Vào năm 1990, người ta đã quyết định tăng độ an toàn của thẻ ngân hàng bằng cách gắn thêm vào một con Chip. Và bắt đầu từ tháng 11/992, tất cả các thẻ do các ngân hàng Pháp phát hành ra là thẻ có gắn Chip.
Mật mã trong các thẻ ngân hàng của Pháp
Dựa trên công nghệ thẻ gắn Chip, một số cơ chế được đưa ra là: Xác minh mã PIN; Xác thực RSA và Xác thực 3DES.
Mã PIN là một dãy gồm 4 chữ số do các chủ thẻ nhập vào. Nó được xác minh bởi chính bộ chip này, hoặc từ phiên bản mã hóa có mặt trên dải từ (ở mặt sau của thẻ). Trong trường hợp này, cả hai (ID và bản mã của PIN) cần phải được gửi đến một trung tâm dữ liệu bằng phương tiện kết nối trực tuyến (trung tâm lưu cả ID và bản mã của PIN trong cơ sở dữ liệu).
Xác thực RSA dựa trên chữ ký số RSA của số thẻ và các dữ liệu liên quan khác. Nó được đọc từ Chip và được xác nhận bởi thiết bị đầu cuối tại điểm bán hàng.
Xác thực DES dựa vào kết quả tính toán CBC- MAC trên các dữ liệu giao dịch, nhờ một khóa cho 3DES lưu trữ trên Chip. Mặc dù DES cơ bản đã được sử dụng khi thẻ Chip bắt đầu được phát hành vào năm 1990, nhưng bây giờ nó không được sử dụng và thay thế bằng 3DES. Bởi vì việc xác minh yêu cầu biết khóa của thẻ, nên việc này chỉ có thể thực hiện được qua kết nối trực tuyến.
Vào năm 1998, “Vụ việc Humpich” được báo chí đưa tin rộng rãi, tiếp theo sau là một “thử nghiệm” chứng minh việc sử dụng thẻ giả tại một máy bán hàng tự động offline. Điểm yếu là ở chỗ: Dựa trên những đánh giá quá lạc quan về độ khó của bài toán phân tích thành thừa số, các nhà thiết kế đã lựa chọn một môđun RSA chỉ có 320 bit! Trong khi môđun RSA hiện tại được sử dụng là hơn 768 bit, và nhanh chóng phát triển lên 1024 bit.
Sau đó, người ta đã hiểu ra rằng độ an toàn được cung cấp bởi thẻ chip trong một kịch bản offline đã bị làm hại bởi các phiên bản tinh vi hơn của mẹo lừa gạt mang tên “thẻ có”. Những thẻ như thế trả về một câu trả lời “có” khi một mã PIN được đệ trình và hiển thị số thẻ và chữ ký RSA lấy được từ một thẻ hợp pháp. Để chống lại sự lừa gạt này, cần phải thay thế sự xác thực “tĩnh” được cung cấp bởi chữ ký RSA bằng một phiên bản động dựa trên cơ chế thách thức/phản ứng. Cơ chế như thế được cung cấp như là một tùy chọn trong chuẩn thanh toán thẻ thông minh EMV, dưới cái tên viết tắt DDA (xác thực dữ liệu động). Sau khi nghiên cứu kỹ các chuẩn EMV, người ta đã quyết định triển khai DDA trong các thẻ ngân hàng Pháp. Đây là một nỗ lực chưa từng có trong việc sử dụng mật mã khóa công khai trong các thiết bị đại chúng.
Tương lai
Với 3DES, RSA và DDA trên bo mạch, các loại thẻ ngân hàng của Pháp đạt được mức độ tinh xảo của việc sử dụng mật mã. Và thật ngạc nhiên khi các nhà nghiên cứu phát hiện ra rằng, khi đó ở hầu hết các nước thẻ tín dụng không có Chip... Tuy nhiên, người ta hy vọng rằng các thẻ có gắn Chip sẽ được phổ biến rộng rãi, ít nhất là ở Châu Âu. Tất nhiên, sự tiến bộ của các thuật toán phân tích số sẽ được các ngân hàng theo dõi sát sao, và các kích thước khóa lớn hơn là hướng sẽ xuất hiện. Và việc sử dụng đường cong Elliptic có thể sẽ xuất hiện trong tương lai không xa.
10:00 | 14/06/2022
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024