Bankian

Безопасность при использовании пластиковых карт

Банковское дело » Проблемы информационной безопасности банков » Безопасность при использовании пластиковых карт

Страница 7

В связи с этим предположением возникают новые типы угроз для терминала. Они связаны с раскрытием секретного ключа, который находится в терминале POS и служит для шифрования информации, передаваемой терминалом в банк продавца. Угроза вскрытия ключа терминала весьма реальна, так как они устанавливаются в таких неохраняемых местах как магазины, автозаправочные станции и пр. Эти угрозы получили следующие названия: [2, с.391]

1. «Обратное трассирование». Сущность этой угрозы заключается в том, что если злоумышленник получит ключ шифрования, то он будет пытаться восстановить значения PIN, использованные в предыдущих транзакциях.

2. «Прямое трассирование». Сущность этой угрозы заключается в том, что если злоумышленник получит ключ шифрования, то он будет пытаться восстановить значения PIN, используемые в транзакциях, которые произойдут после того, как он получит ключ.

Для защиты от этих угроз были предложены три метода: метод ключа транзакции, метод выведенного (полученного) ключа и метод открытых ключей. Сущность первых двух заключается в том, что они предусматривают изменение ключа шифрования передаваемых данных для каждой транзакции.

Метод ключа транзакции был впервые предложен в 1983 году. Информация, передаваемая между каждым терминалом и каждым эмитентом карточек, должна быть зашифрована на уникальном ключе, который, в свою очередь, должен изменяться от транзакции к транзакции. Однако применение этого метода для большого количества терминалов и эмитентов карточек делает затруднительным управление ключами. Поэтому, в подавляющем большинстве практических приложений, он применяется не к связи «терминал-эмитент карточек», а к связи «терминал-получатель», так как каждый получатель имеет ограниченный набор обслуживаемых терминалов. При генерации нового ключа используются следующие составляющие: однонаправленная функция от значения предыдущего ключа, содержание транзакции и информация, полученная с карточки. При этом подразумевается, что предыдущая транзакция завершилась успешно. Такая схема обеспечивает защиту как от «обратного трассирования», так и от «прямого трассирования». Раскрытие одного ключа не дает возможности злоумышленнику вскрыть все предыдущие или все последующие транзакции.

Метод предусматривает также раздельную генерацию двух ключей - одного для шифрования PIN, другого для получения MAC. Это необходимо для разделения функций банков продавца и получателя. Недостатком схемы является ее сложность.

Метод выведенного ключа более прост в использовании, однако, и менее надежен. Он обеспечивает смену ключа при каждой транзакции независимо от ее содержания. Для генерации ключа здесь используется однонаправленная функция от текущего значения ключа и некоторое случайное значение. Метод обеспечивает защиту только от «обратного трассирования».

Применение открытых ключей позволяет надежно защититься от любых видов трассирования и обеспечить надежное шифрование передаваемой информации. В этом методе терминал РОЗ снабжается секретным ключом, на котором шифруется запрос к банку продавца.

Этот ключ генерируется при инициализации терминала. После генерации секретного ключа терминал посылает связанный с ним открытый ключ на компьютер продавца. Обмен между участниками взаимодействия осуществляется с использованием открытого ключа каждого из них. Подтверждение подлинности участников осуществляется специальным центром регистрации ключей с использованием своей пары открытого и закрытого ключей. Недостатком метода является его сравнительно малое быстродействие.

Страницы: 2 3 4 5 6 7 

Больше по теме:

Проблемы внедрения электронных систем расчетов в банках
Психологические проблемы: Собственно, в среде банкиров встречаются две крайние точки зрения. Те, кому свойственна первая из них, считают: "Интернет - это опасно, и нам он не нужен". Позиция вторых противоположна: "Интернет ...

Порядок открытия подразделений кредитной организации
Филиалом кредитной организации является ее обособленное подразделение, расположенное вне места нахождения кредитной организации и осуществляющее от ее имени все или часть банковских операций, предусмотренных лицензией Банка России, выданн ...

Банк Японии
Банк Японии был создан в 1882 году. По своему статусу он не административный орган, а акционерная компания, 55% его капитала принадлежит правительству. С точки зрения правительства Японии, Центральный банк страны – лишь одно из средств уп ...