Tiểu luận thẻ từ và bảo mật trong thẻ từ

Trong điều kiện công nghệ ngày càng phát triển, các tội phạm trong lĩnh vực thẻ cũng không ngừng gia tăng và có xu hướng tinh vi, phức tạp hơn cùng với việc hầu hết các loại thẻ ở Việt Nam là thẻ từ, do đó, việc ứng dụng mật mã vào trong các thẻ từ là một vấn đề rất thực tiễn và cần thiết trong hiện tại và tương lai. Tuy nhiên các công ty, ngân hàng, doanh nghiệp đi sau cũng nên nghiên cứu việc chuyển đổi từ thẻ từ sang thẻ chíp với độ bảo mật cao hơn nhưng chi phí cũng đắt hơn. Tiểu luận trình bày về thẻ từ và bảo mật thẻ từ của các ngân hàng tai Việt Nam hiện nay.

MỞ ĐẦU

Người Việt Nam đang sử dụng khoảng 80 triệu thẻ các loại, hầu hết là thẻghi nợ nội địa (hay thẻ ATM) sử dụng công nghệ thẻ từ cũ nên tính bảo mật kémtiền, dễ bị làm giả để rút tiền tại máy ATM, đánh cắp thông tin cá nhân để thanhtoán trực tuyến, chuyển tiền từ tài khoản đánh cắp sang tài khoản khác hoặc đổisang các loại tiền ảo…, chiếm đoạt tiền của chủ thẻ

Thời gian qua, nhiều vụ các đối tượng phạm tội thực hiện các hành vi gianlận thẻ để chiếm đoạt tài sản như: làm giả thẻ màu ngân hàng thanh toán hànghóa dịch vụ, làm giả thẻ trắng rút tiền từ máy ATM, sử dụng thông tin thẻ muahàng trên mạng, trả tiền đánh bạc, cá độ bóng đá qua mạng, chuyển tiền từ tàikhoản trộm cắp qua tài khoản khác hoặc đổi sang các loại tiền ảo chiếm đoạttiền của chủ thẻ đang có xu hướng gia tăng và ngày càng tinh vi hơn

Hiện nay, đa số thẻ ATM tại Việt Nam đều đang áp dụng công nghệ bảomật bằng từ tính, chỉ một số ngân hàng đi sau đang có xu hướng chuyển từ thẻ

từ sang thẻ chip với độ bảo mật cao hơn nhưng chi phí cũng đắt hơn

Từ đó đưa ra yêu cầu về việc tìm hiểu đề tài ứng dụng mật mã học trongcác thẻ từ để góp phần tăng cường bảo mật, hạn chế mất thông tin thẻ

Một số loại thẻ từ hiện nay

1.1.2 Đặc điểm

- Nền thẻ, màu thẻ phụ thuộc vào từng ngân hàng phát hành thẻ quy định

- Tên và logo là của ngân hàng phát hành, của tổ chức thẻ và biểu tượngcủa tổ chức đó

1.1.3 Cấu tạo

* Cấu tạo mặt trước của thẻ gồm có:

- Số thẻ: mỗi thẻ được ấn định một số riêng biệt để quản lý Đối vớimỗi thẻ khi được lưu hành đều có một dãy số xác định đó là số PAN – PrimarryAccounr Number Số PAN còn có thể được gọi với các tên khác như số thẻ hoặc

số tài khoản chính

- Ngày hiệu lực của thẻ: được in nổi trên thẻ

- Họ tên chủ thẻ

+ Track 3: 107 kí tự Không sử dụng đối với các ngân hàng.

- Dải băng có chứa chữ kí mẫu của chủ thẻ để đơn vị chấp nhận thẻkiểm tra khi sử dụng

- Ngân hàng phát hành thẻ

1.1.4 Tính chất

Thẻ từ áp dụng công nghệ bảo mật bằng từ tính và lưu trữ thông tin trêndải băng từ ở mặt sau thẻ và một phần dành riêng để chứa chữ ký của chủ thẻ

(đối với thẻ tín dụng) Các thông tin chỉ được mã hóa một lần và khi quẹt thẻqua máy thanh toán, thông tin được giải mã Nhược điểm của thẻ từ là dễ mất từkhi để cạnh vật có từ tính nên các thiết bị đọc ghi thẻ (như máy MSR206) có thểthay đổi nội dung dữ liệu trên thẻ Chính vì vậy, khi đã xâm nhập được vào cơ

sở dữ liệu của thiết bị đọc thẻ hoặc nghe trộm qua đường điện thoại, thu tín hiệuđược gửi từ ATM/POS đến hệ thống thanh toán để đánh cắp thông tin trên thẻ từcủa người dùng

