Video: Does cyanide actually smell like almonds? (Oktober 2024)
San Francisco-baseret kryptografiforskning er den næststørste licens til halvlederteknologi efter ARM. Hvis en enhed har indbygget sikkerhedshardware, er chancerne store, at der er en CRI-chip involveret. På RSA-konferencen i San Francisco uddannede Paul Kocher, selskabets præsident og Chief Scientist, mig om netop hvorfor det kommende skift til chipkort, væk fra magnetstripekreditkort er et rigtig godt ting.
"Du ser den samme teknologi på et chipkort, din telefons SIM-kort, fællesudstedelseskort, der er udstedt af staten, og mere, " sagde Kocher. "Nedenunder er en lille mikroprocessor, genskrivbar hukommelse, ROM, lidt RAM, en kryptoaccelerator, nogle sikkerhedsfunktioner. Størrelse og hastighed varierer selvfølgelig."
"Set fra et sikkerhedsmæssigt perspektiv er chipkortet en forbedring i kvantespring i forhold til magnetstrimmel, " sagde Kocher. "Det er som at sammenligne en jumbojet med en hest og buggy. Hvis vi allerede havde skiftet til chipkort, ville målbruddet ikke have haft nogen betydning. De onde fyre har muligvis stjålet koderne for en transaktion, men det ville ikke lade dem foretage fremtidige transaktioner. Med de data, de indsamlede, kunne de lave en komplet kopi af et kompromitteret magnetstripekort."
"Chips i massemarkedsapplikationer tilbyder dramatisk højere sikkerhed pr. Dollar end næsten alt andet, " sagde Kocher. "Chipsene kører i intervallet 25 cent til en dollar. De fleste leverandører er på omkring den tiende generation. Det markerer fem eller seks iterationer, nogle store redesign, men nu er de temmelig ekstraordinære."
Smart Cards kommer
"Nogle problemer vil blive løst, når USA går til smartkort næste år, " sagde Kocher. "Nu har du problemet, hvor Europa bruger dem, og vi gør det ikke, så du kan bruge mag-stripe her. Vi er angrebsstedet for europæiske systemer. Hvis du stjæler et kort der, har de ikke altid samme risikokontrol."
"I Europa er sikkerhed baseret på chippen; her er den baseret på en pinkode, " fortsatte han. "I Europa er PIN-koder ofte ikke krypteret, så en dårlig fyr kan få PIN-koden og bruge den her. Når vi kommer i synkronisering, vil begge sider få en stor forbedring. USA er det eneste gigantiske marked, der stadig bruger magnetisk stripe fra 1960-årene. teknologi."
Ikke alle problemer er løst
"Alle kategorier af svig, der involverer et falske kort, en kopi, vil forsvinde, når USA vedtager chipkort, " sagde Kocher. "To andre kategorier vil ikke. Fysisk tyveri stopper naturligvis ikke, selvom en PIN-kode vil hjælpe i transaktioner, der kræver det. Den anden er naturligvis online-transaktioner, der ikke er til stede."
Kocher bemærkede, at muligheden for sikkerhed for disse online transaktioner eksisterer. Avancerede kort med en indbygget skærm til sikkerhedskoder findes, men til $ 12 pr. Kort er de bare for dyre. Og bedrageriescreening kan være ret god, bare baseret på eksisterende data om transaktionen. "Desuden modtager købmanden med et chipkort ikke de oplysninger, der er nødvendige for at forfalske en kopi, " sagde han. "Kompromis fra en ondsindet købmand er ikke længere en trussel."
Den mest fixable
"Af alle de områder, hvor sikkerhed er i krise, " sagde Kocher, "bankkortsikkerhed er den mest rettelige. Du har en fysisk ting, kunder er vant til det, der er et lille behov for adfærdsændring, og kompleksiteten er håndterbar."
”Denne ændring er for langt for sent, ” fortsatte han. "På nuværende tidspunkt kompenserer banker for uundgåelig svig ved at opkræve et gebyr for handlende. Der er intet incitament for handlende til at forbedre sikkerheden. Den reelle ændring kommer med en simpel regel, der skifter ansvar. Hvis der foretages et falske køb med et chipkort og detailhandlen undlader at verificere, det er detailhandleren, der betaler prisen, ikke banken. Nu har detailhandleren et økonomisk incitament til at verificere bankkort korrekt."
På en tidligere RSA-konference demonstrerede Kocher en teknik til at hacking en smartphone ved at måle den RF-stråling, den udsender. "Der er måder at angribe smartkort på, " indrømmede Kocher, "men vores teknik beskytter mod angreb på strømforbrug, RF-angreb med mere. Disse enheder lækker, hvis de ikke er beskyttet."
Sats på fejl
"Softwareudviklere kan aldrig få alle bugs ud, " sagde Kocher, "og mennesker er fældelige. I en hardwareløsning kan du adskille kritiske sikkerhedsoperationer fra den samme processor, der lader dig spille Flappy Bird. Det er ægte sikkerhed."
”Denne tilgang er, hvad der sker med et smartkort, ” sagde Kocher. "Det er ikke afhængigt af, at købmanden bliver af med fejl. Du får sikkerhed uden at fikse software. Deprimerende, måske, men økonomisk er det sandt. Optimisten mener, at han kan slippe af med den sidste fejl. Et smart kort er enkelt nok til, at du måske kan, men ikke en pc eller et operativsystem."
