پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
انیگما و فلسفه پشت آن به کمک امنیت کارتهای بانکی آمده است
رضا قربانی؛ ماهنامه دانشمند / امنیت در تراکنشهای بانکداری و پرداخت مقوله مهمی است که هر سال به اهمیت آن هم اضافه میشود. مردم انتظار دارند بانکهایشان امن باشند و پرداختهایشان بدون هرگونه مشکلی انجام شود. امنیت هم مثل هوا میماند. وقتی هست کسی بودنش را احساس نمیکند ولی زمانی که نیست، همه نبودنش را احساس میکنند.
امنیت با این که هر سال بیشتر و بهتر میشود ولی کسانی که دشمن امنیت هستند هر سال قویتر میشوند. با این که عمر کارتهای بانکی در سالهای آینده به پایان میرسد اما اخیراً فناوری استفاده شده در ماشین «انیگما» به کمک امنیت کارتهای بانکی آمده است. انیگما ماشینی بود که آلمانهای نازی در جنگ جهانی دوم برای رمزگذاری پیامهای ارتباطیشان استفاده میکردند. همان طرز تفکری که در روح این ماشین جاری بود امروز به کمک افزایش فناوری کارتهای بانکی آمده است.
انیگما
در جنگ جهانی دوم، نازیها برای کدگذاری ارتباطات خود از ماشینی به نام انیگما استفاده میکردند که کسی نتوانسته بود سر از کارش دربیاورد. آلن تورینگ توانست این ماشین را از پا دربیاورد! این ماجرا در فیلم «بازیهای تقلید» به خوبی بیان شده است؛ اما اولین بار این آمریکاییها نبودند که رمز دستگاه را شکستند.
انیگما دستگاهی بود که آلمانهای نازی برای رمزگذاری و رمزگشایی ساختند. این دستگاه برای رمزگذاری پیامهای محرمانه استفاده میشد. آرتور شربیوس مهندس آلمانی بود که در پایان جنگ جهانی اول این دستگاه را ساخت و بعداً مدلهای متعددی از آن تولید شد. ایتالیاییها و ژاپنیها هم مدلهایی از این دستگاه را ساختند. اولین بار لهستانیها رمز این دستگاه را شکستند.
۳ ریاضیدان لهستانی توانستند با مهندسی معکوس گونه از این دستگاه را بسازند و پیامهای آلمانیها را رمزگشایی کنند. البته انیگما در یک سطح باقی نمانده بود و مدام بهبود پیدا میکرد و همین شکست قفل این دستگاه را مدام سختتر و سختتر میکرد. گرچه انیگما دارای ضعفهای رمزنگاری بود ولی در اصل ضعف در رویهٔ آلمان، ایرادهای کاربران و معرفی نکردن تغییرات روشهای رمزنگاری بهصورت سیستماتیک و پی بردن متفقین به جدولهای رمزگشایی و ویژگیهای سختافزاری انیگما در طول جنگ باعث پیروزی رمزگشایان متفقین شد.
با این که فناوری استفاده شده در انیگما مربوط به جنگ جهانی دوم است اما امروز به کمک افزایش امنیت چندلایه کارتهای بانکی آمده است. در حال حاضر در پشت کارتهای نقدی یا اعتباری سه رقم وجود دارد که به آن CVV میگویند. البته در ایران این رقم بر رو یا پشت کارت درج نمیشود بلکه در ایران یک شماره سه یا چهار رقمی روی کارت وجود دارد که به آن CVV2 میگویند.
در پرداختهای اینترنتی و تراکنشهای بدون حضور فیزیکی کارت مانند خرید از طریق اینترنت از این عدد استفاده میشود. CVV یکی از بخشهای مهم مربوط به کارتهای بانکی است.
به کمک فناوری انیگما در کارتهای بانکی این رقم دیگر ثابت نیست و بهصورت مرتب تغییر میکند و همین کار را برای کسانی که به دنبال تقلب هستند سخت میکند. به نظر میرسد از سال ۲۰۰۴ تا امروز این فناوری مهمترین تغییری است که در مقوله امنیت کارتها اتفاق افتاده است. سال ۲۰۰۴ بحثهای مرتبط با EMV شروع شد.