Từ đó, đưa ra yêu cầu phải ứng dụng mật mã trong thẻ từ mà chúng ta sẽtìm hiểu ở chương sau

CHƯƠNG 2: ỨNG DỤNG CỦA MẬT MÃ TRONG THẺ TỪ

2.1 Thuật toán mã hóa trong thẻ từ

Đa số các mã hóa thẻ từ dựa trên các thuật toán tiêu chuẩn mã hóa dữ liệuDES (Data Encryption Standard)

2.1.1 Khái niệm DES

DES (viết tắt của Data Encryption Standard, hay Tiêu chuẩn Mã hóa Dữliệu) là một phương pháp mật mã hóa được FIPS (Tiêu chuẩn Xử lý Thông tinLiên bang Hoa Kỳ) chọn làm chuẩn chính thức vào năm 1976 Sau đó chuẩn nàyđược sử dụng rộng rãi trên phạm vi thế giới

Ngay từ đầu, thuật toán của nó đã gây ra rất nhiều tranh cãi, do nó baogồm các thành phần thiết kế mật, độ dài khóa tương đối ngắn, và các nghi ngờ

về cửa sau để Cơ quan An ninh quốc gia Hoa Kỳ (NSA) có thể bẻ khóa Do đó,DES đã được giới nghiên cứu xem xét rất kỹ lưỡng, việc này đã thúc đẩy hiểubiết hiện đại về mật mã khối (block cipher) và các phương pháp thám mã tươngứng

2.1.2 Tính chất của DES

Mã DES có các tính chất sau:

• Là mã thuộc hệ mã Feistel gồm 16 vòng, ngoài ra DES có thêm một hoán

vị khởi tạo trước khi vào vòng 1 và một hoán vị khởi tạo sau vòng 16

• Kích thước của khối là 64 bít: ví dụ bản tin “meetmeafterthetogaparty”biểu diễn theo mã ASCII thì mã DES sẽ mã hóa làm 3 lần, mỗi lần 8 chữcái (64 bít): meetmeaf – tertheto - gaparty

• Kích thước khóa là 56 bít

• Mỗi vòng của DES dùng khóa con có kích thước 48 bít được trích ra từkhóa chính.

2.1.3 Mô tả thuật toán DES

DES là thuật toán mã hóa khối: nó xử lý từng khối thông tin của bản rõ có

độ dài xác định và biến đổi theo những quá trình phức tạp để trở thành khốithông tin của bản mã có độ dài không thay đổi

Trong trường hợp của DES, độ dài mỗi khối là 64 bit DES cũng sử dụngkhóa để cá biệt hóa quá trình chuyển đổi Nhờ vậy, chỉ khi biết khóa mới có thểgiải mã được văn bản mã

Khóa dùng trong DES có độ dài toàn bộ là 64 bit Tuy nhiên chỉ có 56 bitthực sự được sử dụng, 8 bit còn lại chỉ dùng cho việc kiểm tra Vì thế, độ dàithực tế của khóa chỉ là 56 bit

Các vòng Feistel của mã DES

Sơ đồ mã DES trên gồm ba phần:

+ Phần thứ nhất là các hoán vị khởi tạo và hoán vị kết thúc

+ Phần thứ hai là các vòng Feistel

+ Phần thứ ba là thuật toán sinh khóa con

2.1.4 Độ an toàn của DES

Mặc dù đã có nhiều nghiên cứu về phá mã DES hơn bất kỳ phương pháp

mã hóa khối nào khác nhưng phương pháp phá mã thực tế nhất hiện nay vẫn làtấn công Brute-force Nhiều đặc tính mật mã hóa của DES đã được xác định và

từ đó ba phương pháp phá mã khác được xác định với mức độ phức tạp nhỏ hơntấn công Brute-force Tuy nhiên các phương pháp này đòi hỏi một số lượng bản

rõ quá lớn (để tấn công lựa chọn bản rõ) nên hầu như không thể thực hiện đượctrong thực tế

a Tấn công brute-force (tấn công vét cạn)

