Будинки Securitywatch Rsac: безпека на основі чіпів пропонує найкращий удар за долар

Rsac: безпека на основі чіпів пропонує найкращий удар за долар

Відео: Настя и сборник весёлых историй (Листопад 2024)

Відео: Настя и сборник весёлых историй (Листопад 2024)
Anonim

Криптографічні дослідження в Сан-Франциско - другий за величиною ліцензіат напівпровідникових технологій після ARM. Якщо на пристрої вбудовано апаратне забезпечення для безпеки, швидше за все, є чіп CRI. На конференції RSA в Сан-Франциско Пол Кочер, президент компанії та головний вчений, навчив мене, чому саме наступний перехід на чіп-карти, подалі від кредитних карт з магнітною смугою - це справді гарна річ.

"Ви бачите одну і ту ж технологію на чіп-картці, SIM-картці вашого телефону, загальнодоступних карт загального доступу та багато іншого", - сказав Кочер. "Під ним - невеликий мікропроцесор, перезаписувана пам'ять, ROM, трохи оперативної пам'яті, криптоприскорювач, деякі функції безпеки. Звичайно, розмір і швидкість змінюються."

"З точки зору безпеки, чіп-карта - це квантове покращення в порівнянні з магнітною смугою", - сказав Кочер. "Це як порівняння джембо-джета з конем та баггі. Якби ми вже перейшли на чіп-карти, порушення цілі не мало б значення. Погані хлопці, можливо, вкрали коди за одну транзакцію, але це не дозволило б їм здійснювати майбутні транзакції. За допомогою даних, які вони збирали, вони могли зробити повну копію зіпсованої карти з магнітною смугою ".

"Фішки в додатках для масового ринку пропонують кардинально більшу безпеку за долар, ніж майже все інше", - сказав Кочер. "Фішки працюють від 25 центів до доларового діапазону. Більшість постачальників мають приблизно десяте покоління. Це виділяється п'ять-шість ітерацій, деякі основні оновлення, але зараз вони досить неординарні".

Смарт-карти приходять

"Деякі проблеми будуть виправлені, коли США перейдуть до смарт-карт наступного року", - сказав Кочер. "Тепер у вас є проблема, коли Європа їх використовує, а ми ні, тому ви можете використовувати маг-смужку тут. Ми є точкою нападу європейських систем. Якщо ви викрадете там карту, вони не завжди мають той же контроль ризику ".

"В Європі безпека базується на чіпі; тут він базується на PIN-коді", - продовжив він. "У Європі PIN-коди часто не шифруються, тому поганий хлопець може отримати PIN-код і використовувати його тут. Коли ми синхронізуємось, обидві сторони отримають велике поліпшення. США - єдиний гігантський ринок, який досі використовує магнітну смугу епохи 1960-х років. технології ».

Не всі проблеми вирішені

"Усі категорії шахрайства, які стосуються шахрайської картки, копії, вони зникнуть, коли США приймуть чіп-карти", - сказав Кочер. "Дві інші категорії не будуть. Фізичні крадіжки не припиняться, звичайно, хоча наявність PIN-коду допоможе в транзакціях, які цього вимагають. Інша, звичайно, це онлайн-транзакції без картки".

Кочер зазначив, що можливість безпеки цих онлайн-транзакцій існує. Вдосконалені картки із вбудованим дисплеєм для кодів безпеки існують, але за 12 доларів за карту вони просто занадто дорогі. І обман шахрайства може бути досить хорошим, просто виходячи з наявних даних про транзакцію. "Крім того, за допомогою чіп-карти купець не отримує інформації, необхідної для підробки копії", - сказав він. "Компроміс зловмисного продавця вже не є загрозою".

Найпоправніший

"З усіх напрямків, де безпека перебуває в кризі, - сказав Кочер, - безпека банківських карток є найбільш фіксованою. У вас є фізична річ, клієнти до неї звикли, є невелика потреба в зміні поведінки, а складність керована".

"Ця зміна наслідок", - продовжив він. "В даний час банки компенсують неминучі шахрайства, стягуючи звинувачення у торговців. Немає стимулу для торговців покращувати безпеку. Справжня зміна полягає в простому правилі, яке змінює відповідальність. Якщо шахрайська покупка здійснена за допомогою чіп-карти та роздрібний продавець не може перевірити, це роздрібний продавець, який платить ціну, а не банк. Тепер роздрібний продавець має фінансовий стимул для правильної перевірки банківських карток ".

На попередній конференції RSA Кочер продемонстрував техніку злому смартфона за допомогою вимірювання радіаційного випромінювання, яке він випромінює. "Існують способи нападу на смарт-карти, - визнав Кочер, - але наша техніка захищає від атак енергоспоживання, атак РФ та іншого. Ці пристрої не протікають, якщо не захищені".

Ставка на помилок

"Розробники програмного забезпечення ніколи не можуть виправити всі помилки, - сказав Кочер, - і люди помиляються. У апаратному рішенні ви можете відокремити критичні операції з безпеки з того самого процесора, що дозволяє грати в Flappy Bird. Це справжня безпека".

"Такий підхід - це те, що відбувається зі смарт-карткою", - сказав Кочер. "Це не залежить від того, щоб продавець позбувся помилок. Ви отримуєте безпеку, не виправляючи програмне забезпечення. Можливо, пригнічуючи, але економічно це правда. Оптиміст вважає, що може позбутися останньої помилки. Розумна карта досить проста, що, можливо, ви можете, але не ПК або операційна система. "

Rsac: безпека на основі чіпів пропонує найкращий удар за долар