บ้าน Securitywatch Rsac: การรักษาความปลอดภัยโดยใช้ชิปนำเสนอสิ่งที่ดีที่สุดสำหรับเจ้าชู้

Rsac: การรักษาความปลอดภัยโดยใช้ชิปนำเสนอสิ่งที่ดีที่สุดสำหรับเจ้าชู้

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
Anonim

Cryptography Research ที่ซานฟรานซิสโกเป็นใบอนุญาตที่ใหญ่เป็นอันดับสองของเทคโนโลยีเซมิคอนดักเตอร์หลังจาก ARM หากอุปกรณ์มีฮาร์ดแวร์ความปลอดภัยในตัวโอกาสที่ดีก็คือมีชิป CRI ที่เกี่ยวข้อง ในการประชุม RSA ที่ซานฟรานซิสโก Paul Kocher ประธาน บริษัท และหัวหน้านักวิทยาศาสตร์ให้การศึกษาแก่ฉันเกี่ยวกับสาเหตุที่การเปลี่ยนมาใช้บัตรชิปห่างจากบัตรเครดิตแถบแม่เหล็กเป็นสิ่งที่ดีจริงๆ

"คุณเห็นเทคโนโลยีเดียวกันนี้บนชิปการ์ดซิมการ์ดในโทรศัพท์ของคุณการ์ดการเข้าถึงทั่วไปที่ออกโดยรัฐบาลและอื่น ๆ " Kocher กล่าว "ภายใต้เป็นไมโครโปรเซสเซอร์ขนาดเล็ก, หน่วยความจำที่เขียนซ้ำได้, ROM, RAM ขนาดเล็ก, ตัวเร่งความเร็ว crypto, คุณสมบัติความปลอดภัยบางอย่างขนาดและความเร็วแตกต่างกันไปแน่นอน"

“ จากมุมมองด้านความปลอดภัยบัตรชิปคือการปรับปรุงกระโดดควอนตัมเหนือแถบแม่เหล็ก” Kocher กล่าว “ มันก็เหมือนกับการเปรียบเทียบจัมโบ้เจ็ทกับม้าและบั๊กกี้ถ้าเราเปลี่ยนไปใช้ชิปการ์ดแล้วการละเมิดเป้าหมายจะไม่มีความสำคัญคนเลวอาจขโมยรหัส หนึ่ง ธุรกรรม แต่นั่นไม่ยอมให้พวกเขา ทำธุรกรรมในอนาคตด้วยข้อมูลที่พวกเขาจับพวกเขาสามารถทำสำเนาบัตรแถบแม่เหล็กที่ถูกบุกรุกได้อย่างสมบูรณ์ "

“ ชิปในแอพพลิเคชั่นตลาดมวลชนมีความปลอดภัยสูงขึ้นอย่างมากต่อดอลลาร์เมื่อเทียบกับสิ่งอื่นใด” Kocher กล่าว “ ชิปทำงานในช่วง 25 เซ็นต์ต่อดอลลาร์ผู้ขายส่วนใหญ่อยู่ที่ประมาณสิบรุ่นมันมีการทำซ้ำห้าหรือหกครั้งการออกแบบที่สำคัญบางอย่าง แต่ตอนนี้พวกเขาค่อนข้างพิเศษ”

สมาร์ทการ์ดกำลังมา

“ ปัญหาบางอย่างจะได้รับการแก้ไขเมื่อสหรัฐฯไปถึงสมาร์ทการ์ดในปีหน้า” Kocher กล่าว "ตอนนี้คุณมีปัญหาที่ยุโรปใช้พวกเขาและเราไม่ได้ดังนั้นคุณสามารถใช้แถบแถบที่นี่เราเป็นจุดโจมตีของระบบยุโรปหากคุณขโมยการ์ดที่นั่นพวกเขาไม่ได้มี การควบคุมความเสี่ยงแบบเดียวกัน "

“ ในยุโรปความปลอดภัยขึ้นอยู่กับชิป แต่ที่นี่มันใช้ PIN” เขากล่าวต่อ "ในยุโรป PIN มักจะไม่ถูกเข้ารหัสดังนั้นคนเลวสามารถรับ PIN และใช้งานได้ที่นี่เมื่อเราซิงค์กันทั้งสองฝ่ายจะได้รับการพัฒนาที่ยิ่งใหญ่สหรัฐฯเป็นตลาดยักษ์เพียงแห่งเดียวที่ยังคงใช้แถบแม่เหล็กยุค 1960 เทคโนโลยี."

