СОВЕРШЕНСТВОВАНИЕ ЗАЩИТЫ

Спецвыпуск Xakep, номер #036, стр. 036-036-2

Буквы и цифры на лицевой стороне могут быть выбиты специальным эмбоссером, а могут быть и просто напечатаны, к примеру, как на картах Visa Electron.

Основным хранилищем данных на карте является магнитная полоса. По своим свойствам она похожа на пленку, которая используется в аудиокассетах. Информация может записываться на три дорожки, отличающиеся форматом:

- первая имеет плотность записи 210 бит на дюйм (BPI) и может содержать 79 7-битных (6 бит + четность) алфавитно-цифровых символов (доступны только для чтения);

- вторая - 75 BPI, содержит 40 5-битных (4 бита + четность) цифр;

- третья - 210 BPI, содержит 107 5-битных (4 бита + четность) цифр.

На банковских картах на дорожки записываются: номер счета, код валюты, код страны выдачи, имя владельца, срок действия (в принципе, та же информация, что напечатана на самой карте, но в цифровом виде). Кроме того, любая компания может использовать собственный формат данных. Например, для использования в качестве внутреннего пропуска там вместо номера счета может быть указан уровень полномочий владельца и т.п.

Каждый раз для проведения денежных транзакций с помощью банковских карт системой инициируется процесс аутентификации - проверяется правильность записанной на карте информации. Аутентификация бывает следующих видов:

- голосовая авторизация - простейший случай, проводится с помощью телефона с тоновым набором;

- электронный терминал - считывание информации с магнитной полосы, например, в банкоматах или POS-терминалах;

- виртуальный терминал - проверка данных при оплате через интернет.

В любом случае, на одной стороне находится владелец карты, а на другой - специализированная организация (aquirer), которая устанавливает связь с банком, выдавшим карту, для проверки данных:

- номер карты;

- лимит (для кредитной карты);

- срок действия карты;

- наличие денег на счете.

Если все необходимые условия выполнены, а запрошенная сумма не превышает остаток на счете, эта же организация обеспечивает гарантии перевода денег другому участнику транзакции.

Передача данных между терминалом и проверяющей организацией происходит по телефонным сетям или по интернет-каналам. Для защиты передаваемых данных используется шифрование. К примеру, банкомат шифрует введенный PIN-код и отправляет его для сверки с тем, что хранится в базе данных банка, выдавшего карту. Для шифрования используется криптографический метод односторонних функций. Их значение легко вычислить в одном направлении с использованием банковского ключа и набранного PIN-кода, а проведение обратного преобразования (инвертирования) на практике очень неэффективно, даже если банковский ключ стал известен. Эта защита была введена, чтобы защитить держателя карты от действий нехорошего дяди, получившего доступ к банковским базам.

Кроме технических средств, большое значение имеют организационные и административные методы защиты. Они включают в себя целый комплекс мер на самых разных уровнях: от специальных замков на кабинах банкоматов и call-центров экстренной помощи, куда следует обращаться в случае утери или кражи карточки, до правительственного контроля над продажей оборудования для производства самих карт.