2010年2月22日星期一
芯片信用卡的漏洞 zz
剑桥大学的学生发现了一个芯片卡 EMV 认证机制的 漏洞。
一般正常的芯片卡交易的程序依循为:输入认证码>终端机将输入的密码送给芯片卡>芯片卡进行认证>确认结果。而这个称之为Man-in-the-middle的破解方法,主要就是在输入密码的终端机与芯片卡之间加入一个中间人,不管终端机送什么样的密码过去,中间人都会回传认证成功的讯息,因此终端机就会以为芯片卡已经确认过这组密码而准许进行交易。
这份论文将会发布在今年五月的 IEEE Security and Privacy 期刊上。(视频)
一般正常的芯片卡交易的程序依循为:输入认证码>终端机将输入的密码送给芯片卡>芯片卡进行认证>确认结果。而这个称之为Man-in-the-middle的破解方法,主要就是在输入密码的终端机与芯片卡之间加入一个中间人,不管终端机送什么样的密码过去,中间人都会回传认证成功的讯息,因此终端机就会以为芯片卡已经确认过这组密码而准许进行交易。
这份论文将会发布在今年五月的 IEEE Security and Privacy 期刊上。(视频)
// 发贴者:放牛娃的春天 @ 二月 22, 2010 
订阅 博文 [Atom]