کارگاه بررسی چالشهای امنیتی تراکنشهای با واسطه توسط گروه توسن برگزار شد
«بررسی چالشهای امنیتی تراکنشهای با واسطه در دستگاه کارتخوان موبایلی و ارائه راهکار مبتنی بر DUKPT» در دومین روز از همایش بانکداری الکترونیک و نظامهای پرداخت توسط علیرضا قدرتی از شرکت توسن ارائه شد.
علیرضا قدرتی در ابتدای سخنرانی خود با تاکید بر اینکه حفظ دیتاهای مشتری دغدغه ما بوده است گفت:« نکته جدیدی که اخیرا به آن پرداخته شده نقطه P2PE است. به این معنا که ارسال تراکنش از یک نقطه به نقطه دیگر، باید رمزگذاری شده باشد. هدف از رمزنگاری تبدیل پیغام اصلی به پیغامی است که موجودیتهای غیرمجاز قادر به درک آن نباشند. در اصول رمزنگاری بر اساس نوع کلید به کار رفته دو روش کلی متقارن و نامتقارن برای رمزنگاری تعریف میشود.»
او ادامه داد: «نیازمندیهای امنیت اطلاعات؛ محرمانگی و حفظ تمامیت است. منظور از محرمانگی آن است که فقط گیرنده اصلی پیغام بتواند آن را بفهمد و دیگر موجودیتها حتی اگر بتوانند پیغام ارسالی را به دست آورند، محتویات آن را درک نکنند. حفظ تمامیت به این معناست که گیرنده پیغام بتواند هرگونه دستکاری در پیغام دریافتی را تشخیص دهد و بتواند اطمینان یابد پیغامی که دریافت شده درست همان است که فرستنده ارسال کرده است.»
قدرتی با اشاره به استفاده از کلید اصلی گفت:« هرچقدر از کلید Master برای رمزنگاری استفاده شود، به همان میزان کلید شکنندهتر و ضعیفتر میشود. بهتر است از کلید Master به عنوان حامل و رمزکننده کلیدهای دیگر و یا مشتقسازی کلیدهای موقت استفاده شود. هزینههای شکستن کلیدهای موقت بسیار بالاست و در صورت شکسته شدن کلید موقت، سیستم به خطر نمیافتد و تنها همان کلید موقت شکسته شده است. وابسته شدن تولید کلید موقت بر اساس تاریخ و یا شمارنده، کلیدهای موقت را به کلیدهای یکبار مصرف تبدیل میکند.»
او در ادامه عنوان کرد: «برنامه پرداخت مستقر در کارتخوان موبایلی، سرویسهای مرتبط با عملیات پرداخت را در بستر بلوتوث به برنامه مستقر در دستگاه مرچ