کارگاه بررسی چالش‌های امنیتی تراکنش‌های با واسطه توسط گروه توسن برگزار شد

«بررسی چالش‌های امنیتی تراکنش‌های با واسطه در دستگاه کارتخوان موبایلی و ارائه راهکار مبتنی بر DUKPT» در دومین روز از همایش بانکداری الکترونیک و نظام‌های پرداخت توسط علیرضا قدرتی از شرکت توسن ارائه شد.
علیرضا قدرتی در ابتدای سخنرانی خود با تاکید بر اینکه حفظ دیتاهای مشتری دغدغه ما بوده است گفت:« نکته جدیدی که اخیرا به آن پرداخته شده نقطه P2PE است. به این معنا که ارسال تراکنش از یک نقطه به نقطه دیگر، باید رمزگذاری شده باشد. هدف از رمزنگاری تبدیل پیغام اصلی به پیغامی است که موجودیت‌های غیرمجاز قادر به درک آن نباشند. در اصول رمزنگاری بر اساس نوع کلید به کار رفته دو روش کلی متقارن و نامتقارن برای رمزنگاری تعریف می‌شود.»

او ادامه داد: «نیازمندی‌های امنیت اطلاعات؛ محرمانگی و حفظ تمامیت است. منظور از محرمانگی آن است که فقط گیرنده اصلی پیغام بتواند آن را بفهمد و دیگر موجودیت‌ها حتی اگر بتوانند پیغام ارسالی را به دست آورند، محتویات آن را درک نکنند. حفظ تمامیت به این معناست که گیرنده پیغام بتواند هرگونه دستکاری در پیغام دریافتی را تشخیص دهد و بتواند اطمینان یابد پیغامی که دریافت شده درست همان است که فرستنده ارسال کرده است.»
قدرتی با اشاره به استفاده از کلید اصلی گفت:« هرچقدر از کلید Master برای رمزنگاری استفاده شود، به همان میزان کلید شکننده‌تر و ضعیف‌تر می‌شود. بهتر است از کلید Master به عنوان حامل و رمزکننده کلیدهای دیگر و یا مشتق‌سازی کلیدهای موقت استفاده شود. هزینه‌های شکستن کلیدهای موقت بسیار بالاست و در صورت شکسته شدن کلید موقت، سیستم به خطر نمی‌افتد و تنها همان کلید موقت شکسته شده است. وابسته شدن تولید کلید موقت بر اساس تاریخ و یا شمارنده، کلیدهای موقت را به کلیدهای یک‌بار مصرف تبدیل می‌کند.»
او در ادامه عنوان کرد: «برنامه پرداخت مستقر در کارتخوان موبایلی، سرویس‌های مرتبط با عملیات پرداخت را در بستر بلوتوث به برنامه مستقر در دستگاه مرچ