A feladat
A 2020. márciusában elindult Azonnali Fizetési Rendszer (AFR) a hazai bankszektor egyik legnagyobb horderejű fejleménye, melynek segítségévek a nap 24 órájában néhány másodperc alatt lebonyolíthatóvá váltak a fizetések a magyarországi fizetési számlák között. Informatikai szempontból a rendszer megvalósítása számos komoly kihívást állított a szakemberek elé, ezek közül rövid esettanulmányunkban most egyetlen részterülettel foglalkozunk: a rendszer résztvevői közötti adatok digitális aláírásával.
Az AFR működése során az adott fizetési tranzakcióban érintett küldő és fogadó kereskedelmi bankok a GIRO Zrt. központi rendszerével kommunikálnak, egy átutalás megvalósulásához jó pár üzenetváltás szükséges. A GIRO és a bankok közötti adatkapcsolatban minden üzenet digitálisan aláírásra kerül, ami az illettéktelen módosítások ellen véd és azonosítja a küldő felet is. A fogadó fél a feladó tanúsítványának ellenőrzésével és az aláírt üzenet által biztos lehet benne, hogy az üzenetet valóban az küldte, aki állítja ezt magáról és az üzenet is sértetlen. A digitális aláírás, mint minden kriptográfiai művelet, számításigényes, több rendelkezésre álló erőforrás szükséges a megvalósításához és az AFR esetében igen nagyszámú titkosított vagy aláírt üzenetről beszélünk. Ráadásul az AFR rendkívül kényes a késleltetésre, hiszen a teljes fizetési műveletnek 5 másodpercbe bele kell férnie az összes üzenettel és minden érintett összes háttérrendszeri feldolgozásával együtt.
Megoldás IBM Datapower appliance-szel
Az AFR a „PKCS#7” nevű nyilvános kulcsú aláírási szabványt alkalmazza. Az aláírás és hitelesítés műveletének ezen szabvány előírásai szerinti megvalósítása ugyan egyedi szoftverfejlesztéssel is megvalósítható lett volna (amihez elérhetők open source kriptográfiai programozói könyvtárak is), azonban e helyett létezik egy sokkal egyszerűbb és kockázatmentesebb megoldás: egy céleszköz alkalmazása.
Az IBM Datapower egy kifejezetten integrációs és biztonsági gateway funkcionalitású céleszköz (appliance). „Dobozos” képességként támogatja a GIRO által előírt PKCS#7 szabványt (sok más kriptográfiai és egyéb szabvány mellett). Az Intalion egy jelentős méretű hazai banknál oldotta meg az IBM Datapower segítségével az AFR digitális aláírási feladatait. A megoldás előnyei:
- performancia: a célhardvernek köszönhetően az eszköz könnyedén elbánik a bank teljes azonnali fizetési forgalma által generált, másodpercenként sokszáz db-os üzenetmennyiséggel. Ráadásul a feldolgozás egy szoftveres megoldásnál jóval kisebb késleltetést ad hozzá az üzenettovábbítási időhöz. Emellett a teljesítményigényes kriptográfiai műveletek elvégzése nem az üzleti rendszerben jelentkezik, tehermentesítve azt (ezáltal akár hardver erőforrás és licencköltség is megtakarítható.)
- gyors használatba vétel: a megoldás nem igényelt hosszadalmas fejlesztést, csak konfigurálást;
- biztonság: a célhardveren egy speciális firmware fut, mely jóval védettebb a biztonsági kockázatoktól, mint bármely általános operációs rendszer és software stack;
- megbízhatóság: az éles környezetben több eszközzel biztosítható a magas rendelkezésre állás;
- több forma-változat: az éles környezet nagy teljesítményű fizikai appliance-ei mellett a teszt környezetre alacsonyabb költségű „virtuális” appliance-et alkalmaztunk, amely firmware szinten teljesen azonos a fizikai eszközzel, de egy meglévő szerveren, szabványos virtuális gépként képes futni (pl. VMWare);
- könnyű üzemeltethetőség: nem szükséges összetett futtatókörnyezetet fenntartani és annak verzió-függőségeivel foglalkozni, mint egy fejlesztett szoftvernél. Az appliance egyetlen egységes firmware image-vel rendelkezik, mely nagyon egyszerűen frissíthető a gyártó követés keretében elérhető új firmware változatokkal.
Eredmények és további lehetőségek
A dobozos megoldásnak köszönhetően az Intalion egy jelentős méretű hazai banknál rendkívül rövid idő alatt, az AFR igen szűk eredeti határidejét is tartva oldotta meg az AFR digitális aláírási feladatait. A Bank sikerrel és időben teljesítette az AFR nyilvános tesztüzemét majd természetesen az élesítést is.
A projekt során a fő fókusz az AFR technikai igényeinek teljesítése volt. Ugyanakkor a Datapower jóval több, mint egy digitalis aláíró céleszköz. Segítségével megvalósítható számos üzenetfeldolgozási és integrációs feladat (pl. üzenetek séma-validálása, transzformációja, adatdúsítása vagy éppen átviteli protokoll-konverzió). Ezek a lehetőségek a Bank rendelkezésére állnak és jövőbeli feladatoknál lehet rájuk építeni.
