Seguridad de cajeros automáticos
|
|
Cajeros automáticos Primero fueron utilizados en 1939. En la actualidad, aproximadamente 1,5 millones están instalados en todo el mundo.[1]
En el examen de ATM, hay diversos aspectos que deben considerarse. En primer lugar, hay que tener una idea acerca de la comunicación dentro de los cajeros automáticos. Segundo, la cuestión de la seguridad es de suma importancia porque todo el mundo, hay un creciente uso de cajeros automáticos y los riesgos de Hacking resultan una realidad más que nunca antes. En el pasado, la función de los cajeros automáticos era entregar dinero en efectivo en forma de billetes de banco y a debitar una cuenta bancaria correspondiente. Las tarjetas fueron utilizadas para identificar al usuario. En cuanto a la retirada de dinero, se utilizaron diferentes métodos. Por ejemplo, se utilizaron tarjetas perforadas. Mediante el uso de tales tarjetas, único pago fue autorizado. De este modo, un usuario tenía que obtener un suministro de tarjetas de su banco porque las tarjetas perforadas no fueron devueltos al usuario. Otro ejemplo fue el uso de un tarjeta magnética que tenía una vida útil limitada. El uso de tales tarjetas permitidos; por ejemplo, veinte retiros de dinero. Desde el principio, número de identificación personal (PIN) ha sido de gran importancia en el funcionamiento general.[2]
El uso del mismo se ha hecho con el objetivo de disminuir los riesgos que pudieran derivarse de la pérdida de tarjetas y los usos erróneos que podrían estar relacionados a eso. De hecho, en el pasado como en el presente, ha habido diferentes aspectos en la consideración de los diseños y las bases comunicativas de cajeros automáticos. Un aspecto de ello ha sido cómo sería posible la comunicación entre sus participantes.[3] El segundo ha sido tomar en consideración los efectos que podrían ser una parte y una parcela de cualquier acto comunicativo. En este contexto, hay diferentes participantes involucrados en la comunicación de los cajeros automáticos. Por citar sólo algunos de ellos, en una comunicación de ATM, hay interlocutores remotos y las interfaces con el mundo exterior y estas interfaces están a su vez sujeta a más de una clasificación. La primera interfaz representa la relación entre el usuario y cajero automático. La segunda interfaz se produce entre la ATM y la computadora del banco central.
Contenido
- 1 Protección de la comunicación [4]
- 1.1 Validación de PIN, gestión y control algorítmico
- 1.1.1 Validación de PIN para transacciones locales
- 1.1.1.1 Validación de PIN en línea
- 1.1.1.2 Validación de PIN off-line
- 1.1.2 Validación de PIN para las transacciones de intercambio
- 1.1.2.1 Cajeros automáticos compartidos [5]
- 1.1.1 Validación de PIN para transacciones locales
- 1.2 Hardware Security Module
- 1.3 Autenticación e integridad de datos
- 1.1 Validación de PIN, gestión y control algorítmico
- 2 Seguridad [7]
- 3 Conclusión
- 4 Referencias
- 5 Enlaces externos
Protección de la comunicación [4]
Validación de PIN, gestión y control algorítmico
El método de comprobación se basa en un algoritmo que suele ser un cifrado con una clave secreta.
Validación de PIN para transacciones locales
Validación de PIN en línea
La validación del PIN en línea se produce si el terminal en cuestión está conectado a la base de datos central. PIN introducido del cliente siempre se compara contra como en el financiero instituciones registradas PIN de referencia.
