Добрый день.
Список считывателей, работа которых проверена с УЭК: https://support.cryptopr...iderov-dlja-rboty-s-uehk

Возможность ввода ПИН через pin-pad не поддерживается.

Ридер в случае типичного использования УЭК является прозрачным каналом для передачи команд. Карта работает по защищенному каналу (ЗОС), который устанавливается после взаимной аутентификации карты и терминала, что в целом позволяет исключить MITM в обе стороны.

ПИН передается по ЗОС. До уровня ридера доходит открытая информация либо зашифрованные команды.

Было бы интересно послушать варианты использования ПИН-пад для повышения защищенности существующей схемы. Пока видится два:
1) ПИН вводится на ПИН-пад, передается по незащищенному каналу на сторону криптопровайдера, который устаналивается защищенный канал с картой через ПИН-пад.
2) Провайдер устанавливает защищенный канал с ПИН-падом. ПИН-пад устанавливает защищенный канал с картой (для этого, разумеется, сам ПИН-пад должен уметь выполнять подпись по ГОСТ Р 34.10-2001 и шифрование команд по ГОСТ 28147-89).

Первый пункт можно смело отбросить в силу незащищенности канала между ПИН и провайдером.
Для второго требуются устройства для ввода ПИН с реализованной криптографией и SDK, позволяющем реализовать ЗОС по спецификациям УЭК. К сожалению, избытка таких устройств на рынке что-то не наблюдается.

Данный считыватель согласно своей спецификации поддерживает ввод ПИН в карты стандартов EMV и ISO7816. Поддержки защищенного канала я что-то не вижу. Поддержки криптографических алгоритмов тоже.

Обеспечить иллюзию безопасности, используя подобные средства, очень просто, но делать этого не хочется.

Почитайте про систему ЗОС УЭК (например, вот здесь http://www.slideshare.net/phdays/ss-13376335). Может, ряд вопросов отпадет сам собой.

Еще раз. Для работы SPE необходимо, чтобы карта тоже поддерживала данную технологию. К сожалению, я нигде не видел в спецификациях УЭК подобных пунктов. Речь, конечно, не о платежном приложении, а о базовом ИД-приложении карты, которое хранит ключ электронной подписи. Ридер не может ввести ПИН, пока не установит защищенный канал с картой. Установить защищенный канал можно только после обоюдной аутентификации по отечественным алгоритмам и протоколу, разработанному самими производителями УЭК.


Я все равно не понимаю архитектуры предлагаемого вами решения.
Ввести сразу ПИН в карту (как делает SPE), минуя ЭВМ, мы не можем, т.к. карта поддерживаем ввод ПИН только по шифрованному каналу.
ПИН, вводимый через защищенную клавиатуру и передаваемый по каким-то сложным протоколам на сторону провайдера, все равно попадет в память в открытом виде для того, чтобы затем быть зашифрованным на ключах ЗОС. Если в вашем предположении злоумышленник уже заразил терминальную систему (поставил туда кейлоггер), что мешает ему же дампить память или, того проще, подменить все библиотеки нашего провайдера своим (или даже просто чем-то фишинговым с аналогичными окнами), который, получив ПИН по защищенному каналу от считывателя, отправит его нарушителю по е-мейлу.

И, конечно, я уж молчу о том, что этот канал не будет защищен сертифицированной криптографией в силу отсутствия считывателей, умеющих выполнять требуемые преобразования. Есть наработки (см. Рутокен PINPad, например), но они не предоставляют на данный момент требуемой функциональности.

Разумеется, если я в чем-то ошибаюсь, можете поправить. В таком случае, улучшения в провайдере, разумеется, будут запланированы. Пока же, повторюсь, все эти модификации будут лишь имитацией реальной защиты. Если вы вводите какие-то чувствительные данные в недоверенную среду (потенциально зараженную трояном или кейлоггером), мало готовых решений, которые смогут вас обезопасить от каких-либо рисков.