کارگاه بررسی چالش‌های امنیتی تراکنش‌های باواسطه توسط علیرضا قدرتی از گروه توسن برگزار شد

«بررسی چالش‌های امنیتی تراکنش‌های با واسطه در دستگاه کارتخوان موبایلی و ارائه راهکار مبتنی بر DUKPT» در دومین روز از همایش بانکداری الکترونیک و نظام‌های پرداخت توسط علیرضا قدرتی از شرکت توسن ارائه شد.
علیرضا قدرتی در ابتدای سخنرانی خود با تاکید بر اینکه حفظ دیتاهای مشتری دغدغه ما بوده است گفت:« نکته جدیدی که اخیرا به آن پرداخته شده نقطه P2PE است. به این معنا که ارسال تراکنش از یک نقطه به نقطه دیگر، باید رمزگذاری شده باشد. هدف از رمزنگاری تبدیل پیغام اصلی به پیغامی است که موجودیت‌های غیرمجاز قادر به درک آن نباشند. در اصول رمزنگاری بر اساس نوع کلید به کار رفته دو روش کلی متقارن و نامتقارن برای رمزنگاری تعریف می‌شود.»

او ادامه داد: «نیازمندی‌های امنیت اطلاعات؛ محرمانگی و حفظ تمامیت است. منظور از محرمانگی آن است که فقط گیرنده اصلی پیغام بتواند آن را بفهمد و دیگر موجودیت‌ها حتی اگر بتوانند پیغام ارسالی را به دست آورند، محتویات آن را درک نکنند. حفظ تمامیت به این معناست که گیرنده پیغام بتواند هرگونه دستکاری در پیغام دریافتی را تشخیص دهد و بتواند اطمینان یابد پیغامی که دریافت شده درست همان است که فرستنده ارسال کرده است.»
قدرتی با اشاره به استفاده از کلید اصلی گفت:« بیشتر پی‌اس‌پی‌ها (PSP) در ایران از روش کلید اصلی (Master keys/transaction keys) استفاده می‌کنند. در این روش، سه کلید به ازای هر پوز تولید می‌شود و با کلید ترمینال رمزنگاری و به پوز فرستاده می‌شود. سپس پوز می‌تواند از این کلیدها استفاده کند. اما مساله این است که این کلیدها ثابت هستند. هرچقدر از کلید Master برای رمزنگاری استفاده شود، به همان میزان کلید شکننده‌تر و ضعیف‌تر می‌شود. بهتر است از کلید Master به عنوان حامل و رمزکننده کلیدهای دیگر و یا مشتق‌سازی کلیدهای موقت استفاده شود. هزینه‌های شکستن کلیدهای موقت بسیار بالاست و در صورت شکسته شدن کلید موقت، سیستم به خطر نمی‌افتد و تنها همان کلید موقت شکسته شده است. وابسته شدن تولید کلید موقت بر اساس تاریخ و یا شمارنده، کلیدهای موقت را به کلیدهای یک‌بار مصرف تبدیل می‌کند.»

او با بیان اینکه روش DUKPT که از سال 1990 به بعد، با درک خطر Master keys مورد استفاده قرار گرفت، برای مدیریت امنیت تراکنش‌ها بسیار مفید است، گفت: «روش DUKPT از جانب PCI DSS توصیه شده است. در این روش، مرکز یک کلید به عنوان کلید بیس در مرکز مدیریت ترمینال نگهداری می‌شود. بر اساس دیتای مرکز، به ازای هر ترمینال، کلیدی به اسم TIK تولید می‌شد و به ترمینال ارسال می‌شود. در واقع تنها کلیدی که در مرکز وجود دارد، BDK است و نیازی نیست کلیدهای دیگر را حفظ کرد. به این ترتیب سه کلید مشتق‌سازی می‌شود، دیتای حساس مشتری با همین کلیدها رمزنگاری می‌شود.»

علیرضا قدرتی با تاکید بر اینکه مساله مهم در این میان، تراکنش‌های بی‌واسطه در پوز است، عنوان کرد:« پوز یک پکیج بسته (close system) است و کل دیتای تراکنش، داخل پوز پردازش می‌شود. ریسک پوزها برای کشف این دیتاها خیلی پایین است، اما mPOS یک پکیج باز است. بین mPOS و دستگاه، merchant قرار دارد و ممکن است اطلاعات هک شوند. در mPOS می‌توان روش یک‌بار مصرف را استفاده کرد. از آنجا که رمزها، کلیدهای متفاوتی هستند، هزینه هک بسیار بالا می‌رود و عملا امکان هک به صفر می‌رسد.»
او در ادامه عنوان کرد: «برنامه پرداخت مستقر در کارتخوان موبایلی، سرویس‌های مرتبط با عملیات پرداخت را در بستر بلوتوث به برنامه مستقر در دستگاه مرچنت ارائه می‌دهد و درنهایت دستگاه مرچنت با استفاده از LAN و یا GPRS اطلاعات تراکنش را به سرور مرچنت و یا سوییچ پرداخت ارسال می‌کند.»
علیرضا قدرتی درباره ویژگی‌های کارتخوان‌های موبایلی گفت:«طراحی سبک و سهولت در عمل و استفاده و سازگار بودن با پلتفرم IOS و اندروید از جمله ویژگی‌های این کارتخوان‌هاست. از سوی دیگر مرچنت می‌تواند برنامه کاربردی مطابق با کسب‌وکار خود را برروی ابزار هوشمند خودش داشته باشد. مرچنت می‌تواند مبلغ خدمات ارائه شده به مشتری را توسط برنامه کاربردی متعلق به خودش محاسبه کند و نیاز به ورود دستی مبلغ تراکنش نیست. مشتری نیز می‌تواند با خیال راحت، داده‌های حساس خود را همچون داده‌های کارت و رمز مشتری، در ابزار پرداخت Mpos وارد کند.»
او در پایان تصریح کرد:«استفاده از روش DUKPT برای مدیریت امنیت تراکنش‌ها است. متد DUKPT با HSM ها سازگار و مبتنی بر استفاده از SESSION KEY است. بیشتر متدهای POS از متد DUKPT پشتیبانی می‌کنند و می‌توان آن را در POS های ثابت فروشگاهی استفاده کرد. همچنین متد DUKPT را می‌توان در پوزهای شعبه‌ای و دستگاه‌های ATM و VTM نیز استفاده کرد. با استفاده از متد DUKPT، هزینه مدیریت کلید ترمینال‌ها در سمت مرکز مدیریت ترمینال شرکت‌های پرداخت الکترونیک و بانک‌ها کاهش می‌یابد.»