پژوهشکده پولی و بانکی
بانک مرکزی جمهوری اسلامی ایران
Monetary and Banking Research Institute
تاريخ:سوم بهمن 1396 ساعت 17:02   |   کد : 293514
دغدغه اصلی، داده حساس مشتری است
سرپرست امنیت پرداخت و ابزارهای هوشمند از شرکت توسن تکنو مطرح کرد:
دغدغه اصلی، داده حساس مشتری است
علیرضا قدرتی خوش مهر، در کارگاهی که با عنوان «بررسی چالش‌های امنیتی تراکنش‌های باواسطه در پایانه‌های سیار» برگزار شد، دغدغه اصلی امنیت پرداخت و تراکنش‌ها را «داده حساس مشتری» می‌خواند.
به گزارش روابط عمومی پژوهشکده پولی و بانکی، قدرتی با اشاره به اینکه در اصول رمزنگاری، دو نیازمندی مهم یعنی محرمانگی (confidentiality) و حفظ تمامیت داده (data integrity) مطرح است، استفاده از اصول استاندارد رمزنگاری را اساس و بنیان مبحث می‌داند.
بیشتر پی‌اس‌پی‌ها (PSP) در ایران از روش کلید اصلی (Master keys/transaction keys) استفاده می‌کنند. در این روش، سه کلید به ازای هر پوز تولید می‌شود و با کلید ترمینال رمزنگاری و به پوز فرستاده می‌شود. سپس پوز می‌تواند از این کلیدها استفاده کند. اما مساله این است که این کلیدها ثابت هستند. قدرتی تاکید دارد که «هرقدر بیشتر از Master key استفاده شود، احتمال شکسته شدنش بیشتر است». به نظر قدرتی، بهترین عملکرد این است که از Master key استفاده نشود و به جایش از کلیدهای یک‌بار مصرف یا Session key برای رمزنگاری مورد استفاده قرار گیرد. زیرا در صورت شکسته شدن، سیستم به خطر نمی‌افتد و تنها همان کلید موقت، شکسته شده است. این سیستم‌ها در کارت‌های ویزا و مستر پیاده‌سازی شده‌اند. به این ترتیب مرکزی که کارت صادر می‌کند، یک کلید اصلی برای خودش دارد و بر اساس دیتای پن هر کارتی، کلید session را به هر کارت اختصاص می‌دهد. به نظر قدرتی، داشتن Session key شرط لازم است، اما کافی نیست، همواره باید مدیریت کلید به درستی صورت بگیرد.
علیرضا قدرتی با اشاره به روش DUKPT که از سال 1990 به بعد، با درک خطر Master keys مورد استفاده قرار گرفت، برای مدیریت امنیت تراکنش‌ها بسیار مفید است. روش DUKPT از جانب PCI DSS توصیه شده است. در این روش، مرکز یک کلید به عنوان کلید بیس در مرکز مدیریت ترمینال نگهداری می‌شود. بر اساس دیتای مرکز، به ازای هر ترمینال، کلیدی به اسم  TIK تولید می‌شد و به ترمینال ارسال می‌شود. در واقع تنها کلیدی که در مرکز وجود دارد، BDK است و نیازی نیست کلیدهای دیگر را حفظ کرد. به این ترتیب سه کلید مشتق‌سازی می‌شود، دیتای حساس مشتری با همین کلیدها رمزنگاری می‌شود.
مساله مهم در این میان، تراکنش‌های بی‌واسطه در پوز است. پوز یک پکیج بسته (close system) است و کل دیتای تراکنش داخل پوز پردازش می‌شود. ریسک پوزها برای کشف این دیتاها خیلی پایین است، اما mPOS یک پکیج باز است. بین mPOS و دستگاه، merchant قرار دارد و ممکن است اطلاعات هک شوند. در mPOS می‌توان روش یک‌بار مصرف را استفاده کرد. از آنجا که رمزها، کلیدهای متفاوتی هستند، هزینه هک بسیار بالا می‌رود و عملا امکان هک به صفر می‌رسد. قدرتی با اشاره به ویژگی‌های دستگاه mPOS  از جمله طراحی سبک و سهولت در حمل و استفاده، سازگاری با پلت‌فرم‌های اندروید و iOS، پشتیبانی از ارتباط بلوتوث نسخه 4 و کابل و غیره، آن را برای کسب و کارها بسیار مفید می‌داند. او معتقد است: کسب و کارها همواره به دنبال این هستند که تراکنش‌های انجام شده را بر اساس اپلیکیشن خود انجام دهند. ما نمی‌توانیم لزوما کسب و کار مشتری را به پوز انتقال دهیم.
به نظر قدرتی mPOS از این نظر رو به پیشرفت است و جای خود را در بازار باز خواهد کرد. همچنین می‌توان متد DUKPT را روی پوزهای فروشگاه‌ها هم پیاده کرد، چون هزینه مدیریت کلیدها را بسیار پایین می‌آورد. در این روش، به ازای هر یک میلیون ترمینال، می‌توان یک کلید DUKPT داشت. پس می‌توان این روش را تعمیم داد و حتی در پوزهای شعبه‌ای از آن، استفاده کرد.

آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 
 

دوره‌های آموزشی جاری
تازه‌های نشر
پیوندها



کليه حقوق اين سايت محفوظ و متعلق به پژوهشکده پولی و بانکی مي باشد.
نقل مطالب با ذکر منبع آزاد است.
بازديد اين صفحه: 3,774,180