Защита информации в смарт-картах

Механизмы защиты информации

Пассивная аутентификация — проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.

Активная аутентификация — внутренняя и внешняя аутентификация методом challenge-response.

Аутентификация данных — использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.

Шифрование данных — использование шифрации данных в командах чтения, записи и обновления.

Возможности обеспечения безопасности при использовании смарт-карт

Аутентификация карт

· Терминал проверяет подлинность карты перед началом транзакции.

· Перед выпуском её в обиход эмитент вводит в каждую карту и терминал секрет.

· Карта должна подтвердить терминалу, что она знает секрет.

· Карта не должна раскрывать секрет во время аутентификации.

· Так как карта знает секрет, значит это подлинная карта.

Аутентификация терминала

· Перед выпуском карты эмитент записывает в каждую карту и терминал секрет.

· Подлинный терминал должен уметь проверять, что он знает тот же секрет, который записан в карте.

· Так как терминал проверяет подлинность карты, она в свою очередь предоставляет требуемые права на доступ.

Аутентификация держателя карты

· Карта гарантирует, что только держатель карты может её использовать.

· Эмитент записывает в каждую карту PIN держателя карт.

· Карта предоставляет карт держателю доступ, так как он знает PIN.

· Карта может быть запрограммирована так, что при введении неправильного PIN кода она заблокируется.

· Биометрическая аутентификация (по отпечатку большого пальца, по сетчатке глаза, по динамической подписи)

Сертификация транзакций

· Эмитент записывает в каждую карту уникальный сертификационный ключ, подтверждающий право доступа держателя карт.

· После успешного прохождения терминальной аутентификации и аутентификации держателя карты, терминал посылает транзакцию в карту.

· На основе сертификационного ключа карта генерирует электронную подпись.

· Тот факт, что подпись проверена, указывает на легитимность транзакции.

Конфиденциальность данных

· Эмитент записывает в каждую карту уникальный ключ шифрования перед ее выпуском.

· Этот ключ используется для шифрования данных между терминалом и удаленным компьютером.

Полезная информация:

Организационное устройство коммерческого банка
Высшим органом коммерческого банка является общее собрание акционеров, которое должно проходить не реже одного раза в год. На нем присутствуют представители всех акционеров банка на основании доверенности. Общее собрание правомочно решать вынесенные на его рассмотрение вопросы, если в заседании при ...

Анализ прибыльности работы банка
Из теории рисков известно, что чем выше прибыльность, тем выше степень риска. Банк должен быть защищен от излишне рисковых операций. Поэтому управление прибыльностью банка сводится к следующему: - управление доходами банка; - контроль за формированием прибыли; - оценка уровня доходности и прибыли б ...

Измерение и ограничение валютного риска
Общий подход к проблеме измерения и ограничения валютного риска заключается в том, чтобы ограничить размер открытой позиции по каждой валюте ежедневно на конец рабочего дня. Тогда нетто-открытые позиции могут быть выражены как процент банковского капитала, активов или как другие значимые отношения. ...