Video: Rapper Boef: ‘Mijn leven is letterlijk in handen van deze man’ (November 2024)
Cryptography Research uit San Francisco is na ARM de tweede grootste licentiegever voor halfgeleidertechnologie. Als een apparaat ingebouwde beveiligingshardware heeft, is de kans groot dat er een CRI-chip bij betrokken is. Tijdens de RSA-conferentie in San Francisco leerde Paul Kocher, president en Chief Scientist van het bedrijf, me waarom de komende verschuiving naar chipkaarten, weg van creditcards met magneetstrips, echt een goede zaak is.
"Je ziet dezelfde technologie op een chipkaart, de simkaart van je telefoon, door de overheid uitgegeven gemeenschappelijke toegangskaarten en meer, " zei Kocher. "Daaronder bevindt zich een kleine microprocessor, herschrijfbaar geheugen, ROM, een beetje RAM, een cryptoversneller, enkele beveiligingsfuncties. Grootte en snelheid variëren natuurlijk."
"Vanuit een beveiligingsperspectief is de chipkaart een verbetering van de kwantumsprong ten opzichte van magnetische streep, " zei Kocher. "Het is als het vergelijken van een jumbojet met een paard en buggy. Als we al waren overgestapt op chipkaarten, zou de Target-inbreuk er niet toe hebben gedaan. De slechteriken hebben misschien de codes voor één transactie gestolen, maar dat zou hen niet toestaan toekomstige transacties uitvoeren. Met de gegevens die ze wel hebben verzameld, konden ze een volledige kopie maken van een gecompromitteerde magneetstripkaart."
"Chips in massamarkttoepassingen bieden een aanzienlijk hogere beveiliging per dollar dan bijna al het andere, " zei Kocher. "De chips lopen van 25 cent tot een dollar. De meeste leveranciers zijn rond de tiende generatie. Het heeft vijf of zes iteraties opgeleverd, enkele grote herontwerpen, maar nu zijn ze behoorlijk buitengewoon."
Smart Cards komen eraan
"Sommige problemen worden opgelost wanneer de VS volgend jaar naar smartcards gaan, " zei Kocher. "Nu heb je het probleem waar Europa ze gebruikt en wij niet, dus je kunt de magneetstrip hier gebruiken. We zijn het punt van aanval voor Europese systemen. Als je daar een kaart steelt, hebben ze niet altijd de dezelfde risicobeheersing."
"In Europa is beveiliging gebaseerd op de chip; hier is het gebaseerd op een pincode, " vervolgde hij. "In Europa zijn pincodes vaak niet gecodeerd, dus slechteriken kunnen de pincode krijgen en hier gebruiken. Als we synchroon lopen, zullen beide partijen een grote verbetering krijgen. technologie."
Niet alle problemen opgelost
"Alle categorieën fraude waarbij sprake is van een frauduleuze kaart, een kopie, die verdwijnen als de VS chipkaarten aanneemt, " zei Kocher. "Twee andere categorieën zullen dat niet doen. Fysieke diefstal houdt natuurlijk niet op, hoewel het hebben van een pincode helpt bij transacties waarvoor dit nodig is. De andere is natuurlijk online kaarttransacties."
Kocher merkte op dat de mogelijkheid voor beveiliging die online transacties bestaat. Geavanceerde kaarten met een ingebouwd display voor veiligheidscodes bestaan, maar voor $ 12 per kaart zijn ze gewoon te duur. En fraudeonderzoek kan behoorlijk goed zijn, alleen op basis van bestaande gegevens over de transactie. "Bovendien ontvangt de handelaar met een chipkaart niet de informatie die nodig is om een kopie te vervalsen, " zei hij. "Compromis door een kwaadwillende handelaar is niet langer een bedreiging."
Het meest fixeerbaar
"Van alle gebieden waar beveiliging zich in een crisis bevindt, " zei Kocher, "is beveiliging met bankkaarten het meest te repareren. Je hebt iets fysieks, klanten zijn eraan gewend, er is een kleine behoefte aan gedragsverandering en de complexiteit is beheersbaar."
"Deze verandering is veel te laat", ging hij verder. "Op dit moment compenseren banken onvermijdelijke fraude door een vergoeding in rekening te brengen voor verkopers. Er is geen stimulans voor verkopers om de beveiliging te verbeteren. De echte verandering komt met een eenvoudige regel die de aansprakelijkheid verschuift. Als een frauduleuze aankoop wordt gedaan met een chipkaart en de retailer faalt om te verifiëren, het is de retailer die de prijs betaalt, niet de bank. Nu heeft de retailer een financiële prikkel om bankkaarten correct te verifiëren."
Op een vorige RSA-conferentie demonstreerde Kocher een techniek voor het hacken van een smartphone door de RF-straling die het uitzendt te meten. "Er zijn manieren om smartcards aan te vallen, " gaf Kocher toe, "maar onze technologie beschermt tegen stroomverbruikaanvallen, RF-aanvallen en meer. Deze apparaten lekken als ze niet worden beschermd."
Wed op bugs
"Softwareontwikkelaars kunnen nooit alle bugs verwijderen, " zei Kocher, "en mensen zijn feilbaar. In een hardware-oplossing kun je kritische beveiligingsoperaties scheiden van dezelfde processor waarmee je Flappy Bird kunt spelen. Dat is echte beveiliging."
"Die aanpak is wat er aan de hand is met een smartcard, " zei Kocher. "Het is niet afhankelijk van de handelaar die van bugs afkomt. Je krijgt beveiliging zonder software te repareren. Depressief, misschien, maar economisch is het waar. De optimist denkt dat hij de laatste bug kan verwijderen. Een smartcard is eenvoudig genoeg dat je misschien, maar geen pc of besturingssysteem."
