راه پرداخت
رسانه فناوری‌های مالی ایران

انیگما و فلسفه پشت آن به کمک امنیت کارت‌های بانکی آمده است

رضا قربانی؛ ماهنامه دانشمند / امنیت در تراکنش‌های بانکداری و پرداخت مقوله مهمی است که هر سال به اهمیت آن هم اضافه می‌شود. مردم انتظار دارند بانک‌هایشان امن باشند و پرداخت‌هایشان بدون هرگونه مشکلی انجام شود. امنیت هم مثل هوا می‌ماند. وقتی هست کسی بودنش را احساس نمی‌کند ولی زمانی که نیست، همه نبودنش را احساس می‌کنند.

امنیت با این که هر سال بیشتر و بهتر می‌شود ولی کسانی که دشمن امنیت هستند هر سال قوی‌تر می‌شوند. با این که عمر کارت‌های بانکی در سال‌های آینده به پایان می‌رسد اما اخیراً فناوری استفاده شده در ماشین «انیگما» به کمک امنیت کارت‌های بانکی آمده است. انیگما ماشینی بود که آلمان‌های نازی در جنگ جهانی دوم برای رمزگذاری پیام‌های ارتباطی‌شان استفاده می‌کردند. همان طرز تفکری که در روح این ماشین جاری بود امروز به کمک افزایش فناوری کارت‌های بانکی آمده است.

انیگما

در جنگ جهانی دوم، نازی‌ها برای کدگذاری ارتباطات خود از ماشینی به نام انیگما استفاده می‌کردند که کسی نتوانسته بود سر از کارش دربیاورد. آلن تورینگ توانست این ماشین را از پا دربیاورد! این ماجرا در فیلم «بازی‌های تقلید» به خوبی بیان شده است؛ اما اولین بار این آمریکایی‌ها نبودند که رمز دستگاه را شکستند.

انیگما دستگاهی بود که آلمان‌های نازی برای رمزگذاری و رمزگشایی ساختند. این دستگاه برای رمزگذاری پیام‌های محرمانه استفاده می‌شد. آرتور شربیوس مهندس آلمانی بود که در پایان جنگ جهانی اول این دستگاه را ساخت و بعداً مدل‌های متعددی از آن تولید شد. ایتالیایی‌ها و ژاپنی‌ها هم مدل‌هایی از این دستگاه را ساختند. اولین بار لهستانی‌ها رمز این دستگاه را شکستند.

Enigma-Index-way2pay-95-11-20b

۳ ریاضیدان لهستانی توانستند با مهندسی معکوس گونه‌ از این دستگاه را بسازند و پیام‌های آلمانی‌ها را رمزگشایی کنند. البته انیگما در یک سطح باقی نمانده بود و مدام بهبود پیدا می‌کرد و همین شکست قفل این دستگاه را مدام سخت‌تر و سخت‌تر می‌کرد. گرچه انیگما دارای ضعف‌های رمزنگاری بود ولی در اصل ضعف در رویهٔ آلمان، ایرادهای کاربران و معرفی نکردن تغییرات روش‌های رمزنگاری به‌صورت سیستماتیک و پی بردن متفقین به جدول‌های رمزگشایی و ویژگی‌های سخت‌افزاری انیگما در طول جنگ باعث پیروزی رمزگشایان متفقین شد.

با این که فناوری استفاده شده در انیگما مربوط به جنگ جهانی دوم است اما امروز به کمک افزایش امنیت چندلایه کارت‌های بانکی آمده است. در حال حاضر در پشت کارت‌های نقدی یا اعتباری سه رقم وجود دارد که به آن CVV می‌گویند. البته در ایران این رقم بر رو یا پشت کارت درج نمی‌شود بلکه در ایران یک شماره سه یا چهار رقمی روی کارت وجود دارد که به آن CVV2 می‌گویند.

Enigma-Index-way2pay-95-11-20

در پرداخت‌های اینترنتی و تراکنش‌های بدون حضور فیزیکی کارت مانند خرید از طریق اینترنت از این عدد استفاده می‌شود. CVV یکی از بخش‌های مهم مربوط به کارت‌های بانکی است.

