Video: HOW TO MAKE YOUR HOME SMELL AMAZING! (Oktober 2024)
San Francisco-basert kryptografiforskning er den nest største lisensen for halvlederteknologi, etter ARM. Hvis en enhet har innebygd sikkerhetsmaskinvare, er sjansen stor for at det er en CRI-brikke involvert. På RSA-konferansen i San Francisco, utdannet Paul Kocher, selskapets president og sjefforsker, meg om nettopp hvorfor det kommende skiftet til chipkort, bort fra magnetstripekredittkort, er et virkelig bra ting.
"Du ser den samme teknologien på et chipkort, telefonens SIM-kort, fellesutstedte offentlige tilgangskort med mer, " sa Kocher. "Under er en liten mikroprosessor, omskrivbart minne, ROM, litt RAM, en krypto-akselerator, noen sikkerhetsfunksjoner. Størrelse og hastighet varierer selvfølgelig."
"Fra et sikkerhetsperspektiv er chipkortet en forbedring av kvantesprang i forhold til magnetstripe, " sa Kocher. "Det er som å sammenligne en jumbojet med en hest og en vogn. Hvis vi allerede hadde gått over til brikkekort, ville ikke målbruddet hatt noen betydning. Skurkene hadde kanskje stjålet kodene for en transaksjon, men det ville ikke la dem foreta fremtidige transaksjoner. Med dataene de lagde, kunne de lage en fullstendig kopi av et kompromittert magnetstripekort."
"Chips i massemarkedsapplikasjoner tilbyr dramatisk høyere sikkerhet per dollar enn nesten noe annet, " sa Kocher. "Sjetongene går på 25 cent til en dollar-rekkevidde. De fleste leverandører er på rundt den tiende generasjonen. Det markerer fem eller seks iterasjoner, noen store redesign, men nå er de ganske ekstraordinære."
Smartkort kommer
"Noen problemer vil fikses når USA går til smartkort neste år, " sa Kocher. "Nå har du problemet der Europa bruker dem og vi ikke, så du kan bruke mag-stripe her. Vi er angrepspunktet for europeiske systemer. Hvis du stjeler et kort der, har de ikke alltid samme risikokontroll."
"I Europa er sikkerhet basert på brikken; her er den basert på en PIN-kode, " fortsatte han. "I Europa blir PIN-koder ofte ikke kryptert, så dårlig fyr kan få PIN-koden og bruke den her. Når vi kommer i synk, vil begge sider få en stor forbedring. USA er det eneste gigantiske markedet som fremdeles bruker magnetstripe fra 1960-årene. teknologi."
Ikke alle problemer løst
"Alle kategorier av svindel som involverer et uredelig kort, en kopi, de vil forsvinne når USA vedtar chipkort, " sa Kocher. "To andre kategorier vil ikke. Fysisk tyveri stopper selvfølgelig ikke, selv om en PIN-kode vil hjelpe i transaksjoner som krever det. Den andre er selvfølgelig online-transaksjoner som ikke er til stede."
Kocher bemerket at muligheten for sikkerhet for de elektroniske transaksjonene eksisterer. Avanserte kort med innebygd skjerm for sikkerhetskoder finnes, men for $ 12 per kort er de bare for dyre. Og svindelscreening kan være ganske bra, bare basert på eksisterende data om transaksjonen. "I tillegg mottar ikke selgeren informasjonen som vil være nødvendig for å forfalske en kopi, med et chipkort, " sa han. "Kompromiss fra en ondsinnet kjøpmann er ikke lenger en trussel."
Det mest reparerbare
"Av alle områdene der sikkerhet er i krise, " sa Kocher, "bankkortsikkerhet er den mest rettbare. Du har en fysisk ting, kundene er vant til det, det er lite behov for atferdsendring, og kompleksiteten er håndterbar."
"Denne endringen er langt forfallen, " fortsatte han. "For øyeblikket kompenserer banker for uunngåelig svindel ved å bygge en avgift til selgere. Det er ikke noe insentiv for selgere å forbedre sikkerheten. Den virkelige endringen kommer med en enkel regel som skifter ansvar. Hvis det foretas et uredelig kjøp med et chipkort og forhandleren unnlater å verifisere, det er forhandleren som betaler prisen, ikke banken. Nå har forhandleren et økonomisk insentiv til å verifisere bankkort riktig."
På en tidligere RSA-konferanse demonstrerte Kocher en teknikk for å hacking en smarttelefon ved å måle RF-strålingen den avgir. "Det er måter å angripe smartkort på, " innrømmet Kocher, "men teknologien vår beskytter mot angrep på strømforbruk, RF-angrep og mer. Disse enhetene lekker hvis de ikke er beskyttet."
Sats på feil
"Programvareutviklere kan aldri få ut alle feilene, " sa Kocher, "og mennesker er feilbare. I en maskinvareløsning kan du skille kritiske sikkerhetsoperasjoner fra den samme prosessoren som lar deg spille Flappy Bird. Det er ekte sikkerhet."
"Den tilnærmingen er det som skjer med et smartkort, " sa Kocher. "Det er ikke avhengig av at selgeren blir kvitt feil. Du får sikkerhet uten å fikse programvare. Deprimerende, kanskje, men økonomisk er det sant. Optimisten tror han kan kvitte seg med den siste feilen. Et smartkort er enkelt nok til at du kanskje kan, men ikke en PC, eller et operativsystem."
