Испытанным способом идентификации держателя банковской карты является использование секретного персонального идентификационного номера PIN. Значение PIN должно быть известно только держателю карты. Длина PIN должна быть достаточно большой, чтобы вероятность угадывания злоумышленником правильного выбора с помощью атаки полного перебора значений была приемлемо малой. С другой стороны, длина PIN должна быть достаточно короткой, чтобы дать возможность держателям карт запомнить его значение. Рекомендуемая длина PIN составляет 4..8. десятичных цифр, но может достигать 12.
Предположим, что PIN имеет длину 4 цифры, тогда противник пытающийся подобрать значение PIN к банковской карте, стоит перед проблемой выбора одной из десяти тысяч возможностей. Если число попыток ввода некорректного значения PIN ограничивается пятью на карту в день, этот противник имеет шансы на успех не менее 1:2000. На следующий день противник может попытаться снова и его шансы увеличиваются до 1:1000. Каждый следующий день увеличивает вероятность успеха противника. Поэтому многие банки вводят абсолютный предел на число неверных попыток ввода PIN на карту, чтобы исключить атаку такого рода. Если установленный предел превышен, считается, что данная карта неправильная и ее отбирают.
Значение PIN однозначно связано с соответствующими атрибутами банковской карты, поэтому PIN можно трактовать как подпись держателя карточки. Чтобы инициировать транзакцию, держатель карты, который использует POS-терминал, вставляет свою карту в специальную щель считывателя и вводит свой PIN, используя специальную клавиатуру терминала. Если введенное значение PIN и номер счета клиента, записанный на магнитной полосе карты согласуются между собой, тогда инициируется транзакция.
Защита персонального идентификационного номера PIN для банковской карты является критичной для безопасности всей платежной системы. Банковские карты могут быть потеряны, украдены, подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN. Вот почему открытая форма PIN должна быть известна только законному владельцу карты. Она никогда не хранится и не передается в рамках системы электронных платежей. Очевидно, значение PIN нужно держать в секрете в течение всего действия карты.
Метод генерации значения PIN оказывает существенное влияние на безопасность электронной платежной системы. Вообще , персональные идентификационные номера могут формироваться либо банком, либо держателями карт. В частности, клиент различает два типа PIN:
PIN, назначенный банком, выдавшим ему карту;
PIN, выбираемый держателем карты самостоятельно.
Если PIN назначается банком, банк обычно использует один из двух вариантов процедур генерации PIN.
При первом варианте PIN генерируется криптографически из номера счета держателя карточки. Процесс генерации назначаемого PIN из номера счета показан на рис. 11.3. Cначала номер счета дополняется нулями или другой константой до 16 шестнадцатеричных цифр (8байт). Затем 8 байт шифруются по алгоритму DES с использованием секретного ключа. Из полученного шифртекста длиной 8 байт поочередно выделяют 4-битовые блоки, начиная с младшего байта. Если число, образуемое этими битами, меньше 10, то полученная цифра включается в Pin, иначе это значение не используется. Таким путем обрабатываются все 64 бита (8 байт). Если в результате обработки не удалось получить сразу требуемое количество десятичных цифр, то обращаются к неиспользованным 4-битовым блокам, из которых вычитают 10.
Рис. 11.3. Схема выведения PIN из номера счета клиента
Очевидное достоинство этой процедуры заключается в том, что значение PIN не нужно хранить внутри электронной платежной системы. Недостатком этого подхода является то, что при необходимости изменения PIN требуется выбор либо нового счета клиента, либо нового криптографического ключа. Банки предпочитают, чтобы номер счета клиента оставался фиксированным. С другой стороны, поскольку все PIN вычисляют, используя одинаковый криптографический ключ, изменение одного PIN при сохранении счета клиента неизбежно влечет за собой изменение всех персональных идентификационных номеров.
При втором варианте банк выбирает значение PIN случайным образом, сохраняя значение этого PIN в виде соответствующей пиктограммы. Выбранные значения PIN банк передает держателям банковских карт, пользуясь защищенным каналом. Использование PIN назначенного банком, неудобно для клиента даже при небольшой его длине. Такой PIN трудно удержать в памяти, и поэтому держатель карты может записать куда-нибудь. Главное это не записать PIN непосредственно на карту или какое-нибудь другое место. Иначе задача злоумышленника будет сильно облегчена.
Для большего удобства клиента используют значение PIN, выбираемое сами клиентом. Такой способ определения значения PIN позволяет клиенту:
использовать один и тот же PIN для разных целей;
задавать PIN как совокупность букв и цифр.
Когда PIN выбран клиентом, он должен быть доведен до сведения банка. PIN может быть передан в банк заказной почтой или отправлен через защищенный терминал, размещенный в банковском офисе, который немедленно его шифрует. Если банку необходимо использовать выбранный клиентом PIN, тогда поступают следующим образом. Каждую цифру выбранного клиентом PIN складывают по модулю 10 (без учета переносов) с соответствующей цифрой PIN выводимого банком из счета клиента. Получаемое десятичное число называется смещением. Это смещение запоминается на карте клиента. Поскольку выводимый PIN имеет случайный характер, то выбранный клиентом PIN невозможно определить по его смещению.
Главное требование безопасности состоит в том, что значение PIN должно запоминаться владельцем карты и никогда не должно храниться в любой читабельной форме. Но люди несовершенны и очень часто забывают свои значения PIN. Поэтому банки должны заранее заготовить специальные процедуры для таких случаев. Банк может реализовать один из следующих подходов. Первый основан на восстановлении забытого клиентом значения PIN и отправке его обратно владельцу карты. При втором подходе просто генерируется новое значение PIN.
При идентификации клиента по значению PIN и предъявленной карте используются два основных способов проверки: неалгоритмический и алгоритмический.
Неалгоритмический способ проверки PIN не требует применения специальных алгоритмов. Проверка PIN осуществляется путем непосредственного сравнения введенного клиентом PIN со значениями, хранимыми в базе данных. Обычно, база данных со значениями PIN клиентов шифруется методом прозрачного шифрования, чтобы повысить ее защищенность, не усложняя процесса сравнения.
Алгоритмический способ проверки PIN заключается в том, что введенный клиентом PIN преобразует по определенному алгоритму с использованием секретного ключа и затем сравнивают со значением PIN, хранящимся в определенной форме на карте. Достоинства этого метода проверки:
отсутствие копии PIN на главном компьютере исключает его раскрытие персоналом банка;
отсутствие передачи PIN между банкоматом или POS-терминалом и главным компьютером банка исключает его перехват злоумышленником или навязывание результатов сравнения;
упрощение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.