هرچند که زمانی آلن تورینگ، پدر علم کامپیوتر، توانست ماشین انیگما را به زانو درآورد، اما انیگما در زمان خودش قدرتی نسبتاً شکست ناپذیر بود. تازه تورینگ توانسته بود یکی از تنظیمات انیگما را کشف کند و درصورتیکه کاربران انیگما متوجه این کشف رمز شده بودند و سیستم رمزگذاری انیگما را تغییر میدادند کاری از دست تورینگ برنمیآمد و دوباره باید همه چیز را از اول شروع میکرد.
هماکنون بانک بارکلیز که یکی از ۵ بانک مطرح جهان است استفاده از این فناوری را شروع کرده است. به عبارتی کاربر هر بار که میخواهد از کارت استفاده کند، در بالای نوار مغناطیسی کارت، رقمی را میبیند که با دفعه پیش تفاوت دارد. استفاده از CVV در کارتهای بانکی از ۲۰ سال پیش آغاز شده است و شاید در نگاهی بسیار خوشبینانه این فناوری، برای همیشه دورهاش را هم تمام کند.
.
کاهش احتمال ریسک
به گفته پروفسور آلن وودوار، متخصص امنیت سایبری در دانشگاه سوری این فناوریها موانعی را بر سر راه مجرمان سایبری قرار میدهد. گفته میشود در بریتانیا فقط در سال گذشته ۲۰۲۵۵ نفر مورد سوءقصد سایبری قرار گرفتند که در مجموع ۷۵۵ میلیون پوند هزینه به آنها تحمیل کرده است. هکرها معمولاً در کمتر از دو ثانیه میتوانند رقم ثابت CVV را کشف کنند. البته اگر پذیرندگان هم این رقم را ذخیره کنند، باز حفرهای امنیتی ایجاد میشود.
در ایران البته ما از ساختاری مخصوص به خودمان استفاده میکنیم که در هیچ کجای دنیا سابقه ندارد. بااینحال ساختار فعلی استفاده شده در اروپا و آمریکا هم بدون نقص نیست. استفاده از CVV استاتیک، احتمال سوءاستفاده از کارت را بالا میبرد که حالا بانک بارکلیز میخواهد به کمک CVV پویا این احتمال را کاهش دهد.
.
رمزگذاری و رمزگشایی
در هر ارتباطی یک فرستنده وجود دارد و یک گیرنده. کانال هم بین این دو قرار دارد. پیام برای این که از فرستنده وارد کانال شود رمزگذاری میشود و در مقصد فرستنده آن را رمزگشایی میکند. در مقصد برای رمزگشایی لازم است با همان فرایندی که در مبدأ انجام شده بهصورت معکوس انجام شود؛ بنابراین فرستنده و گیرنده سر سیستم رمزگذاری و رمزگشایی باید اتفاق نظر داشته باشند. بهعنوان نمونه وقتی یکی به زبان انگلیسی صحبت میکند طرف دیگر هم باید به این زبان مسلط باشد و به فرض اگر انگلیسی نداند و هر زبان دیگری را هم بداند باز فایده ندارد و متوجه پیام نمیشود.
در تراکنشها بانکی و غیربانکی هم پیام بین دو واحد ردوبدل میشود. وقتی حساسیت در جای خاصی بالا میرود لازم است که سیستم رمزگذاری و رمزگشایی برای عموم قابلاستفاده نباشد. در سیستمهای بانکی وقتی رمز عبور خود را مثلاً پای دستگاه عابربانک وارد میکنید همان جا رمزگذاری میشود. در مسیر بین فرستنده و گیرنده حتی اگر کسی موفق شود اطلاعات را شنود کند، به دلیل این که سیستم رمزگذاری را نمیداند عملاً اطلاعات برایش بدون استفاده خواهد ماند.