Старые добрые пластиковые карты

Андрей Межутков

Спецвыпуск: Хакер, номер #061, стр. 061-036-7

4'. Вычислительно невозможно найти любую пару x' != x, такой что H(x')=H(x).

Поскольку из свойств 1-2 следует, что множество определения хэш-функции значительно шире множества значений, то коллизии должны существовать. Свойство 4 требует, чтобы найти их для заданного значения х было практически невозможно. Требование 4' говорит о том, что у сильной хэш-функции вычислительно невозможно найти какую-либо коллизию.

Хэш-функцией с ключом (MAC) называется функция H(k,x), удовлетворяющая свойствам:

1. Аргумент х функции H(k,x) может быть строкой бит произвольной длины.

2. Значение H(k,x) должно быть строкой бит фиксированной длины.

3. При любых k и x легко вычислить H(k,x).

4. Для любого х должно быть трудно вычислить H(k,x), не зная k.

5. Должно быть трудно определить k даже при большом числе неизвестных пар {x, H(k,x)} при выбранном наборе х или вычислить по этой информации H(k,x') для x' != x.

Алгоритмов криптографических хэшей довольно много, но больше всего распространился за последние годы алгоритм MD5 (Message Digest), разработанный американской компанией RSA Data security из класса MDC. Увы, в начале этого года в этом алгоритме сначала китайские, а затем чешские специалисты обнаружили серьезную слабость, которая приводит к нахождению коллизии за 6-40 часов. Однако актуальность информации при обмене банкомата или POS-терминала с процессингом составляет максимум несколько десятков секунд, поэтому не стоит особо волноваться за подобную атаку, хотя системам электронного документооборота придется туго. Не исключено, что американские специалисты знали о возможности такой атаки, поскольку в качестве национального стандарта был принят другой алгоритм - SHA (Secure Hash Standard), разработанный NIST - National Institut of Standards and Technology (FIP-180 - Federal Information Processing Standards Publication 180). Последний вариант стандарта (SHA-1) был введен в действие в 1994 году документом FIPS PUB 180-1, Secure Hash Standard, 1994.

Карты могут быть со штрих-кодом, с магнитной полосой, также чип-карты, cмарт-карты и бесконтактные карты.

Архитектура платежных систем напоминает архитектуру интернета.

Основной способ мошенничества – колдовство с чужими идентификационными данными.

Подделка карты – тоже способ мошенничества.

Полный список методов защиты карты известен банку-эмитенту.

Для кредитных карт мошенники практикуют "двойную прокатку".

Мошенником может стать сам владелец карты, если сговорится с обслуживающим персоналом банка.

99% точек обслуживания карт без продавца - банкоматы.

Наиболее распространен алгоритм DES или его клон 3DES.

Противодействие мошенничеству состоит из целого комплекса мер.

Алгоритмов криптографических хэшей много, но наибольшее распространение получил алгоритм MD5.