Cryptography Research zo San Francisca je po ARM druhým najväčším poskytovateľom licencie na polovodičovú technológiu. Ak je v zariadení zabudovaný bezpečnostný hardvér, je pravdepodobné, že ide o čip CRI. Na konferencii RSA v San Franciscu ma Paul Kocher, prezident a hlavný vedecký pracovník spoločnosti, poučil o tom, prečo je nadchádzajúci posun k čipovým kartám, vzdialený od kreditných kariet s magnetickým prúžkom, naozaj dobrá vec.
„Rovnakú technológiu vidíte na čipovej karte, na SIM karte vášho telefónu, na bežných kartách vydávaných vládou a ďalších, “ povedal Kocher. „Spodná strana je malý mikroprocesor, prepisovateľná pamäť, ROM, trochu RAM, kryptoakcelerátor, niektoré bezpečnostné prvky. Veľkosť a rýchlosť sa samozrejme líšia.“
"Z hľadiska bezpečnosti je čipová karta kvantovým zlepšením magnetického prúžku, " uviedol Kocher. „Je to ako porovnávať prúdové lietadlo s koňom a kočíkom. Keby sme už prešli na čipové karty, na porušení cieľa by to nevadilo. Zlí chlapci mohli ukradnúť kódy pre jednu transakciu, ale to by im nedovolilo uskutočňovať budúce transakcie. S údajmi, ktoré zachytili, mohli vytvoriť úplnú kópiu kompromitovanej karty s magnetickým pruhom. ““
„Čipy v aplikáciách hromadného trhu ponúkajú výrazne vyššiu bezpečnosť za dolár ako takmer čokoľvek iné, “ povedal Kocher. „Čipy bežia v rozmedzí 25 centov a dolára. Väčšina predajcov je približne v desiatej generácii. Je to päť alebo šesť iterácií, niektoré významné prepracované verzie, ale teraz sú dosť výnimočné.“
Chystajú sa inteligentné karty
„Niektoré problémy sa odstránia, keď budúci rok USA prejdú na čipové karty, “ povedal Kocher. „Teraz máte problém, kde ich Európa používa, a my ich nepoužívame, takže tu môžete použiť magický pruh. Sme bodom útoku na európske systémy. Ak tam ukradnete kartu, nie vždy majú rovnaké kontroly rizika. ““
„V Európe je bezpečnosť založená na čipe; tu je to na základe PIN, “ pokračoval. „V Európe nie sú kódy PIN často šifrované, takže zloduch môže získať kód PIN a použiť ho tu. Keď sa dostaneme do synchronizácie, obe strany získajú veľké zlepšenie. USA sú jediným obrovským trhom, ktorý stále používa magnetický prúžok z obdobia 1960 rokov. technológie."
Nie všetky vyriešené problémy
„Všetky kategórie podvodov, ktoré sa týkajú podvodnej karty, kópia, tie zmiznú, keď USA prijmú čipové karty, “ povedal Kocher. „Dve ďalšie kategórie to neurobia. Fyzická krádež sa nezastaví, samozrejme, hoci používanie kódu PIN pomôže pri transakciách, ktoré si to vyžadujú. Druhou samozrejme sú transakcie online bez karty.“
Kocher poznamenal, že tieto online transakcie existuje možnosť zabezpečenia. Existujú pokročilé karty so zabudovaným displejom bezpečnostných kódov, ale za 12 dolárov na kartu sú jednoducho príliš drahé. Skríning podvodov môže byť celkom dobrý iba na základe existujúcich údajov o transakcii. „Okrem toho obchodník s čipovou kartou nedostáva informácie, ktoré by boli potrebné na vyhotovenie kópie, “ uviedol. „Kompromis zo strany škodlivého obchodníka už nie je hrozbou.“
Najstabilnejšie
„Zo všetkých oblastí, v ktorých je bezpečnosť v kríze, “ povedal Kocher, „bezpečnosť bankových kariet je najstabilnejšia. Máte fyzickú vec, zákazníci sú na ňu zvyknutí, je tu malá potreba zmeny správania a zložitosť je zvládnuteľná.“
„Táto zmena je už dávno oneskorená, “ pokračoval. „V súčasnosti banky kompenzujú nevyhnutný podvod tým, že ukladajú obchodníkom poplatky. Nie je motivácia obchodníkov zlepšovať bezpečnosť. Skutočná zmena prichádza s jednoduchým pravidlom, ktoré posúva zodpovednosť. Ak sa podvodný nákup uskutoční pomocou čipovej karty a predajca nedokáže overiť, je to predajca, ktorý zaplatí cenu, nie banka. Teraz má predajca finančnú motiváciu na správne overenie bankových kariet. ““
Na predchádzajúcej konferencii RSA predstavil Kocher techniku hackovania smartfónov meraním vysokofrekvenčného žiarenia, ktoré vyžaruje. „Existujú spôsoby, ako zaútočiť na inteligentné karty, “ pripustil Kocher, „ale naša technológia chráni pred útokmi spotreby energie, vysokofrekvenčnými útokmi a ďalšími. Tieto zariadenia unikajú, ak nie sú chránené.“
Stavte na chyby
„Vývojári softvéru nikdy nedokážu odstrániť všetky chyby, “ povedal Kocher, „a ľudia sú zraniteľní. V hardvérovom riešení môžete oddeliť kritické bezpečnostné operácie od jedného procesora, ktorý vám umožňuje hrať Flappy Bird. To je skutočná bezpečnosť.“ “
„Tento prístup sa deje s inteligentnou kartou, “ povedal Kocher. „Nezávisí to od toho, ako sa obchodník zbaví chýb. Bezpečnosť získate bez toho, aby ste opravili softvér. Možno depresia, ale ekonomicky je to pravda. Optimista si myslí, že sa dokáže zbaviť poslednej chyby. Inteligentná karta je dosť jednoduchá, aby ste mohli, ale nie počítač alebo operačný systém. ““