmeýär.
PCI P2PE: pin-padden şifrlemek üpjün edijisine çenli tassyklanan "ahyrky" şifrlemek shemasy.
3-D Secure (2. x)
Kartyň eýesini tassyklamak → az frod/çarjbekler.
Kriptografiýa habarlara gol çekmek, ACS/DS/3DS Server açarlaryny alyş-çalyş etmek üçin ulanylýar; Şahsy açarlar adatça HSM-de.
Maglumatlary goramagyň nusgawy arhitekturalary
A warianty (PSP bilen onlaýn söwda):- Brauzer → HTTPS → Hosted Fields PSP (PAN söwda nokadyna girmeýär).
- PSP töleg belligini yzyna gaýtarýar.
- Söwdanyň DB-sinde soňky 4 sany we BIN belgi saklanýar (UX we düzgünler üçin).
- Yzyna gaýtarmak/gaýtalamak - diňe token boýunça.
- Syrlar/açarlar - KMS-de, hususy açarlar TLS/3-DS - HSM-de.
- API programmasy - TLS/mTLS.
- Duýgur meýdanlar - FLE/FPE ýa-da tokenizasiýa; vault izolirlendi.
- Detokenizasiýa elýeterliligi - diňe "dört gözli" hyzmat rollary boýunça, operasiýa - HSM arkaly.
- Pin-pad → DUKPT/P2PE → prosessing.
- Terminal ýüklemek açarlary - ygtybarly esasy injektorlar/HSM arkaly.
- Engineeringenerçilik, anti-tamper gorag enjamlary.
Aýlaw, audit we hadysalar
Açarlaryň aýlanmagy: meýilleşdirilen (X aýda bir gezek) we waka boýunça (eglişik). Ulanyjy maglumatlaryny açmazdan täze KEK-de DEK rewrap.
Üýtgemeýän magazinesurnallar: detokenizasiýa/açarlar kime we haçan elýeterli boldy; loglaryň goly.
Runbook eglişik: derrew revoke/rotate, şahadatnamalaryň gaýtadan çykarylmagy, API açarlarynyň bloky, hyzmatdaşlara habar bermek, retrospektiv.
Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly
1. "Biz DB-ni şifrleýäris, şonuň üçin hemme zat gowy".
Ýok. Ylalaşylan programma maglumatlary açyk okaýar. Tokenizasiýa/FLE we iň pes hukuklar ýörelgesi gerek.
2. CVV saklamak.
Mümkin däl. CVV hiç haçan, hatda şifrlenen görnüşde hem saklanmaýar (PCI DSS boýunça).
3. Maglumatlaryň gapdalyndaky açarlar.
Mümkin däl. Açarlar - KMS/HSM-de, giriş - rollar boýunça, iň az artykmaçlyklar, aýry-aýry hasaplar.
4. Aýlanyş/wersiýa ýok.
Açarlary elmydama wersiýa ediň, 'key _ version' meta maglumatlaryňyzda saklaň.
5. TLS diňe perimetrde.
CDN/WAF üçin we data-meýilnamanyň içinde şifrläň (hyzmat → hyzmat, webhuklar).
6. "Görnüş" tokenizasiýasy.
Eger islendik hyzmat detokenize edip bilse, bu gorag däl. Dar tegelege çenli çäklendiriň we jaňlary barlaň.
7. Hasaba alynmadyk yzlar/analitik ýüklemeler.
Şifrlemek we maskalaşdyrmak bekaplara, snapshotlara, BI-vitrinlere, girelgelere degişli bolmalydyr.
Giriş barlagy (gysgaça)
Kanal
TLS 1. 2/1. 3, PFS, mTLS içerki we webhuklar üçin, HSTS, berk howpsuzlyk-başlyklar.
Saklamak
PAN tokenizasiýasy, CVV saklamagy gadagan etmek.
Möhüm ýerler üçin FLE/FPE; TDE esasy gatlak hökmünde.
Açarlar
KMS + HSM, envelope encryption (KEK/DEK), rotasiýa/wersiýa, üýtgemeýän magazinesurnallar.
Arhitektura
Hosted Fields/SDK PSP, PCI zonasyny azaltmak.
Rollary/torlary bölmek, zero trust, syrlar - diňe gizlin dolandyryjy arkaly.
Amallar
Pentest/Red Team perimetri we iş logikasy boýunça.
DLP/CTI-drenaj gözegçiligi, işgärleri taýýarlamak.
Runbook на compromise: revoke/rotate/notify.
Mini-FAQ
PAN üçin has gowy zat: şifrlemek ýa-da tokenizasiýa?
Prod - tokenizasiýa (iň az skope). Vault - HSM/KMS bilen şifrlemek.
Töleg domeni üçin EV şahadatnamasy gerekmi?
Hökmany däl. Has möhümi dogry TLS-profil, mTLS, HSM açarlary we düzgün-nyzam.
TLS 1-de 0-RTT ulanyp bolarmy? 3 tölegler üçin?
Demokratik GET üçin - hawa. POST üçin öçürmek ýa-da çäklendirmek has gowudyr.
"Soňky 4" we BIN nädip saklanmaly?
PAN-dan aýratyn; dogry izolýasiýa edilende bu duýgur maglumatlar däl, ýöne/BI ýazgylarynda gizlenmegi saklaň.
Töleg ulgamlarynda şifrlemek bir tumbler däl-de, ekosistemadyr: kanalda TLS/PFS, tokenizasiýa we/ýa-da FLE saklamak, KMS + HSM arkaly berk açar dolandyryşy, pudak standartlary (PCI DSS, EMV, 3-DS), aýlanyş we audit. Şeýle köp gatlakly binagärlik kartoçka maglumatlarynyň syzmagyny gaty ähtimal edýär, auditleriň geçirilmegini aňsatlaşdyrýar we iň esasysy - banklaryň, töleg hyzmatdaşlarynyň we ulanyjylaryň ynamyny saklaýar.