卡片及终端安全测试中常见问题分析

银行卡检测中心卡片及终端安全测试中常见问题分析2011年11月提纲1.IC卡及USBKEY安全测试常见问题2.终端安全测试常见问题3.总结1.IC卡及USBKEY安全测试常见问题形态方面分为：IC卡安全评估USBKEY安全评估安全组件上分为：逻辑安全性测试防故障攻击测试逻辑安全性测试随机数测试依据标准：NISTSpecialPublication800-22测试内容：频率测试、块内频率测试、游程测试、块内最长游程测试、二元矩阵秩测试、离散付利叶变换测试、非重叠模板匹配测试、重叠模板匹配测试、MAURER‘S普通统计测试、线性复杂性测试、连续测试、近似熵测试、累积和测试、随机漂移测试、随机漂移变异测试等共15项测试项目逻辑安全性测试Timing测试校验PIN尝试次数减1后续操作流程结束进程正确？否是T2T1T2T1可以在计数器减1前终止进程，以便后续进行尝试操作。逻辑安全性测试后门命令测试逻辑安全性测试逻辑异常攻击测试要求：程序应该保证对逻辑异常状态下进行正确响应。逻辑安全性测试USBKEY密钥生成安全性要求：签名运算操作需要进行PIN校验；根据取消操作后，应真正取消整个签名操作。逻辑安全性测试防远程控制测试要求：在进行交易前，需向持卡人进行交易金额和交易信息的提示和确认。逻辑安全性测试PIN信息销毁要求：USBKEY在接受用户在PC端输入的PIN数据后，应将PIN明文清除，不能在PC端进行保存。逻辑安全性测试使用固化密钥要求：在生产RSA密钥对时，产生的P、Q（公钥模数）应为素数。防故障攻击测试错误注入防故障攻击测试SPA/DPA测试防故障攻击测试环境适应性温度对芯片的影响电压对芯片的影响防故障攻击测试电磁辐射攻击芯片应抵御电磁辐射的影响在错误产生后的正确处理2.终端安全测试常见问题形态方面分为：PIN输入设备安全评估电话终端安全评估测试类型上分为：方案评估预评估正式评估安全组件上分为：物理安全逻辑安全物理安全磁条读卡器安全模块，如CPU，存储器等显示模块ICC读卡器键盘D116分A1114分A125点A816分A425分A725分物理安全什么是敏感信息敏感信息是任何密钥或密码等PED用以维护安全特性的信息物理安全PIN输入设备和IC读卡器是否需要标明硬件、固件和应用版本号PIN输入设备和IC读卡器必须标明硬件和固件版本号。硬件版本号应在外观标签上注明，固件版本号应在开机或要求时显示或打印。物理安全如果评估的设备支持脱机PIN验证，是否允许设备只支持明文PIN或只支持密文PIN•如果设备提交时支持脱机交易，那么必须既支持明文PIN也支持密文PIN物理安全什么时候在安全要求里可以选择N/A如果符合性满足多个选项中的一个，其他可以选N/A如果安全要求的特性PED不支持，例如如果按键没有声音，PIN输入时的可听音应选N/A物理安全在什么情况下PIN输入设备的密钥在检测到攻击时可以不擦除•如果密钥从来不用于加密或解密数据，也不用于认证，那么密钥不能视为秘密信息，可以不擦除物理安全通过评估的PIN输入设备，改动硬件是否可以保留原版本号对通过评估的PIN输入设备硬件的任何改动，都应产生一个新的版本号物理安全是否允许PIN输入设备包括可移除的组件和附件•任何可移除的组件（防偷窥盖，底座，接口模块等）都必须经过评估，确保它们不存在安全风险。评估时与PIN输入设备一起评估，不会单独评估。物理安全PIN输入设备在评估时是否可以替换外壳评估过程中可以使用任何可能的方法，包括替换外壳。PIN输入设备必须防护从任何方位，包括侧面和后盖的攻击物理安全入侵检测测试除了分值的要求外，是否有攻击时间的要求•是的。除了满足最低分值25分外，任何针对PIN输入设备或IC读卡器可行的攻击，实施攻击的时间必须超过10小时。物理安全PIN输入设备对于保护按键区域的防拆开关个数是否又要求如果使用防拆开关保护按键区域，那么应具备至少3个盲点开关。并且必须保护这些开关，免受粘胶或导电液体的攻击。物理安全是否可以使用USB令牌或者智能卡作为TRSM实现双重控制•仅使用两个令牌不能满足双重控制的要求。令牌必须强制使用密码，并且要提供安全措施保护存储的内容。物理安全IC读卡器的对于开口的大小是否有具体要求本要求的目的是防止从读卡器的开口插入窃取PIN的bug，对于大小没有具体要求，但要使放入bug可行必须满足：触点必须存在使bug可以连接Bug和线不能阻止正常操作放置bug不能留下持卡人可以轻易发现的篡改证明物理安全在密钥识别分析要求中，密钥是指明文密钥还是密文密钥指明文密钥，如果密钥是被加密的，必须首先获得加密的主密钥。仅获得密文密钥是没有意义的。逻辑安全自检要求完整性和真实性检查，是否要求固件分别进行不需要。自检要求必须执行真实性检查，例如数字签名或MAC。由于真实性检查同时可确保了安装固件的完整性，因此没有必要额外再执行完整性检查，但可选。逻辑安全是否可以在每笔交易之前或者空闲几分钟后执行自检，而不是每24小时一次•可以。逻辑安全如何理解“PIN输入后被立即加密”当持卡人按“enter”键或者输入最后一位字符后，PED不能执行任何其他处理而是立即执行加密PIN操作。逻辑安全在什么情况下允许密钥从键盘上输入•明文密钥不能从PED键盘上输入。明文密钥的组件可以从键盘上输入。密文密钥也可以从键盘上输入。输入密钥组件或密文密钥必须严格限制为授权人。输入密钥的特殊模式必须通过密码或其他秘密信息进行限制。逻辑安全为防止穷举攻击，PIN加密频率限制为每小时120，是否是平均值•本要求的目的是任意每120笔交易，平均间隔时间是30秒逻辑安全密钥管理中MasterKey是否既可用作KEK，又可以用着Fixedkey•不可以，密钥仅可用于唯一的用途逻辑安全什么PINblock格式是允许的•ISO9564－1格式0,1,3用于联机交易。格式2用于脱机交易，PIN从以明文或密文的形式IC读卡器传输到IC卡。•PIN在PED与IC读卡器之间的传输应使用ISO9564格式之一。如果使用格式2，应使用每交易唯一密钥加密。逻辑安全是否可以使用同一认证技术用于固件更新和密钥装载•可以使用同一认证技术，如RSA签名。但用于认证的密钥必须是不同的。逻辑安全PIN输入设备应支持多少位PIN•PIN输入设备应支持4－12位PIN逻辑安全用于双重控制的密码长度是多少位•必须至少5位3.总结技术问题建议测试服务问题建议技术问题建议按照送检指南进行材料准备应对规范进行仔细研究对测试中遇到的问题进行总结，避免重复出现类似问题在不明确硬件设计时，建议进行方案评估，避免产生不必要的费用测试后，可针对不通过项进行技术咨询，但不提供修改方案的建议或认可测试服务问题建议测试中遇到问题的对口人员为市场客服可以在网站上下载到测试中所需的所有资料邮件有时候比电话解释的更清楚谢谢！