Vì khóa của mã DES có chiều dài là 56 bít nên để tiến hành brute-forceattack, cần kiểm tra 256 khóa khác nhau Hiện nay với những thiết bị phổ dụng,thời gian gian để thử khóa là rất lớn nên việc phá mã là không khả thi Tuy nhiênvào năm 1998, tổ chức Electronic Frontier Foundation (EFF) thông báo đã xâydựng được một thiết bị phá mã DES gồm nhiều máy tính chạy song song, trị giákhoảng 250.000$ Thời gian thử khóa là 3 ngày Hiện nay mã DES vẫn còn được

sử dụng trong thương mại, tuy nhiên người ta đã bắt đầu áp dụng những phươngpháp mã hóa khác có chiều dài khóa lớn hơn (128 bít hay 256 bít) nhưTripleDES hoặc AES

b Phá mã DES theo phương pháp vi sai (differential cryptanalysis)

Năm 1990 Biham và Shamir đã giới thiệu phương pháp phá mã vi sai.Phương pháp vi sai tìm khóa ít tốn thời gian hơn brute-force Tuy nhiên phươngpháp phá mã này lại đòi hỏi phải có 247 cặp bản rõ - bản mã được lựa chọn

(chosen-plaintext) Vì vậy phương pháp này là bất khả thi dù rằng số lần thử cóthể ít hơn phương pháp brute-force.

c Phá mã DES theo phương pháp thử tuyến tính (linear cryptanalysis)

Năm 1997 Matsui đưa ra phương pháp phá mã tuyến tính Trong phươngpháp này, cần phải biết trước 243 cặp bản rõ-bản mã (known-plaintext) Tuynhiên 243 cũng là một con số lớn nên phá mã tuyến tính cũng không phải là mộtphương pháp khả thi

d Phá mã DES theo phương pháp Davies

Trong khi phá mã vi sai và phá mã tuyến tính là các kỹ thuật phá mã tổngquát, có thể áp dụng cho các thuật toán khác nhau, phá mã Davies là một kỹthuật dành riêng cho DES Dạng tấn công này được đề xuất lần đầu bởi Daviesvào cuối những năm 1980 và cải tiến bởi Biham và Biryukov (1997) Dạng tấncông mạnh nhất đòi hỏi 250 văn bản rõ, độ phức tạp là 250 và có tỷ lệ thành công

là 51%

Hiện nay, DES được xem là không đủ an toàn cho nhiều ứng dụng.Nguyên nhân chủ yếu là độ dài 56 bit của khóa là quá nhỏ Khóa DES đã từng bịphá trong vòng chưa đầy 24 giờ Đã có rất nhiều kết quả phân tích cho thấynhững điểm yếu về mặt lý thuyết của mã hóa có thể dẫn đến phá khóa, tuychúng không khả thi trong thực tiễn Một trong những cách để khắc phục yếuđiểm kích thước khóa ngắn của mã hóa DES là sử dụng mã hóa DES 3 lần vớicác khóa khác nhau cho cùng một bản tin, đó là 3DES Gần đây, DES đã dầnđược thay thế bằng AES (Advanced Encryption Standard, hay Tiêu chuẩn Mãhóa Tiên tiến) với độ dài khóa là 128/192/256 bit

2.2 Ứng dụng mật mã trong thẻ từ

2.2.1 Mã hóa PIN.

Mật mã thường được biết đến nhất trong việc cung cấp một Mã số cánhân, hay PIN, để cho phép một thẻ từ được sử dụng trong môi trường không

cần giám sát như ATM, hoặc trong các tình huống khác mà việc kiểm tra chữ kýtruyền thống là không phù hợp Điều này áp dụng như nhau đối với thẻ tín dụng,thẻ ghi nợ và thẻ ATM Không có nhiều thẻ tài chính sử dụng ngày nay màkhông có một số tính năng mã PIN.

a Khái niệm số PIN (Personal Identification Number)

Mã PIN – Mã nhận dạng cá nhân hay còn gọi là mã số bí mật của chủ thẻ

Mã PIN được dùng để xác định định danh tài khoản của chủ thẻ

Khi một mã PIN được cung cấp cho khách hàng, nó phải đảm bảo:

• Không được lưu trữ ở bất cứ đâu trong cleartext (trừ thư gửi mã PINdành cho khách hàng)

• Không thể kỹ nghệ đảo ngược mã PIN (phân tích tìm ra nguyên lý mãPIN) từ thông tin trên dải từ tính hoặc từ một cơ sở dữ liệu được tổ chức trựcthuộc Trung ương

b Trình tự cấp mã PIN

Khi một mã PIN được cấp, có trình tự như sau:

+ Mã PIN tối thiểu là 4 và tối đa là 12 chữ số ngẫu nhiên được tạo

ra Đây là mã PIN Hiện nay ở Việt Nam mã PIN hầu hết là 6 chữ số

+ Mã PIN được kết hợp với các thông tin khác, chẳng hạn như sốtài khoản, để tạo ra một khối dữ liệu đầu vào cho quá trình mã hóa

+ Khối đầu vào được mã hóa

Đầu vào : Số thẻ - PAN, Số PIN

Đầu ra: Khối PIN Block được mã hóa bằng thuật toán DES, (3DES) có độ dài 64 bit

+ Các con số được lựa chọn từ các kết quả bản mã Trở thành Giátrị xác minh mã Pin hay Pin Offset

+ Mã PIN offset được lưu trữ.