Validación de PIN off-line
En la validación de PIN off-line, el cajero automático no está conectado a la base de datos central. Una condición para la validación del PIN off-line es que el ATM debe ser capaz de comparar el PIN introducido del cliente contra el pasador de referencia. el terminal debe ser capaz de realizar criptográfico las operaciones y deben tener a su disposición la necesaria claves de cifrado su muy lento. Hoy en día, validación Offline PIN es muy obsoleto, como los cajeros automáticos están conectados al servidor central mediante comunicación inalámbrica, cualquier interrupción de los procesamientos de red inutilizable hasta su fijo el ATM
Validación de PIN para las transacciones de intercambio
Hay tres procedimientos PIN para la operación de una transacción de intercambio seguro alta. PIN está codificado en la entrada de la terminal, que se utiliza una clave criptográfica. Además de otros elementos de la transacción, el PIN encriptado se transmite a la adquirentedel sistema. En segundo lugar se encamina el PIN cifrado del sistema de la adquirente a un Hardware Security Module. En su interior, con el uso de la clave criptográfica de la terminal, el PIN será descifrado. Con una clave criptográfica utilizada para el intercambio, la clave de descifrado va ser cifrarse inmediatamente y se enrutarán al sistema del emisor sobre canales de comunicación normales. En tercer lugar, el pasador de enrutado será descifrado en módulo de seguridad del emisor y luego validado sobre la base de las técnicas para la validación del PIN local on-line.
Existen diferentes métodos utilizados en los cajeros automáticos compartidos en relación con el cifrado de PIN y autenticación de mensajes entre ellos es la llamada "zona de encriptación". En este método, una autoridad de confianza es designada para operar en nombre de un grupo de bancos así como podrían intercambiar mensajes para las aprobaciones de pago ATM.
Hardware Security Module
Para una comunicación exitosa entre un banco y cajeros automáticos, la incorporación de un módulo criptográfico denominado módulo de seguridad es de una importancia muy grande. El módulo de seguridad está diseñado para ser a prueba de manipulaciones.[6] El módulo de seguridad realiza una plétora de funciones entre ellas la verificación de PIN, traducción de PIN en intercambio, Gestión de claves y autenticación de mensajes. En lo que respecta a la utilización de PIN en intercambios, el perno puede ser traducido en el módulo de seguridad de la clave criptográfica y el formato utilizado por ATM para el formato utilizado para el intercambio. Además, la generación, el control, el mantenimiento y la protección de todas las claves asociadas con la red del usuario están dentro de las capacidades del módulo de seguridad.
Autenticación e integridad de datos
En la consideración del proceso de verificación personal, comienza con la fuente del usuario de la información de verificación personal. Es que "los usuarios recordada información". Estas informaciones incluyen entre otros un alfiler e información del cliente siempre que se registra en la tarjeta bancaria. En los casos donde hay un almacén de una clave criptográfica de la tarjeta bancaria, se llama Personal clave (KP). el rendimiento de identificación personal puede realizarse por los parámetros de autenticación (AP). Hay dos formas posibles de su funcionamiento. En el, un AP puede ser tiempo invariante. En tal caso, un AP de referencia se puede almacenar en una tabla de verificación en el emisor y puede ser precomputed. Por otro lado, un AP puede ser tiempo variante. En tal caso, tenemos el cálculo dinámico de un AP de referencia. Otro punto digno de mención es el caso donde tenemos una IP que se basa en ambos información variante en tiempo y en el mensaje de solicitud de transacción. En un caso donde un AP puede ser utilizado como un Código de autenticación de mensaje (MAC), el uso de autenticación de mensajes se hace recurrir a averiguar rancios o falsos mensajes que podrían canalizarse tanto en la vía de comunicación y la detección de los mensajes modificados que son fraudulentas y que puede recorrer sistemas de comunicación no segura. En tales casos, AP resulta para llevar a cabo un doble propósito. Es decir, debe hacerse acudir para verificación personal y autenticación de mensajes. En los casos donde se registra un duplicado de la AP en una tabla de verificación en el código de autenticación o donde el autenticador es capaz de calcular un AP de referencia, se utiliza el código de identificación personal. En casos donde no es posible asegurar la integridad de la tabla de verificación o el secreto y la integridad de la información registrada para computar el AP de referencia, entonces la identificación personal puede morar en ID, AP y un código de autenticación personal (PAC).
