Дом Securitywatch Rsac: безопасность на основе чипов предлагает лучшую цену за доллар

Rsac: безопасность на основе чипов предлагает лучшую цену за доллар

Видео: 4 Unicode and N character in SQL Server (Ноябрь 2024)

Видео: 4 Unicode and N character in SQL Server (Ноябрь 2024)
Anonim

Cryptography Research в Сан-Франциско является вторым по величине лицензиатом полупроводниковой технологии после ARM. Если в устройство встроено защитное оборудование, велика вероятность, что в него включен чип CRI. На конференции RSA в Сан-Франциско Пол Кочер, президент и главный научный сотрудник компании, рассказал мне, почему грядущий переход на чиповые карты, а не на кредитные карты с магнитной полосой, - это действительно хорошо.

«Вы видите ту же технологию на чип-карте, SIM-карте вашего телефона, выпущенных правительством картах общего доступа и многом другом», - сказал Кочер. «Под ним небольшой микропроцессор, перезаписываемая память, ПЗУ, немного ОЗУ, криптоускоритель, некоторые функции безопасности. Конечно, размер и скорость варьируются».

«С точки зрения безопасности чип-карта представляет собой качественный скачок по сравнению с магнитной полосой», - сказал Кочер. «Это все равно, что сравнивать гигантский джет с лошадью и багги. Если бы мы уже переключились на чип-карты, нарушение цели не имело бы значения. Плохие парни могли украсть коды для одной транзакции, но это не позволило бы им совершать будущие транзакции. Получив данные, они могут сделать полную копию скомпрометированной карты с магнитной полосой ».

«Чипы в приложениях для массового рынка предлагают значительно более высокий уровень защиты за доллар, чем почти все остальное», - сказал Кочер. «Чипы работают в диапазоне от 25 центов до доллара. Большинство производителей работают на десятом поколении. Они состоят из пяти или шести итераций, некоторые серьезные изменения, но теперь они довольно необычные».

Смарт-карты идут

«Некоторые проблемы будут исправлены, когда в следующем году США перейдут на смарт-карты», - сказал Кочер. «Теперь у вас есть проблема, когда Европа использует их, а мы нет, поэтому вы можете использовать магнитную полосу здесь. Мы являемся точкой атаки для европейских систем. Если вы там крадете карту, они не всегда имеют тот же контроль рисков ".

«В Европе безопасность основана на чипе, здесь он основан на ПИН», - продолжил он. «В Европе PIN-коды часто не шифруются, поэтому плохой парень может получить PIN-код и использовать его здесь. Когда мы синхронизируемся, обе стороны получат значительное улучшение. США - единственный гигантский рынок, все еще использующий магнитную полосу 1960-х годов технологии."

Не все проблемы решены

«Все категории мошенничества, связанные с мошеннической картой, копией, исчезнут, когда США примут чиповые карты», - сказал Кочер. «Две другие категории не будут. Физическая кража не остановится, конечно, хотя наличие ПИН-кода поможет в транзакциях, которые в этом нуждаются. Другая, конечно же, это онлайн-транзакции, в которых нет карты».

Кочер отметил, что возможность для безопасности этих онлайн-транзакций существует. Существуют усовершенствованные карты со встроенным дисплеем для кодов безопасности, но по цене 12 долларов за карту они просто слишком дороги. И проверка на мошенничество может быть довольно хорошей, только на основе существующих данных о транзакции. «Кроме того, с помощью чип-карты продавец не получает информацию, необходимую для подделки копии», - сказал он. «Компрометация со стороны злоумышленника больше не является угрозой».

Самое исправимое

«Из всех областей, где безопасность находится в кризисе, - сказал Кочер, - безопасность банковских карт наиболее надежна. У вас есть физическая вещь, клиенты к ней привыкли, небольшая потребность в изменении поведения и сложность управляемы».

«Это изменение уже давно», - продолжил он. «В настоящее время банки компенсируют неизбежное мошенничество, взимая плату с продавцов. У продавцов нет стимулов для повышения безопасности. Реальное изменение заключается в простом правиле, которое меняет ответственность. Если мошенническая покупка совершается с помощью чип-карты и ритейлер не может проверить, платит цену именно ритейлер, а не банк. Теперь у ритейлера есть финансовый стимул для правильной проверки банковских карт ».

На предыдущей конференции RSA Кохер продемонстрировал метод взлома смартфона путем измерения радиочастотного излучения, которое он излучает. «Есть способы атаковать смарт-карты, - признал Кочер, - но наша технология защищает от атак с использованием энергопотребления, радиочастотных атак и т. Д. Эти устройства протекают, если не защищены».

Ставка на ошибки

«Разработчики программного обеспечения никогда не смогут устранить все ошибки, - сказал Кочер, - и люди подвержены ошибкам. В аппаратном решении вы можете отделить критические операции безопасности от того же процессора, который позволяет вам играть в Flappy Bird. Это настоящая безопасность».

«Этот подход - то, что происходит со смарт-картой», - сказал Кочер. «Это не зависит от того, как продавец избавится от ошибок. Вы получаете безопасность без исправления программного обеспечения. Может быть, удручающе, но экономически это правда. Оптимист думает, что он может избавиться от последней ошибки. Смарт-карта достаточно проста, что, возможно, вы можете, но не ПК или операционная система."

Rsac: безопасность на основе чипов предлагает лучшую цену за доллар