Как «Система быстрых платежей» может ослабить зависимость от западных технологий шифрования

Система быстрых платежей Банка России может помочь частично решить еще одну интересную задачу — снизить зависимость российской платежной системы от западных технологий и алгоритмов шифрования. Эту особенность СБП редко замечают за более явным снижением стоимости эквайринга.

Сегодня в России иностранные криптоалгоритмы работают в ключевых цепочках безналичных транзакций: в модулях HSM в банкоматах и терминалах, в чипах банковских карт. Устройства и программы для шифрования производятся в США, Великобритании и других странах, что не может не сказываться на автономности российской платежной системы.

Вопрос массового перехода на отечественное шифрование, основанное на ГОСТе, очень непростой. Процессом перехода на российский криптоалгоритм шифрования занимается НСПК. По пессимистичным прогнозам, это может занять до 10 лет.

В «Пятёрочке» протестировали новую технологию оплаты по QR-коду, декабрь 2019 пресс-материалы X5 Retail Group
В «Пятёрочке» протестировали новую технологию оплаты по QR-коду, декабрь 2019 пресс-материалы X5 Retail Group

Как СБП работает в обход иностранных криптоалгоритмов: в условном кафе или магазине для оплаты товара СБП генерирует QR-код. Вместо привычной оплаты, в которой участвуют карта с чипом и терминал, работают QR-код и банковское приложение в смартфоне клиента.

Сейчас оплату по QR-коду поддерживают 20 участников (банков) СБП. Настоящий прорыв может произойти, когда в игру в ближайшее время вступит Сбербанк.

Автор — исполнительный директор (CEO) финтех-компании Ckassa.

1616
12 комментариев

"Западные технологии шифрования" - это технологии шифрования, основанные на годах открытых научных исследований, с открытым исходным кодом реализаций, с хорошими гарантиями того, что в них нет бэкдоров. А какие гарантии дает Сбер?

4
Ответить

На самом деле нет. Просто статья написана криво. В индустрии платёжных карт используются проприетарные железки, с нифига не открытым исходным кодом прошивок. И весьма убогим симметричным 3DES шифрованием. RSA там в большей части мечт и не пахло.
Гарантий отсутствия бэкдоров никаких.

Поэтому убрать шифрование с терминала это скорее хорошо. Но автор не договаривает, что подтверждение на телефоне основано на такой же проприетарной ОС. А про тот ад, который обязаны поддержать на бэкенде, автор видимо не в курсе. А там проприетарные железки, но уже отечественные.

В общем хрен редьки не слаще.

Ответить

кэшбек за покупку кофе

Ответить

Я бы сказал что переход на отечественное шифрование ослабит само шифрование

1
Ответить

Комментарий недоступен

Ответить

Связь банков с ЦБ идет по выделенным приватным каналам (не связанным с интернет). Там используется ГОСТ. Доступ к этим каналам затруднен. Между терминалами и связью банк - торговая точка никакой ГОСТ не используется. Это дорого и сложно. Спецы дорогие, их мало, клиентам банков эта головная боль ваще не нужна.

1
Ответить

Думаю, Вы правы. При работе мерчанта в системе СБП через одного из крупных банков, например, для обмена между этим банком и мерчантом используются как раз таки сертификаты на основе западных алгоритмов.

Ответить