Vào năm 1990, người ta đã quyết định tăng độ an toàn của thẻ ngân hàng bằng cách gắn thêm vào một con Chip. Và bắt đầu từ tháng 11/992, tất cả các thẻ do các ngân hàng Pháp phát hành ra là thẻ có gắn Chip.
Mật mã trong các thẻ ngân hàng của Pháp
Dựa trên công nghệ thẻ gắn Chip, một số cơ chế được đưa ra là: Xác minh mã PIN; Xác thực RSA và Xác thực 3DES.
Mã PIN là một dãy gồm 4 chữ số do các chủ thẻ nhập vào. Nó được xác minh bởi chính bộ chip này, hoặc từ phiên bản mã hóa có mặt trên dải từ (ở mặt sau của thẻ). Trong trường hợp này, cả hai (ID và bản mã của PIN) cần phải được gửi đến một trung tâm dữ liệu bằng phương tiện kết nối trực tuyến (trung tâm lưu cả ID và bản mã của PIN trong cơ sở dữ liệu).
Xác thực RSA dựa trên chữ ký số RSA của số thẻ và các dữ liệu liên quan khác. Nó được đọc từ Chip và được xác nhận bởi thiết bị đầu cuối tại điểm bán hàng.
Xác thực DES dựa vào kết quả tính toán CBC- MAC trên các dữ liệu giao dịch, nhờ một khóa cho 3DES lưu trữ trên Chip. Mặc dù DES cơ bản đã được sử dụng khi thẻ Chip bắt đầu được phát hành vào năm 1990, nhưng bây giờ nó không được sử dụng và thay thế bằng 3DES. Bởi vì việc xác minh yêu cầu biết khóa của thẻ, nên việc này chỉ có thể thực hiện được qua kết nối trực tuyến.
Vào năm 1998, “Vụ việc Humpich” được báo chí đưa tin rộng rãi, tiếp theo sau là một “thử nghiệm” chứng minh việc sử dụng thẻ giả tại một máy bán hàng tự động offline. Điểm yếu là ở chỗ: Dựa trên những đánh giá quá lạc quan về độ khó của bài toán phân tích thành thừa số, các nhà thiết kế đã lựa chọn một môđun RSA chỉ có 320 bit! Trong khi môđun RSA hiện tại được sử dụng là hơn 768 bit, và nhanh chóng phát triển lên 1024 bit.
Sau đó, người ta đã hiểu ra rằng độ an toàn được cung cấp bởi thẻ chip trong một kịch bản offline đã bị làm hại bởi các phiên bản tinh vi hơn của mẹo lừa gạt mang tên “thẻ có”. Những thẻ như thế trả về một câu trả lời “có” khi một mã PIN được đệ trình và hiển thị số thẻ và chữ ký RSA lấy được từ một thẻ hợp pháp. Để chống lại sự lừa gạt này, cần phải thay thế sự xác thực “tĩnh” được cung cấp bởi chữ ký RSA bằng một phiên bản động dựa trên cơ chế thách thức/phản ứng. Cơ chế như thế được cung cấp như là một tùy chọn trong chuẩn thanh toán thẻ thông minh EMV, dưới cái tên viết tắt DDA (xác thực dữ liệu động). Sau khi nghiên cứu kỹ các chuẩn EMV, người ta đã quyết định triển khai DDA trong các thẻ ngân hàng Pháp. Đây là một nỗ lực chưa từng có trong việc sử dụng mật mã khóa công khai trong các thiết bị đại chúng.
Tương lai
Với 3DES, RSA và DDA trên bo mạch, các loại thẻ ngân hàng của Pháp đạt được mức độ tinh xảo của việc sử dụng mật mã. Và thật ngạc nhiên khi các nhà nghiên cứu phát hiện ra rằng, khi đó ở hầu hết các nước thẻ tín dụng không có Chip... Tuy nhiên, người ta hy vọng rằng các thẻ có gắn Chip sẽ được phổ biến rộng rãi, ít nhất là ở Châu Âu. Tất nhiên, sự tiến bộ của các thuật toán phân tích số sẽ được các ngân hàng theo dõi sát sao, và các kích thước khóa lớn hơn là hướng sẽ xuất hiện. Và việc sử dụng đường cong Elliptic có thể sẽ xuất hiện trong tương lai không xa.
10:00 | 14/06/2022
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024