به کمک فناوری انیگما در کارت‌های بانکی این رقم دیگر ثابت نیست و به‌صورت مرتب تغییر می‌کند و همین کار را برای کسانی که به دنبال تقلب هستند سخت می‌کند. به نظر می‌رسد از سال ۲۰۰۴ تا امروز این فناوری مهم‌ترین تغییری است که در مقوله امنیت کارت‌ها اتفاق افتاده است. سال ۲۰۰۴ بحث‌های مرتبط با EMV شروع شد.

هرچند که زمانی آلن تورینگ، پدر علم کامپیوتر، توانست ماشین انیگما را به زانو درآورد، اما انیگما در زمان خودش قدرتی نسبتاً شکست ناپذیر بود. تازه تورینگ توانسته بود یکی از تنظیمات انیگما را کشف کند و درصورتی‌که کاربران انیگما متوجه این کشف رمز شده بودند و سیستم رمزگذاری انیگما را تغییر می‌دادند کاری از دست تورینگ برنمی‌آمد و دوباره باید همه چیز را از اول شروع می‌کرد.

هم‌اکنون بانک بارکلیز که یکی از ۵ بانک مطرح جهان است استفاده از این فناوری را شروع کرده است. به عبارتی کاربر هر بار که می‌خواهد از کارت استفاده کند، در بالای نوار مغناطیسی کارت، رقمی را می‌بیند که با دفعه پیش تفاوت دارد. استفاده از CVV در کارت‌های بانکی از ۲۰ سال پیش آغاز شده است و شاید در نگاهی بسیار خوش‌بینانه این فناوری، برای همیشه دوره‌اش را هم تمام کند.

.

کاهش احتمال ریسک

به گفته پروفسور آلن وودوار، متخصص امنیت سایبری در دانشگاه سوری این فناوری‌ها موانعی را بر سر راه مجرمان سایبری قرار می‌دهد. گفته می‌شود در بریتانیا فقط در سال گذشته ۲۰۲۵۵ نفر مورد سوءقصد سایبری قرار گرفتند که در مجموع ۷۵۵ میلیون پوند هزینه به آن‌ها تحمیل کرده است. هکرها معمولاً در کمتر از دو ثانیه می‌توانند رقم ثابت CVV را کشف کنند. البته اگر پذیرندگان هم این رقم را ذخیره کنند، باز حفره‌ای امنیتی ایجاد می‌شود.

در ایران البته ما از ساختاری مخصوص به خودمان استفاده می‌کنیم که در هیچ کجای دنیا سابقه ندارد. بااین‌حال ساختار فعلی استفاده شده در اروپا و آمریکا هم بدون نقص نیست. استفاده از CVV استاتیک، احتمال سوءاستفاده از کارت را بالا می‌برد که حالا بانک بارکلیز می‌خواهد به کمک CVV پویا این احتمال را کاهش دهد.

.

رمزگذاری و رمزگشایی

در هر ارتباطی یک فرستنده وجود دارد و یک گیرنده. کانال هم بین این دو قرار دارد. پیام برای این که از فرستنده وارد کانال شود رمزگذاری می‌شود و در مقصد فرستنده آن را رمزگشایی می‌کند. در مقصد برای رمزگشایی لازم است با همان فرایندی که در مبدأ انجام شده به‌صورت معکوس انجام شود؛ بنابراین فرستنده و گیرنده سر سیستم رمزگذاری و رمزگشایی باید اتفاق نظر داشته باشند. به‌عنوان نمونه وقتی یکی به زبان انگلیسی صحبت می‌کند طرف دیگر هم باید به این زبان مسلط باشد و به فرض اگر انگلیسی نداند و هر زبان دیگری را هم بداند باز فایده ندارد و متوجه پیام نمی‌شود.

در تراکنش‌ها بانکی و غیربانکی هم پیام بین دو واحد ردوبدل می‌شود. وقتی حساسیت در جای خاصی بالا می‌رود لازم است که سیستم رمزگذاری و رمزگشایی برای عموم قابل‌استفاده نباشد. در سیستم‌های بانکی وقتی رمز عبور خود را مثلاً پای دستگاه عابربانک وارد می‌کنید همان جا رمزگذاری می‌شود. در مسیر بین فرستنده و گیرنده حتی اگر کسی موفق شود اطلاعات را شنود کند، به دلیل این که سیستم رمزگذاری را نمی‌داند عملاً اطلاعات برایش بدون استفاده خواهد ماند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.