a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

金融智能卡安全不容忽视

资讯频道文章B

一、前言
    智能卡技术以其安全可靠等诸多优点正在被中国市场所接受,其正在逐步取代磁条卡,在我国金融业以及其它相关产业得到广泛使用。

    自1997年底中国人民银行颁布《中国金融集成电路IC卡规范》之后,我国金融智能卡市场开始走向成熟和规范化。金融市场的规范化同时带动了相关的行业,仅在1998、1999两年之内,各商业银行与相关的行业共发行1000万张符合人行规范、拥有金融功能的智能卡。根据有关人士预测,在2002年,将会发行1500万张符合人行规范支持不同应用的金融智能卡。

    由于这个市场发展迅速,前景广阔,各智能卡供应商纷纷投资开发符合人行规范的产品。目前已通过银行卡检测中心检测的厂家有十几家。

    面对这个市场,一些商业银行以及相关的行业在选择智能卡产品时存在着一些误区,片面的认为所有拥有微处理器的智能卡都具有高安全和可靠性,只要选择的产品符合人行规范即可使用,从而忽略对于这种便于携带,由半导体芯片构成的产品安全性要求。

    本文将针对目前的这种现状,本文将着重介绍目前被国内忽视的智能卡安全防范技术。

二、智能卡技术面临的攻击
    在90年代初期,由于智能卡拥有一个微处理芯片,同时能够将保密信息(如密钥、密码以及私人信息)存放在记忆存储器中,人们天真的设想保密信息将在封闭的、可靠的计算环境中被操作。实际上,如果不在微处理芯片的操作系统和硬件设计上增加防护措施,微处理芯片将会泄露其处理的有关操作信息。特别是在网络和信息时代,从国际互联网可以非常容易的获取各类算法和资料。

    目前主要对智能卡的攻击分为芯片攻击和操作系统的攻击。由于对芯片技术的攻击需要较高的专业知识,设备投入成本较高(需要特殊的测试设备),投资很大(200万美金以上),一般黑客不采用此类攻击。

    而对于操作系统的攻击,相对来说,其投资成本较低,通常只需要一台PC机、记忆示波器、逻辑分析仪和一定的软件编程能力,即可实现。目前黑客对智能卡的攻击主要采用后者。

    我们都知道智能卡芯片是由半导体器件,其使用半导体逻辑门来实现加密功能,而半导体逻辑门是由晶体管构成的。当在一个晶体管的栅极上通电(或断电)时,电流将流过硅衬底,同时消耗功率并产生电磁辐射。黑客正式针对智能卡在操作过程中产生的能量损耗,利用相应的数学算法和统计学方法来实现对智能卡操作系统的攻击。

    目前主要对智能卡安全的攻击方法主要有两种:一种是简易功率分析(SPA)是一种直接解释功率消耗测定值的技术,它所测定的功率消耗发生在加密操作期间。SPA能够给出关于一个设备的运行信息以及密钥信息。[nextpage]

    在SAP攻击中,攻击者直接观察一个系统的功率消耗。所消耗功率的大小随微处理器执行的指令不同而不同。由于微处理器在对DES周期、RSA运算等的不同部分执行运算时,变化很明显,故它们大的特征将可能被识别出。在较高的放大倍数下,单条指令将能够被区分开来。例如,通过揭示乘法运算与平方运算之间的差异,SPA分析将能够用于攻破RSA的实现方法。类似的,许多DES算法实现中的置换和移位过程有明显的差异,因此也可用SPA来攻破。

    另一种是微分能量分析(DPA),此种方法的攻击力要比SPA强得多,而且更加难以预防。SPA攻击主要利用可见的重复采样和对芯片技术的了解来识别有关的功率波动,而DPA攻击则使用统计分析和误差修正技术,来提取与密钥有关的信息。一个完全不懂得智能技术的编程人员完全可以利用专用程序对没有DPA防范的智能卡芯片实现攻击。

    执行一次DPA攻击包括两个阶段:数据采集与数据分析。DPA的数据采集可以采取前述方式,即在加密运算期间对设备的功率消耗进行采样,得到一个对时间的函数。对DPA而言,一系列使用欲破译密钥的加密运算均可被观察到。

三、最新智能卡技术
    在1997年,美国CryptographyResearch公司,一家一直致力于研究半体设备的加密技术安全公司,发现了当时智能卡技术存在的SPA和DPA防范问题,并向公众公布了其研究成果。1998年6月纽约时报报道了此消息,国内报纸也有相应的转载,但由于智能卡技术概念在国内尚未普及,人们没有注意此类报道。

    在此之后,全球所有大的芯片以及卡片供应商都在致力于研究SPA和DPA防范技术,并取得一定的成果(具体防范技术可参考附录)。目前主要厂家提供的最新型芯片和操作系统都具有DPA和SPA防范。但是比较旧的型号产品没有此类技术,通常这类产品在国外主要使用在信息管理而非金融领域。

    目前国内许多商业银行在选择智能卡产品时,片面的强调价格和操作速度,而忽略安全性。某些国内厂商为了争夺市场份额,降低成本,在芯片选择上不考虑产品的安全性,采用没有DPA和SPA安全防范的芯片,在操作系统的设计上,为了减少操作系统的容量(ROM空间的大小将影响智能卡的成本),也未增加任何DPA和SPA防范技术。国内市场出现了一个奇怪的现象,一些使用旧的型号芯片的智能卡的运行速度,比采用最新型号的芯片的运行速度要快很多,其原因就是有经验的智能卡供应商在操作系统中增加了安全防范。

    由于我国目前磁条金融假卡案件的发生率与欧洲和北美市场相比相对较低。这是由于国内仅发行了一小部分的贷记卡,大量还是需要联机操作的借记卡,同时由于各种原因,国内使用金融卡的环境尚未完善,真正卡片交易远远低于与持卡人数量。因此在金融领域对于卡片的安全性观念比较淡薄,很多发卡行业在发行金融智能卡过程中总是抱着侥幸心理,强调在国内市场,并未发生通过智能卡被攻破卡片的案例。

    由于我国发行的金融智能卡大部分是在脱机环境下使用,因此对于安全性应有更高的要求,虽然系统的安全性不仅仅依赖于卡片的安全性,但是其重要性是不可忽视的。从某种意义上讲,这是如同一场竞赛;对于黑客的攻击,我们应永远拥有超前的防御措施。“最好的防御就是不断进步,不断更新”。

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2020 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