目前国内在商用密码领域中使用的加解密一般都普遍使用对称密钥算法,主要是由于其运算速度快,算法公开,技术成熟。对称密钥算法又以DES算法或3DES算法运用更为普遍。
在对称密钥算法中为了保证密钥的安全,一般都采用三层密钥体系来进行保护。三层密钥体系由主密钥、区域密钥和通讯密钥构成。主密钥是用来保护区域密钥的,区域密钥是用来保护通讯密钥的,通讯密钥是真正参与到交易中用来加解密的。主密钥和区域密钥一般都是由多人掌握密钥分量,分别注入到硬件加密机中后由加密机自行合成的,通讯密钥一般是由系统和系统之间自行约定产生的,由区域密钥加密后保存在系统中,一般都保存在数据库中。
首先我们来看一下如何实现PIN的泄露。目前国内普遍采用的加密机其所带的标准指令集中可以使用一个区域密钥来加密其他的区域密钥并将密文输出,那么如果该加密机中存在一个我们知晓明文的区域密钥,那么通过该指令集我们就可以获取所有的区域密钥的明文了,从而可以进一步从数据库中解密出所有的通讯密钥的明文,获取了通讯密钥的明文就可以进一步解密出PIN的明文了。
由于业务需要PIN的转换指令是必须存在的,如果在加密机中存在一个我们知晓明文的区域密钥,那么只要利用PIN转换指令集我们就可以直接获取到PIN的明文了。
因此在加密机中如何确保区域密钥不被泄露出去是至关重要的。例如:严格禁止将生产的加密机即用于生产又用于测试;严格禁止在生产加密机中注入测试密钥;严格执行密钥分量分段保管的原则防止密钥泄露等等。但是这些原则对一些小型的商业机构往往很难被严格遵守或执行,因此一旦控制不严很容易发生内部泄密事件,如果该机构又是作为收单行,那么被泄露的信息范围就可能不仅仅局限在该机构自身了。
下面我们再来看一下如何实现针对加密机的攻击。加密机的标准指令集中可以通过指令要求加密机产生随机分量并存储到指定的密钥索引中,那么如果有一个程序对加密机中所有的密钥索引均执行上述指令,那么原先保存的用于生产的区域密钥将全部被替换,其带来的直接后果是所有的交易将全部失败。
因此对于区域密钥的及时备份是非常重要的,在应急处理时可以使用备份密钥导入的方式来恢复原先的区域密钥。另外,对于加密机的指令集在可能的情况下尽量实现指令集定制是一个比较好的预防手段。对于直接参与到交易的加密机尽量只保留交易所必需的指令集,将管理指令尽量的缩减或取消,可以有效的防止该类攻击手段。不过该项工作需要加密机厂商同应用开发方密切配合方能实现。
目前看来,在加密机的使用过程中还是存在着一些风险和隐患的,如没有一个切实有效的指导标准是很难确保在使用过程中不出现问题的。政府监管部门、加密机厂商以及用户自身都需要认识到这些问题并重视这些问题,才能在日常使用过程中严格把关,从而避免信息安全事件的发生。
(免责申明:文中所描述的均为存在的技术可能性,并不代表笔者的鼓励或支持上。如有人利用上述可能性而触犯法律的,一切后果自负,笔者不承担任何责任)
转自:http://blog.sina.com.cn/s/blog_67118e770100l0zy.html
相关推荐
加密机操作指南 加密机作为一个金融领域的重要设备,对于金融机构和企业的安全和效率起着至关重要的作用。为了帮助用户快速掌握加密机的使用,本文档提供了详细的加密机操作指南。 一、加密机外观图 加密机的外观...
**SJL系列加密机加解密方案** 在信息安全领域,数据加密是保护敏感信息免受未经授权访问的关键技术。SJL系列加密机提供了一种高效、安全的加解密解决方案,适用于各种应用场景。本文将深入探讨该加密机的原理、实现...
数据加密机使用手册 数据加密机使用手册是介绍主流数据加密机操作步骤、页面配置等内容的详细手册。本手册将指导用户如何正确地使用数据加密机,确保数据的安全性。 1. 操作流程图 数据加密机的操作流程图主要包括...
SJL05系列金融数据加密机是国内率先通过国家密码管 理办公室鉴定的基于金融业务主机的应用层数据加密机,主要用于数据加密、消息来源正确性验证、密钥 管理等,为计算机网络系统提供安全保密数据通信服务,防止网上的...
"加密机比较与密钥管理" 在本文中,我们将对比 06 加密机与 09 加密机在密钥管理方面的差异,了解两种加密机的密钥注入、导出和安全机制。 密钥注入 06 加密机: * 输 入 域长 度类 型内 容命 令2AF7TK 索引1N...
《江南天安金融加密机接口文档SJJ1310》是针对企业级安全解决方案的一份重要技术资料,尤其在金融行业中,数据安全至关重要。这份文档详细阐述了江南天安公司的EHSM(Enterprise Hardware Security Module)和EVSM...
### SJJ1401江南科友加密机指令集解析 #### 一、概述 江南科友SJJ1401型加密机是一款专为信息安全领域设计的产品,它不仅包含了原有的RSA指令集,还支持国密算法标准。本文将详细介绍该加密机中几个关键指令的功能...
【sjl06加密机模拟程序】是一种专为模拟Sjl06型号加密机而设计的应用,其核心目的是为了在不使用实际硬件设备的情况下,能够复现加密机与智能卡之间的通讯过程。加密机在IT行业中扮演着重要的角色,主要用于数据加密...
加密机命令参数及算法说明,怎么调用加密机命令进行通讯
VB(Visual Basic)文件加密机是一种使用VB编程语言实现的工具,它旨在为用户提供一种安全的方法来保护他们的文件,防止未经授权的访问。下面将详细探讨VB文件加密机的相关知识点。 1. **VB编程基础**: VB...
GMN_TCP加密机测试工具是一种专门用于检测和评估GMN品牌的TCP加密机性能和功能的软件工具。在信息安全领域,加密机是至关重要的设备,它能够保护数据在传输过程中的安全,防止敏感信息被窃取或篡改。TCP加密机则是这...
哥盟加密机的在线指令测试程序,java实现
SJJ1214加密机雷卡指令编程手册,目前这个型号的加密机目前在市场上的存量还是比较多的。
《RACAL体系加密机指令详解》 在信息安全领域,加密技术扮演着至关重要的角色,而RACAL作为英国的一家知名通信与电子设备制造商,其加密机指令系统更是业界广泛应用的标准之一。本文将深入探讨RACAL体系的加密机...
而工作秘钥的获取方式是通过加密机使用本地LMP秘钥加密终端明文主密码获取得到加密以后的终端主密钥,然后再通过加密后的ZMK秘钥请求加密机加密获取PINKEY和终端工作秘钥。最后将工作秘钥进行下发。终端加载后会去...
《Enigma加密机2.0及其VB源代码解析》 Enigma加密机,作为一个历史悠久的密码学设备,曾经在二战期间被广泛使用,为军事通信提供了安全保障。随着技术的发展,Enigma加密机的原理和应用已经演变为数字形式,本文将...