密钥被恶意攻击三次 金融IC卡将被锁
本月起,芯片磁条复合卡的磁条交易全面停止,央行已要求各商业银行加快存量磁条卡更换为金融IC卡的进度。那么,大规模投入使用的芯片银行卡,其安全性如何呢?记者上午从国家金融IC卡安全检测中心获悉,每张芯片银行卡投入市场前都会进行近千项检测,若其密钥被恶意攻击三次,卡片将直接被锁。
记者了解到,金融IC卡主要包括两大应用领域:银行IC卡(即俗称的“芯片银行卡”)、金融行业卡(包括金融社保卡以及带有金融交易功能的健康卡、市民卡等应用)。目前金融IC卡已经有了银联芯片卡安全(含芯片安全和嵌入式软件安全)认证以及完善的金融IC卡功能检测标准。
25日上午,国家金融IC卡安全检测中心举行实验室开放活动,其中涵盖国家金融IC卡安全检测实验室、条码支付实验室、功能检测实验室等多个重点实验室。
记者在其中一间实验室看到,这里正在进行“非接触式Level 1电气特性测试”。据现场工作人员介绍,检测是自动化的,只需为设备设定好数据,就可以模拟芯片与非接触POS终端刷卡的过程。记者注意到,在测试过程中,机械手臂不断变换卡片的位置,用来实现模拟真实刷卡过程中卡片所处的不同刷卡位置。
“测试要求卡片在25个不同位置都能成功实现刷卡功能,并且测试设备还能模拟出不同强弱信号的POS终端,可以模拟现实的刷卡过程中不同终端、不同环境下的刷卡过程。”现场工作人员介绍。
追访 密钥被攻击三次将锁卡 手机读消费记录不影响安全
国家金融IC卡安全检测中心相关负责人介绍,在IC卡卡片制造过程中,采用了激光防伪标识、签名条等辅助安全技术。在芯片操作系统层面,金融IC卡也提供了相应的安全措施,如IC卡和终端设备通信的加密解密技术、IC卡和终端设备通信信息的认证技术等。
该负责人表示,在检测中心,每张被送检的芯片银行卡投入市场前都会进行近千项项目的检测,细致到各种“案例”。目前在金融领域,IC卡联机交易和脱机交易过程中,均采用密钥加密措施。在应用安全层面,不同的应用均处于各自的安全域中,应用与应用之间通过防火墙进行隔离,以保证应用的安全独立。
“芯片卡自身具有加密、运算系统,带有密钥保护,相当于对芯片卡存储信息加了一把锁,需要特别的密钥才能够把它打开,而密钥是不断地更新变化的。如果在现实生活中,密钥被恶意攻击三次,卡片就会被锁,不能再使用。”该负责人表示。
近期网上有消息称当把手机接近芯片卡时,手机能够读出近期的消费记录。对此,国家金融IC卡安全检测中心相关负责人解释称,部分智能手机确实可以读取部分银行卡信息,这可能会泄露持卡人的部分消费信息,但并不会影响银行卡的安全性。
“这并不是芯片卡的漏洞,芯片卡的部分交易记录可以被读取,这是出于交易过程中数据快速传输、验证卡片的需要。但是,读出的这些记录并不能够用于交易。因此,想要通过手机读取银行卡信息来复制卡或者绑定消费,这种可能性根本不存在。”该负责人说。