Video: #closeatadistance (September 2024)
San Francisco-baserad Cryptography Research är den näst största licensen för halvledarteknik, efter ARM. Om en enhet har inbyggd säkerhetsmaskinvara är chansen god att det finns ett CRI-chip involverat. Vid RSA-konferensen i San Francisco utbildade Paul Kocher, företagets president och chefsforskare, mig om varför det kommande skiftet till chipkort, bort från magnetkortskreditkort är ett riktigt bra sak.
"Du ser samma teknik på ett chipkort, din telefons SIM-kort, utgivna gemensamma accesskort med mera, " sade Kocher. "Under är en liten mikroprocessor, omskrivbart minne, ROM, lite RAM, en kryptoaccelerator, vissa säkerhetsfunktioner. Naturligtvis varierar storlek och hastighet."
"Ur ett säkerhetsperspektiv är chipkortet en förbättring av kvantesprång jämfört med magnetband", säger Kocher. "Det är som att jämföra en jumbojet med en häst och vagn. Om vi redan hade bytt till chipkort, skulle målbrottet inte ha spelat någon roll. De dåliga killarna kan ha stulit koderna för en transaktion, men det skulle inte låta dem göra framtida transaktioner. Med de uppgifter de fångade in kunde de göra en komplett kopia av ett komprometterat magnetbandskort."
"Chips i massmarknadsapplikationer erbjuder dramatiskt högre säkerhet per dollar än nästan allt annat", säger Kocher. "Chippen går i 25 cent till en dollar. De flesta leverantörer är på ungefär den tionde generationen. Det tecknar fem eller sex iterationer, några stora omformningar, men nu är de ganska extraordinära."
Kommer smarta kort
"Vissa problem kommer att fixas när USA går till smartkort nästa år, " sa Kocher. "Nu har du problemet där Europa använder dem och vi inte, så du kan använda mag-stripe här. Vi är attacken för europeiska system. Om du stjäl ett kort där har de inte alltid samma riskkontroller."
"I Europa är säkerheten baserad på chipet; här baseras det på en PIN-kod, " fortsatte han. "I Europa är PIN-koder ofta inte krypterade, så dålig kille kan få PIN-koden och använda den här. När vi kommer i synk, kommer båda sidor att få en stor förbättring. USA är den enda jättemarknaden som fortfarande använder magnetiska band från 1960-talet teknologi."
Inte alla problem har lösts
"Alla kategorier av bedrägerier som involverar ett bedrägligt kort, en kopia, de kommer att försvinna när USA antar chipkort", säger Kocher. "Två andra kategorier kommer inte. Fysisk stöld kommer inte att stanna, naturligtvis, men att ha en PIN-kod kommer att hjälpa till i transaktioner som kräver det. Den andra är naturligtvis online-transaktioner som inte är närvarande."
Kocher noterade att möjligheten för säkerhet för dessa online-transaktioner finns. Avancerade kort med en inbyggd skärm för säkerhetskoder finns, men för $ 12 per kort är de bara för dyra. Och bedrägeriscreening kan vara ganska bra, bara baserat på befintlig information om transaktionen. "Dessutom får handlaren inte med ett chipkort information som behövs för att skapa en kopia, " sade han. "Kompromiss från en skadlig köpman är inte längre ett hot."
Det mest fixerbara
"Av alla områden där säkerhet är i kris, " sade Kocher, "bankkortsäkerhet är det mest fixerbara. Du har en fysisk sak, kunder är vana vid det, det finns ett litet behov av beteendeförändring och komplexiteten är hanterbar."
"Denna förändring är långt förfallen, " fortsatte han. "För närvarande kompenserar banker för oundvikliga bedrägerier genom att betala en handlare till köpmän. Det finns inget incitament för köpmän att förbättra säkerheten. Den verkliga förändringen kommer med en enkel regel som förskjuter ansvaret. Om ett bedrägligt köp görs med ett chipkort och återförsäljaren misslyckas med att verifiera, det är återförsäljaren som betalar priset, inte banken. Nu har återförsäljaren ett ekonomiskt incitament att korrekt verifiera bankkort."
Vid en tidigare RSA-konferens demonstrerade Kocher en teknik för att hacking en smartphone genom att mäta RF-strålningen som den avger. "Det finns sätt att attackera smartkort, " medgav Kocher, "men vår teknik skyddar mot kraftförbrukningsattacker, RF-attacker och mer. Dessa enheter läcker ut om de inte skyddas."
Satsa på buggar
"Programutvecklare kan aldrig ta bort alla buggarna, " sade Kocher, "och människor är fallbara. I en hårdvarulösning kan du skilja kritiska säkerhetsåtgärder från samma processor som låter dig spela Flappy Bird. Det är verklig säkerhet."
"Den metoden är vad som händer med ett smartkort, " sa Kocher. "Det är inte beroende av att köpmannen blir av med buggar. Du får säkerhet utan att fixa programvara. Kanske deprimerande, men ekonomiskt är det sant. Optimisten tror att han kan bli av med det sista felet. Ett smart kort är enkelt nog att du kanske kan, men inte en PC eller ett operativsystem."