แก้ไขปัญหาทั้งหมดไม่ได้

"การฉ้อโกงทุกประเภทที่เกี่ยวข้องกับบัตรปลอมแปลงซึ่งจะหายไปเมื่อสหรัฐฯใช้บัตรชิป" Kocher กล่าว "สองหมวดหมู่อื่นจะไม่โจรกรรมทางกายภาพจะไม่หยุดแน่นอนแม้ว่าการมี PIN จะช่วยในการทำธุรกรรมที่จำเป็นต้องใช้แน่นอนอีกประเภทหนึ่งเป็นธุรกรรมออนไลน์ที่ไม่มีบัตร"

Kocher ตั้งข้อสังเกตว่ามีความเป็นไปได้สำหรับการรักษาความปลอดภัยการทำธุรกรรมออนไลน์เหล่านั้นอยู่ การ์ดขั้นสูงที่มีจอแสดงผลในตัวสำหรับรหัสความปลอดภัยนั้นมีอยู่ แต่ราคา $ 12 ต่อการ์ดพวกมันแพงเกินไป และการกลั่นกรองการโกงอาจทำได้ค่อนข้างดีเพียงแค่ใช้ข้อมูลที่มีอยู่เกี่ยวกับการทำธุรกรรม "นอกจากนี้ด้วยบัตรชิปผู้ค้าไม่ได้รับข้อมูลที่จำเป็นสำหรับการลอกเลียนแบบ" เขากล่าว "การประนีประนอมโดยผู้ค้าที่เป็นอันตรายไม่ใช่ภัยคุกคามอีกต่อไป"

แน่นอนที่สุด

"ในทุกพื้นที่ที่ความปลอดภัยอยู่ในภาวะวิกฤติ" Kocher กล่าว "ความปลอดภัยของบัตรธนาคารเป็นสิ่งที่แน่นอนที่สุดคุณมีสิ่งที่เป็นรูปธรรมลูกค้าคุ้นเคยกับมันมีความต้องการเปลี่ยนแปลงพฤติกรรมเล็กน้อยและความซับซ้อนสามารถจัดการได้"

"การเปลี่ยนแปลงนี้เกินกำหนดแล้ว" เขากล่าวต่อ "ปัจจุบันธนาคารชดเชยการฉ้อโกงที่หลีกเลี่ยงไม่ได้โดยการสร้างค่าธรรมเนียมแก่พ่อค้าไม่มีแรงจูงใจให้พ่อค้าต้องปรับปรุงเรื่องความปลอดภัยการเปลี่ยนแปลงที่แท้จริงนั้นมาพร้อมกับกฎง่ายๆที่เปลี่ยนความรับผิดหากการซื้อที่ฉ้อโกงทำด้วยบัตรชิปและ ผู้ค้าปลีกไม่สามารถตรวจสอบได้เป็นผู้ค้าปลีกที่จ่ายราคาไม่ใช่ธนาคารขณะนี้ผู้ค้าปลีกมีแรงจูงใจทางการเงินในการตรวจสอบบัตรเครดิตของธนาคารอย่างถูกต้อง "

ในการประชุม RSA ครั้งก่อน Kocher สาธิตเทคนิคการแฮ็กสมาร์ทโฟนโดยการวัดการแผ่รังสี RF ที่ปล่อยออกมา "มีหลายวิธีในการโจมตีสมาร์ทการ์ด" Kocher ยอมรับ "แต่เทคโนโลยีของเราป้องกันการโจมตีแบบใช้พลังงานการโจมตี RF และอื่น ๆ อุปกรณ์เหล่านี้รั่วหากไม่ได้รับการป้องกัน"

เดิมพันบัก

"นักพัฒนาซอฟต์แวร์ไม่สามารถกำจัดข้อผิดพลาดทั้งหมดได้" Kocher กล่าว "และมนุษย์สามารถตกลงมาได้ในโซลูชันฮาร์ดแวร์คุณสามารถแยกการปฏิบัติการรักษาความปลอดภัยที่สำคัญออกจากโปรเซสเซอร์เดียวกันซึ่งช่วยให้คุณเล่น Flappy Bird นั่นคือความปลอดภัยที่แท้จริง"

“ วิธีการนั้นเป็นสิ่งที่เกิดขึ้นกับสมาร์ทการ์ด” Kocher กล่าว “ มันไม่ได้ขึ้นอยู่กับพ่อค้าที่กำจัดแมลงคุณได้รับความปลอดภัยโดยไม่ต้องแก้ไขซอฟต์แวร์บางทีอาจจะหดหู่ แต่ในเชิงเศรษฐศาสตร์มันเป็นเรื่องจริงคนที่มองโลกในแง่ดีคิดว่าเขาสามารถกำจัดข้อผิดพลาดล่าสุดได้สมาร์ทการ์ดนั้นง่ายพอ แต่ไม่ใช่พีซีหรือระบบปฏิบัติการ "

Rsac: การรักษาความปลอดภัยโดยใช้ชิปนำเสนอสิ่งที่ดีที่สุดสำหรับเจ้าชู้