欢迎来到天天文库
浏览记录
ID:14656290
大小:28.00 KB
页数:4页
时间:2018-07-29
《网银u盾安全漏洞的分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网银U盾安全漏洞分析USBKey是一种USB接口的硬件存储设备。USBKey的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USBKey有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法可以实现对用户身份的认证。目前USBKey被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。USBKey在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某
2、某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USBKey的网上银行认证的安全性产生怀疑和顾虑。本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USBKey的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道最新加密锁和USBKey的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。行业安全专家基本都公认USBKey是安全可靠的,那么USBKey为什么是安全的呢?目前有几
3、个重要的性能指标能够说明USBKey的安全性。1、硬件PIN码保护黑客需要同时取得用户的USBKey硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USBKey不被盗取,合法用户的身份就不会被仿冒;如果用户的USBKey遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。2、安全的存储介质USBKey的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USBKey内的程序调用。从USBKey接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。3、公钥密
4、码体制公钥密码体制和数字证书从密码学的角度上保证了USBKey的安全性,在USBKey初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USBKey外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USBKey介质,以此来保证以USBKey为存储介质的数字证书认证在安全上无懈可击。4、硬件实现加密算法USBKey内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加
5、解密运算在USBKey内进行,保证了用户密钥不会出现在计算机内存中。以上几点是USBKey在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。1、硬件PIN码就绝对安全吗?目前的大多数银行使用的USBKey的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USBKey的PIN码,这也是目前大多数USBKey存在的一个漏洞。知道了PIN码后,如果用户忘记将USBKey从电脑上取出,那么黑客还可以进一步通过PIN码来操作USBKey.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制
6、,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USBKey是否还能保证安全交易呢?我看未必,因为此时USBKey的PIN码已经完全可能会被黑客拦截,当用户操作完一次USBKey后,假如没有立即拔出USBKey,那么黑客完全可能在这个间歇期伪造一次交易,而此时USBKey以及PIN码都可以验证通过。2、外部真的无法读取Key内部的密钥吗?USBKey的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USBKey操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。3、
7、数字证书公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。4、如何保证通讯安全虽然USBKey内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USBKey的过程中还是有可能被拦截和修改,USBKey内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。那么,理想中安全的USBKey应该是什么样子的呢?1、针对现有USBKey的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键
8、盘录入PIN码。也就是说,交易时候接入USBKey,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USBKey的设备上按一下指纹,就能自动验证个人身份,这种
此文档下载收益归作者所有