Испытанным способом идентификации держателя банковской карты является использование секретного персонального идентификационного номера PIN. Значение PIN должно быть известно только держателю карты. Длина PIN должна быть достаточно большой, чтобы вероятность угадывания злоумышленником правильного значения с помощью атаки полного перебора значений была приемлемо малой. С другой стороны, длина PIN должна быть достаточно короткой, чтобы дать возможность держателям карт запомнить его значение. Рекомендуемая длина PIN составляет 4…8 десятичных цифр, но может достигать 12.
Предположим, что PIN имеет длину четыре цифры, тогда противник, пытающийся подобрать значение PIN к банковской карте, стоит перед проблемой выбора одной из десяти тысяч возможностей. Если число попыток ввода некорректного значения PIN ограничивается пятью на карту в день, этот противник имеет шансы на успех менее чем 1:2000. Но на следующий день противник может попытаться снова, и его шансы увеличиваются до 1:1000. Каждый следующий день увеличивает вероятность успеха противника. Поэтому многие банки вводят абсолютный предел на число неверных попыток ввода PIN на карту, чтобы исключить атаку такого рода. Если установленный предел превышен, считается, что данная карта неправильная, и ее отбирают.
Значение PIN однозначно связано с соответствующими атрибутами банковской карты, поэтому PIN можно трактовать как подпись держателя карточки. Чтобы инициировать транзакцию, держатель карты, который использует POS-терминал, вставляет свою карту в специальную щель считывателя и вводит свой PIN, используя специальную клавиатуру терминала. Если введенное значение PIN и номер счета клиента, записанный на магнитной полосе карты, согласуются между собой, тогда инициируется транзакция.
Защита персонального идентификационного номера PIN для банковской карты является критичной для безопасности всей платежной системы. Банковские карты могут быть потеряны, украдены или подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN. Вот почему открытая форма PIN должна быть известна только законному владельцу карты. Она никогда не хранится и не передается в рамках системы электронных платежей. Очевидно, значение PIN нужно держать в секрете в течение всего срока действия карты.
Метод генерации значения PIN оказывает существенное влияние на безопасность электронной платежной системы. Вообще, персональные идентификационные номера могут формироваться либо банком, либо держателями карт. В частности, клиент различает два типа PIN [22]:
· PIN, назначенный ему банком, выдавшим карту;
· PIN, выбираемый держателем карты самостоятельно.
Если PIN назначается банком, банк обычно использует один из двух вариантов процедур генерации PIN.
При первом варианте PIN генерируется криптографически из номера счета держателя карточки. Процесс генерации назначаемого PIN из номера счета показан на рис. 9.3. Сначала номер счета клиента дополняется нулями или другой константой до 16 шестнадцатеричных цифр (8 байт). Затем получившиеся 8 байт шифруются по алгоритму DES с использованием секретного ключа. Из полученного шифртекста длиной 8 байт поочередно выделяют 4-битовые блоки, начиная с младшего байта. Если число, образуемое этими битами, меньше 10, то полученная цифра включается в PIN, иначе это значение не используется. Таким путем обрабатывают все 64 бита (8 байт). Если в результате обработки не удалось получить сразу требуемое количество десятичных цифр, то обращаются к неиспользованным 4-битовым блокам, из которых вычитают 10.
 |
Очевидное достоинство этой процедуры заключается в том, что значение PIN не нужно хранить внутри электронной платежной системы. Недостатком этого подхода является то, что при необходимости изменения PIN требуется выбор либо нового счета клиента, либо нового криптографического ключа. Банки предпочитают, чтобы номер счета клиента оставался фиксированным. С другой стороны, поскольку все PIN вычисляют, используя одинаковый криптографический ключ, изменение одного PIN при сохранении счета клиента неизбежно влечет за собой изменение всех персональных идентификационных номеров.
При втором варианте банк выбирает значение PIN случайным образом, сохраняя значение этого PIN в виде соответствующей криптограммы. Выбранные значения PIN банк передает держателям банковских карт, пользуясь защищенным каналом.
Использование PIN, назначенного банком, неудобно для клиента даже при небольшой его длине. Такой PIN трудно удержать в памяти, и поэтому держатель карты может записать его куда-нибудь. Главное – это не записать PIN непосредственно на карту или какое-нибудь другое видное место. Иначе задача злоумышленника будет сильно облегчена.
Для большего удобства клиента используют значение PIN, выбираемое самим клиентом. Такой способ определения значения PIN позволяет клиенту:
· использовать один и тот же PIN для различных целей;
· задавать PIN как совокупность букв и цифр (для удобства запоминания).
Когда PIN выбран клиентом, он должен быть доведен до сведения банка. PIN может быть передан в банк заказной почтой или отправлен через защищенный терминал, размещенный в банковском офисе, который немедленно его шифрует. Если банку необходимо использовать выбранный клиентом PIN, тогда поступают следующим образом. Каждую цифру выбранного клиентом PIN складывают по модулю 10 (без учета переносов) с соответствующей цифрой PIN, выводимого банком из счета клиента. Получаемое десятичное число называется "смещением". Это смещение запоминается на карте клиента. Поскольку выводимый PIN имеет случайный характер, то выбранный клиентом PIN невозможно определить по его "смещению".
Главное требование безопасности состоит в том, что значение PIN должно запоминаться владельцем карты и никогда не должно храниться в любой читабельной форме. Но люди несовершенны и очень часто забывают свои значения PIN. Поэтому банки должны заранее заготовить специальные процедуры для таких случаев. Банк может реализовать один из следующих подходов. Первый основан на восстановлении забытого клиентом значения PIN и отправке его обратно владельцу карты. При втором подходе просто генерируется новое значение PIN.
При идентификации клиента по значению PIN и предъявленной карте используются два основных способа проверки PIN: неалгоритмический и алгоритмический [22].
Неалгоритмический способ проверки PIN не требует применения специальных алгоритмов. Проверка PIN осуществляется путем непосредственного сравнения введенного клиентом PIN со значениями, хранимыми в базе данных. Обычно база данных со значениями PIN клиентов шифруется методом прозрачного шифрования, чтобы повысить ее защищенность, не усложняя процесса сравнения.
Алгоритмический способ проверки PIN заключается в том, что введенный клиентом PIN преобразуют по определенному алгоритму с использованием секретного ключа и затем сравнивают со значением PIN, хранящимся в определенной форме на карте. Достоинства этого метода проверки:
· отсутствие копии PIN на главном компьютере исключает его раскрытие персоналом банка;
· отсутствие передачи PIN между банкоматом или POS-терминалом и главным компьютером банка исключает его перехват злоумышленником или навязывание результатов сравнения;
· упрощение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.