Секреты и ложь. Безопасность данных в цифровом мире

ОглавлениеДобавить в закладки К обложке

Есть еще много деталей, которые требуют проработки, но общую идею вы уже представляете.

Смарт – карты против магнитных карт

В заключение давайте рассмотрим два различных механизма защиты: смарт-карты и запоминающие карты с магнитной полосой. В главе 14 я рассказывал о защите от вмешательства, посягательствах на смарт-карты и о безопасной территории. В главе 19 описывалась модель угроз гипотетической электронной валюте, основанной на смарт-картах. Обладая этими знаниями, давайте зададимся следующим вопросом: будет ли более безопасно пользоваться смарт-картой (картой с микропроцессором), чем картой с памятью (или только с микросхемой памяти, или с магнитной полосой) в конкретном случае?

Тому, кто способен взломать смарт-карту, это безразлично. Он умеет восстанавливать данные с карт обоих типов, но эти карты могут использовать шифрование в качестве защитной меры. Для того, кто не в силах взломать карту, это имеет существенное значение. Он, возможно, умеет считывать данные карты с магнитной полосой, но не может проникнуть в память смарт-карты. С другой стороны, если информация зашифрована каким-либо способом, также не имеет значения, может ли он считывать магнитную полосу. Возможно, в этом случае имеется меньше различий, чем следовало предположить.

Давайте рассмотрим, как используются карты двух различных типов.

Карты с магнитной полосой. Пользователь помещает карту в считывающее устройство и вводит PIN (личный идентификационный номер), пароль или код. Устройство считывает данные с магнитной полосы и использует PIN для расшифровки данных. Затем эти данные обрабатываются устройством для выполнения системой разнообразных действий, для которых она предназначена: вхождение в систему, подписывание электронного чека, плата за стоянку и т. п.

Смарт-карты. Пользователь помещает карту в различные считывающие устройства и вводит тот же личный идентификационный номер. Устройство посылает PIN в смарт-карту, которая расшифровывает данные. Затем они используются картой (а не устройством) для выполнения системой нужных действий, а само устройство выполняет в системе функцию ввода-вывода данных.

В чем же различия? В обоих случаях примененное в преступных целях считывающее устройство в состоянии разрушить систему, так как это устройство является единственной связью карты с внешним миром. Как только станут известны секретные данные карты с магнитной полосой, устройство может делать все, что пожелает. Как только смарт-карта получит правильный PIN, считывающее устройство может заставить всех поверить всему, что оно захочет.

Основное различие между этими картами состоит в том, что смарт-карта умеет осуществлять некоторый контроль, так как имеет внутреннюю защиту. Например, если кто-нибудь украдет карту с магнитной полосой, он сможет грубыми приемами завладеть данными этой карты. Он может сделать это автономно, на компьютере, так что ее владелец даже не узнает о случившемся. (Хитрый вор возьмет карту, считает данные с магнитной полосы и затем положит ее обратно в бумажник жертвы.) Смарт-карту нельзя взломать подобным образом, поскольку ее можно запрограммировать так, что она будет выключаться после десяти (или около того) неправильных вводов пароля подряд. Так, если кто-нибудь похитит смарт-карту, узнать пароль с легкостью у него не получится. Он получит возможность сделать только десять попыток. (Предполагается, что вор не умеет взламывать карту. Если он на это способен, то он может сделать это так же, как и в случае завладения картой с магнитной полосой.)

Другое существенное различие состоит в том, что смарт-карта не выдает свои секреты. Например, при использовании карт для подписи документов смарт-карта будет более безопасна, чем карта с магнитной полосой. Карта с магнитной полосой передает считывающему устройству функцию подписания документа, тем самым сообщая ему все секретные данные. В этом случае остается только надеяться на лучшее. Преступник с помощью устройства чтения может украсть шифр подписи. Смарт-карта же самостоятельно ставит подпись. Сканирующее устройство может загружать в карту для подписи подложные документы, но оно не получит шифр подписи.

Есть и другие, более тонкие различия. Смарт-карта позволяет опереться на некоторые основные правила выполнения действий. В принципе это можно использовать и в системе, которая обращается к базам данных, и для карт с магнитной полосой, но смарт-карты позволяют добиться лучшей реализации.


-= 177 =-
Регистрация.
Забыли пароль?
Логин
Пароль
Запомнить меня