Vào năm 1990, người ta đã quyết định tăng độ an toàn của thẻ ngân hàng bằng cách gắn thêm vào một con Chip. Và bắt đầu từ tháng 11/992, tất cả các thẻ do các ngân hàng Pháp phát hành ra là thẻ có gắn Chip.
Mật mã trong các thẻ ngân hàng của Pháp
Dựa trên công nghệ thẻ gắn Chip, một số cơ chế được đưa ra là: Xác minh mã PIN; Xác thực RSA và Xác thực 3DES.
Mã PIN là một dãy gồm 4 chữ số do các chủ thẻ nhập vào. Nó được xác minh bởi chính bộ chip này, hoặc từ phiên bản mã hóa có mặt trên dải từ (ở mặt sau của thẻ). Trong trường hợp này, cả hai (ID và bản mã của PIN) cần phải được gửi đến một trung tâm dữ liệu bằng phương tiện kết nối trực tuyến (trung tâm lưu cả ID và bản mã của PIN trong cơ sở dữ liệu).
Xác thực RSA dựa trên chữ ký số RSA của số thẻ và các dữ liệu liên quan khác. Nó được đọc từ Chip và được xác nhận bởi thiết bị đầu cuối tại điểm bán hàng.
Xác thực DES dựa vào kết quả tính toán CBC- MAC trên các dữ liệu giao dịch, nhờ một khóa cho 3DES lưu trữ trên Chip. Mặc dù DES cơ bản đã được sử dụng khi thẻ Chip bắt đầu được phát hành vào năm 1990, nhưng bây giờ nó không được sử dụng và thay thế bằng 3DES. Bởi vì việc xác minh yêu cầu biết khóa của thẻ, nên việc này chỉ có thể thực hiện được qua kết nối trực tuyến.
Vào năm 1998, “Vụ việc Humpich” được báo chí đưa tin rộng rãi, tiếp theo sau là một “thử nghiệm” chứng minh việc sử dụng thẻ giả tại một máy bán hàng tự động offline. Điểm yếu là ở chỗ: Dựa trên những đánh giá quá lạc quan về độ khó của bài toán phân tích thành thừa số, các nhà thiết kế đã lựa chọn một môđun RSA chỉ có 320 bit! Trong khi môđun RSA hiện tại được sử dụng là hơn 768 bit, và nhanh chóng phát triển lên 1024 bit.
Sau đó, người ta đã hiểu ra rằng độ an toàn được cung cấp bởi thẻ chip trong một kịch bản offline đã bị làm hại bởi các phiên bản tinh vi hơn của mẹo lừa gạt mang tên “thẻ có”. Những thẻ như thế trả về một câu trả lời “có” khi một mã PIN được đệ trình và hiển thị số thẻ và chữ ký RSA lấy được từ một thẻ hợp pháp. Để chống lại sự lừa gạt này, cần phải thay thế sự xác thực “tĩnh” được cung cấp bởi chữ ký RSA bằng một phiên bản động dựa trên cơ chế thách thức/phản ứng. Cơ chế như thế được cung cấp như là một tùy chọn trong chuẩn thanh toán thẻ thông minh EMV, dưới cái tên viết tắt DDA (xác thực dữ liệu động). Sau khi nghiên cứu kỹ các chuẩn EMV, người ta đã quyết định triển khai DDA trong các thẻ ngân hàng Pháp. Đây là một nỗ lực chưa từng có trong việc sử dụng mật mã khóa công khai trong các thiết bị đại chúng.
Tương lai
Với 3DES, RSA và DDA trên bo mạch, các loại thẻ ngân hàng của Pháp đạt được mức độ tinh xảo của việc sử dụng mật mã. Và thật ngạc nhiên khi các nhà nghiên cứu phát hiện ra rằng, khi đó ở hầu hết các nước thẻ tín dụng không có Chip... Tuy nhiên, người ta hy vọng rằng các thẻ có gắn Chip sẽ được phổ biến rộng rãi, ít nhất là ở Châu Âu. Tất nhiên, sự tiến bộ của các thuật toán phân tích số sẽ được các ngân hàng theo dõi sát sao, và các kích thước khóa lớn hơn là hướng sẽ xuất hiện. Và việc sử dụng đường cong Elliptic có thể sẽ xuất hiện trong tương lai không xa.
10:00 | 14/06/2022
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.
10:00 | 04/10/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024