Vào năm 1990, người ta đã quyết định tăng độ an toàn của thẻ ngân hàng bằng cách gắn thêm vào một con Chip. Và bắt đầu từ tháng 11/992, tất cả các thẻ do các ngân hàng Pháp phát hành ra là thẻ có gắn Chip.
Mật mã trong các thẻ ngân hàng của Pháp
Dựa trên công nghệ thẻ gắn Chip, một số cơ chế được đưa ra là: Xác minh mã PIN; Xác thực RSA và Xác thực 3DES.
Mã PIN là một dãy gồm 4 chữ số do các chủ thẻ nhập vào. Nó được xác minh bởi chính bộ chip này, hoặc từ phiên bản mã hóa có mặt trên dải từ (ở mặt sau của thẻ). Trong trường hợp này, cả hai (ID và bản mã của PIN) cần phải được gửi đến một trung tâm dữ liệu bằng phương tiện kết nối trực tuyến (trung tâm lưu cả ID và bản mã của PIN trong cơ sở dữ liệu).
Xác thực RSA dựa trên chữ ký số RSA của số thẻ và các dữ liệu liên quan khác. Nó được đọc từ Chip và được xác nhận bởi thiết bị đầu cuối tại điểm bán hàng.
Xác thực DES dựa vào kết quả tính toán CBC- MAC trên các dữ liệu giao dịch, nhờ một khóa cho 3DES lưu trữ trên Chip. Mặc dù DES cơ bản đã được sử dụng khi thẻ Chip bắt đầu được phát hành vào năm 1990, nhưng bây giờ nó không được sử dụng và thay thế bằng 3DES. Bởi vì việc xác minh yêu cầu biết khóa của thẻ, nên việc này chỉ có thể thực hiện được qua kết nối trực tuyến.
Vào năm 1998, “Vụ việc Humpich” được báo chí đưa tin rộng rãi, tiếp theo sau là một “thử nghiệm” chứng minh việc sử dụng thẻ giả tại một máy bán hàng tự động offline. Điểm yếu là ở chỗ: Dựa trên những đánh giá quá lạc quan về độ khó của bài toán phân tích thành thừa số, các nhà thiết kế đã lựa chọn một môđun RSA chỉ có 320 bit! Trong khi môđun RSA hiện tại được sử dụng là hơn 768 bit, và nhanh chóng phát triển lên 1024 bit.
Sau đó, người ta đã hiểu ra rằng độ an toàn được cung cấp bởi thẻ chip trong một kịch bản offline đã bị làm hại bởi các phiên bản tinh vi hơn của mẹo lừa gạt mang tên “thẻ có”. Những thẻ như thế trả về một câu trả lời “có” khi một mã PIN được đệ trình và hiển thị số thẻ và chữ ký RSA lấy được từ một thẻ hợp pháp. Để chống lại sự lừa gạt này, cần phải thay thế sự xác thực “tĩnh” được cung cấp bởi chữ ký RSA bằng một phiên bản động dựa trên cơ chế thách thức/phản ứng. Cơ chế như thế được cung cấp như là một tùy chọn trong chuẩn thanh toán thẻ thông minh EMV, dưới cái tên viết tắt DDA (xác thực dữ liệu động). Sau khi nghiên cứu kỹ các chuẩn EMV, người ta đã quyết định triển khai DDA trong các thẻ ngân hàng Pháp. Đây là một nỗ lực chưa từng có trong việc sử dụng mật mã khóa công khai trong các thiết bị đại chúng.
Tương lai
Với 3DES, RSA và DDA trên bo mạch, các loại thẻ ngân hàng của Pháp đạt được mức độ tinh xảo của việc sử dụng mật mã. Và thật ngạc nhiên khi các nhà nghiên cứu phát hiện ra rằng, khi đó ở hầu hết các nước thẻ tín dụng không có Chip... Tuy nhiên, người ta hy vọng rằng các thẻ có gắn Chip sẽ được phổ biến rộng rãi, ít nhất là ở Châu Âu. Tất nhiên, sự tiến bộ của các thuật toán phân tích số sẽ được các ngân hàng theo dõi sát sao, và các kích thước khóa lớn hơn là hướng sẽ xuất hiện. Và việc sử dụng đường cong Elliptic có thể sẽ xuất hiện trong tương lai không xa.
10:00 | 14/06/2022
13:00 | 26/02/2024
Operation Triangulation là một chiến dịch phức tạp nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Tạp chí An toàn thông tin đã từng cung cấp một số bài viết liên quan đến chiến dịch này, như giải mã tính năng che giấu của phần mềm độc hại TriangleDB, những cuộc tấn công zero-day trên thiết bị iOS hay giới thiệu cách sử dụng công cụ bảo mật phát hiện tấn công zero-click. Tiếp nối chuỗi bài viết về chiến dịch Operation Triangulation, bài viết sẽ phân tích các phương thức khai thác, tấn công chính của tin tặc trong chuỗi tấn công này, dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024