+ Bưu phẩm PIN được in

+ Bộ nhớ được xóa số nhị phân 0 để loại bỏ tất cả dấu vết rõ ràngcủa PIN

Tại thời điểm này, chỉ có giá trị PIN tồn tại bên trong thư gửi mã PIN MãPIN không thể rút ra từ PIN offset

c Quá trình xác minh mã PIN tại máy ATM

Khi thẻ được sử dụng và nhập mã PIN, quá trình xác thực PIN sẽ đượclàm ở HSM (HSM là thiết bị mã hóa trong hệ thống ATM, HSM dùng để sinh và

mã hóa các khóa bí mật, dùng giải mã và so sánh số PIN), giá trị trả về của HSM

sẽ cho biết số PIN nhập là đúng hay sai Quá trình xác thực PIN như sau:

- Giải mã PIN được nhập vào từ máy ATM đã được mã hóa

- Giải mã PIN lưu trong CSDL của ngân hàng đã được mã hóa

- So sánh số PIN được nhập vào và số PIN được lưu trong CSDL

- Quá trình xác thực đều thực hiện trong thiết bị HSM

Kết quả đầu ra sẽ là số PIN nhập vào đúng hay sai

2.2.2 Xác thực tính hợp lệ của thẻ (Card Authenication Values)

Một ứng dụng phổ biến thứ hai của mật mã là cung cấp các cơ chế chốnggiả cho dải từ tính Mục đích là để ngăn chặn xây dựng gian lận thẻ giả bằngcách chèn một giá trị trên dải từ mà không thể thể xuất phát từ thông tin thẻkhác Vì vậy, khi một thẻ được xác nhận trực tuyến giá trị này có thể được kiểmtra để xác định xem các thẻ là chính hãng hay giả mạo Một số tiêu chuẩn khácnhau tồn tại trong cơ chế này, phổ biến nhất là thẻ thanh toán quốc tếVISA,Mastercard, CVC Đối với các mục đích của tài liệu này chúng tôi sẽ đềcập đến cơ chế này là CVV vì đây là một thuật ngữ được sử dụng phổ biến nhất

a Khái niệm số CVV/CVC – Mã số xác minh thẻ.

Khi phát hành thẻ, đảm bảo thẻ không bị làm giả, người ta dùng sốCVV/CVC (Card Verification Value/ Card Verificatinon Code) để phân biệt thẻthật thẻ giả

Mã xác minh thẻ (CVV/CVC) là số giúp tăng cường bảo mật cho chủ thẻ– một cách để đảm bảo 1 người có thẻ thực sự thuộc quyền sở hữu của họ CVC

là ba chữ số cuối cùng của số hiển thị ở mặt sau của thẻ tín dụng trên thanh chữ

ký Vị trí của CVC và số lượng chữ số khác nhau tùy thuộc vào loại thẻ

b Quá trình tạo mã CVV/CVC

Mỗi loại thẻ khi phát hành sẽ có một số CVV/CVC được lưu trong rãnh từ

để sinh số này người ta sử dụng các điều kiện đầu vào bao gồm các số thẻ PAN,ngày hết hạn thẻ Card expiration date và Mã dịch vụ Service code

Các giá trị đầu vào là duy nhất do đó mỗi thẻ chỉ có một số CVV/CVCduy nhất

Khi kiểm tra PIN nhập vào của chủ thẻ thì hệ thông Switch sẽ kiểm trađồng thời số CVV/CVC được lưu trong thẻ, nếu khớp thì thẻ hợp lệ

Giải thuật sinh số CVV/CVC: thuật toán DES với độ dài khóa bí mật 64bit

Input: chuỗi 64 bit hay 16 ký tự hexa được gọi là Transformed SecurityParameter (TSP), TSP tính từ số thẻ PAN, Ngày hết hạn thẻ Card Expiration date(YYMM) và mã dịch Service code

Output: 16 ký tự hexa (64bit)

* Cách tạo số TSP

TSP có định dạng gồm 9 chữ số tính từ bên phải của số PAN loại từ sốcuối cùng cộng với 4 số Exp date cộng với 3 số Service code