Seguridad [7]
Una primera aproximación de exposiciones de seguridad en los sistemas de transferencia electrónica de fondos puede ser hecha sin delimitar sus componentes. Sistemas de transferencia electrónica de fondos tienen tres componentes; es decir enlaces de comunicaciones, Computadoras y terminals(ATMs). Para empezar, enlaces de comunicación son objeto de ataques. Existen dos técnicas hizo acudir en cuanto se refiere a la creación de mensajes. En el, son objeto de ataque por el uso de técnicas pasivas tales como escuchar. Por otro lado, podrían ser objeto de ataque por técnicas de activas tales como alteración de datos y sustitución. Además, ambas técnicas pueden utilizarse en combinación. El segundo componente es la seguridad informática. Existen diferentes técnicas que pueden utilizarse para tener acceso a una computadora como el acceso a través de un terminal remoto u otros dispositivos periféricos como el lector de tarjetas. Como consecuencia de estos ataques, los abusadores podrían copiar, sustituir o destruir los programas o datos guardados en o ser procesado en un sistema informático. En cuanto a seguridad terminal, es de gran importancia en los casos donde residen las claves de cifrado en las terminales. Ante la falta de seguridad física, un abusador puede ser para una llave de la sonda o sustituir su valor. Para evitar esos abusos, la preservación de la integridad de los parámetros no secretos y la confidencialidad de los parámetros secretos debe ser incorporado. Además, el uso de criptosistema de clave pública (PKC) donde las claves públicas en la transferencia electrónica de fondos se hacen recurrir a demostrar para ser inseguro ante la falta de seguridad física en los puntos de entrada. Por otra parte, como una clave pública permite al terminal la autentificación de los mensajes de respuesta recibida del emisor, para la generación de los MACs en los mensajes de solicitud de transacción enviados al emisor, todavía se necesita una clave secreta. En la conducción de las operaciones en la electrónica terminal de transferencia de fondos, lo único que requiere verificación personal. Es decir, la autenticación de un mensaje entre la terminal de EFT y el emisor teóricamente no es necesaria. En tal caso, la instalación de una clave pública en el terminal de transferencia electrónica de fondos sería adecuada en cuanto se refiere a la autorización de verificación personal.
Conclusión
La aplicación de la criptografía (oculta o secreta) para sistemas de transferencia electrónica de fondos ha demostrado que los ataques pueden ocurrir en diferentes subsistemas. En otras palabras, se realiza la protección de los terminales de transferencia electrónica de fondos de ataque por parte de extranjeros no autorizados. Protección del terminal de los iniciados autorizados es una tarea imposible. Para ir más allá de estos problemas, debe aplicarse la aplicación combinada de seguridad física, protección procesal y criptografía.
Referencias
- ^ Número de cajeros automáticos en todo el mundo espera que llegue a 1,5 millones en diciembre de 2005 artículo www.atmmarketplace.com.
- ^ D.W. Davies y W. L. precio (1984). Seguridad para redes de computadoras: una introducción a la seguridad de los datos de Teleproceso y electrónicos transferencia de fondos. ISBN0-471-90063-X.
- ^ Ross Anderson (2001). Ingeniería de seguridad: Una guía para la construcción de sistemas distribuidos confiables, Banca y contabilidad. Inglaterra.
- ^ Meyer, Carl H. & Stephen M. Matyas (1982). Criptografía: una nueva dimensión en seguridad de los datos informáticos; una guía para el diseño e implementación de sistemas seguros. ISBN0-471-04892-5.
- ^ D.W. Davies y W. L. precio (1984). Seguridad para redes de computadoras: una introducción a la seguridad de los datos de Teleproceso y electrónicos transferencia de fondos. ISBN0-471-90063-X.
- ^ Kjell Jørgen agujero (2007). Cajeros automáticos. [[NoWires Research Group Departamento de informática de la Universidad de Bergen]].
- ^ Ross Anderson (1992). Perspectivas - cajeros automáticos. Universidad de Cambridge.
Enlaces externos
- https://www.crypto.Rub.de/its_seminar_ws0708.html -Silla para la seguridad de las comunicaciones, Universidad Ruhr de Bochum