总部位于旧金山的密码学研究公司是仅次于ARM的第二大半导体技术许可方。 如果设备内置安全硬件,则很有可能会涉及CRI芯片。 在旧金山举行的RSA大会上,该公司总裁兼首席科学家Paul Kocher向我介绍了为什么从磁条信用卡转向芯片卡是一件很不错的事情。
Kocher说:“芯片卡,手机的SIM卡,政府发行的通用访问卡等等都可以看到相同的技术。” “下面是一个小型微处理器,可重写内存,ROM,一些RAM,加密加速器,一些安全功能。大小和速度当然会有所不同。”
Kocher说:“从安全角度来看,芯片卡是对磁条的巨大飞跃进步。” “这就像将大型喷气式客机比作马和越野车。如果我们已经改用芯片卡,那么目标突破就没关系了。坏人可能窃取了 一笔 交易的密码,但是那不会让他们进行将来的交易。利用他们捕获的数据,他们可以完整复制受损的磁条卡。”
Kocher说:“大众市场应用中的芯片提供的美元安全性几乎比其他任何产品都要高。” “这些芯片的价格在25美分至1美元之间。大多数供应商都在第10代左右。它经历了五到六次迭代,进行了一些重大的重新设计,但现在它们已经非常出色了。”
智能卡来了
Kocher说:“明年美国使用智能卡时,一些问题将得到解决。” “现在,您遇到了欧洲使用它们而我们不使用的问题,因此您可以在此处使用磁条。我们是欧洲系统的攻击重点。如果您在那里偷卡,它们并不总是拥有相同的风险控制措施。”
他继续说:“在欧洲,安全性是基于芯片的;这里的安全性是基于PIN的。” “在欧洲,PIN通常不进行加密,因此坏人可以在这里使用PIN。当我们同步时,双方都会取得很大的进步。美国是唯一仍在使用1960年代磁条的巨型市场。技术。”
并非所有问题都能解决
Kocher说:“所有涉及欺诈卡,副本的欺诈行为,在美国采用芯片卡时都会消失。” “不会出现另外两个类别。当然,盗窃也不会停止,尽管拥有PIN可以帮助需要该密码的交易。另一个当然是无卡在线交易。”
Kocher指出,存在保护那些在线交易的可能性。 存在带有用于安全代码的内置显示器的高级卡,但是每张卡12美元,价格太贵了。 仅基于有关交易的现有数据,欺诈筛选就可以非常好。 他说:“此外,使用芯片卡的商人不会收到伪造副本所必需的信息。” “恶意商人的妥协不再构成威胁。”
最固定的
Kocher说:“在安全面临危机的所有领域中,银行卡安全性是最可修复的。您拥有实体的东西,客户已经习惯了它,行为更改的需求很小,并且复杂性是可以控制的。”
他继续说:“这种改变是迟来的。” “目前,银行通过向商家收取费用来弥补不可避免的欺诈行为。商家没有动机提高安全性。真正的改变来自一条简单的规则,即转移责任。如果使用芯片卡和信用卡进行欺诈性购买,零售商无法验证,是由零售商支付价格,而不是银行。现在,零售商有财务动机来正确验证银行卡。”
在先前的RSA大会上,Kocher演示了一种通过测量智能手机发出的RF辐射来入侵智能手机的技术。 Kocher承认:“有多种方法可以攻击智能卡,但我们的技术可以防止功耗攻击,RF攻击等。这些设备如果没有受到保护,也会泄漏。”
赌虫
Kocher说:“软件开发人员永远无法消除所有错误,而且人是容易犯错的。在硬件解决方案中,您可以将关键的安全操作与可以播放Flappy Bird的同一处理器分开。这才是真正的安全性。”
科切尔说:“这种方法就是智能卡所采用的方法。” “这不取决于商人摆脱漏洞。无需修复软件即可获得安全性。也许令人沮丧,但从经济上讲,这是事实。乐观主义者认为他可以摆脱最后一个漏洞。智能卡非常简单,也许您可以,而不是PC或操作系统。”