Ba số CVV/CVC được tính như sau:

- Từ dãy số 16 ký tự hexa kết quả đầu ra ta đi từ trái qua phải, khi đóCVV/CVC là 3 số thập phân đầu tiên trong dãy số 16 ký tự hexa

- Nếu không tìm được đủ 3 số thập phân trong đó thì số còn thiếu sẽ sửdụng là các số không phải là thập phân tính từ trái qua và chuyển sang số thậpphân theo công thức A->0, B->1, C->2, D->3, E->4, F->5

Ví dụ: Output from DES: 0FAB9CDEFFEFDCBA

CVV/CVC là 095

c Quá trình xác thực số CVV/CVC tại máy ATM

* Một số khái niệm liên quan:

- Hệ thống Switch

Switch rất quan trọng trong hệ thống ATM, cũng như các giao dịch tàichính khác Switch là trung tâm của toàn bộ hệ thống, là một thành phần trunggian giữa ATM và cơ sở dữ liệu của ngân hàng Mọi giao dịch từ ATM đều thôngqua Switch

Switch: Là hệ thống định tuyến các giao dịch tài chính bắt nguồn từ cáckênh phân phối dịch vụ nhƣ: máy ATM, POS, Telephone Banking, InternetBanking,…

Keys LMK được tạo trước tiên trong HSM sau đó được lưu trong HSM vàmột bản sao được lưu trong thẻ Nếu HSM bị mở ra vì bất cứ lý do gì hay xâmnhập trái phép, thì LMK sẽ bị xóa và phải được nhập lại vào HSM

Để sinh khóa LMK và tải vào HSM thì phải có ít nhất 3 thành phần khácnhau dưới dạng bản rõ (3 clear LMK component khác nhau, trong HSM ta cóthể cấu 37 hình khóa LMK được sinh ra từ 3 đến 9 thành phần clear LMKcomponent)

Để đảm bảo an toàn thì mỗi thành phần khóa bản rõ sẽ do mỗi người giữ

Để tạo ra LMK thì người ta sử dụng phép XOR từ các clear LMK component

- Khóa CVK- card Verification

Keys Khóa CVK được sinh ngẫu nhiên trong HSM và được mã hóa bởikhóa LMK Khóa dùng để sinh số CVV/CVC, để đảm bảo thẻ không bị làm giả,khi phát hành người ta dựa trên thông tin về thẻ để sinh số CVV/CVC, được lưutrên thẻ Bản mã của khóa CVK sẽ được lưu vào hệ thống Switch Không lưubản rõ, khóa có độ dài 64bit, 128bit hoặc 192bit

* Quá trình xác thực số CVV/CVC

Quá trình xác thực này diễn ra cùng với quá trình xác thực PIN của chủthẻ

- Khi thực hiện xác thực PIN, thì đồng thời các thông tin của thẻ là Track

2 sẽ được gửi đến Switch Thông tin để xác thực bao gồm số PAN, ngày hết hạnthẻ Expire date, mã dịch vụ Service và số CVV/CVC

- Bản mã của khóa CVK tại Switch được giải mã bởi khóa LMK trongHSM

- Sử dụng khóa CVK trong thuật toán DES để sinh số CVV/CVC Kiểmtra số CVK

- Kết quả kiểm tra được gửi lại cho ATM

2.2.3 Ứng dụng OTP (One-Time-Password) trong thẻ từ.

a Khái niệm OTP

OTP - One Time Password là mật khẩu sử dụng một lần và được coi là lớpbảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã hội

Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự.Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiênkhông phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tácdụng Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và lại được thay thế bằng mãmới

OTP được sử dụng nhiều và rất phổ biến Để chuyển tiền hay thực hiệnmột giao dịch trực tuyến, người dùng không chỉ dùng tài khoản và mật khẩu đểđăng nhập mà còn cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch

Vì khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng khôngthể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP

Có nhiều cách để người dùng nhận mã OTP, có thể thông qua thiết bị hayứng dụng tạo mã, hoặc được nhà cung cấp gửi đến thông qua tin nhắn SMS, điệnthoại hay e-mail

b Các hình thức cung cấp mã xác thực OTP phổ biến

* SMS OTP

Mã xác thực OTP được ngân hàng hay nhà cung cấp dịch vụ gửi dướidạng tin nhắn SMS đến số điện thoại mà người dùng đã đăng ký So với TokenKey, hình thức này đơn giản và phổ biến hơn nhiều

Hạn chế của SMS OTP là việc người dùng không thể nhận được mã xácthực trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà