Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Bảo mật

Tiểu luận thẻ từ và bảo mật trong thẻ từ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (489.97 KB, 23 trang )

Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

MỞ ĐẦU
Người Việt Nam đang sử dụng khoảng 80 triệu thẻ các loại, hầu hết là thẻ
ghi nợ nội địa (hay thẻ ATM) sử dụng công nghệ thẻ từ cũ nên tính bảo mật kém
tiền, dễ bị làm giả để rút tiền tại máy ATM, đánh cắp thông tin cá nhân để thanh
toán trực tuyến, chuyển tiền từ tài khoản đánh cắp sang tài khoản khác hoặc đổi
sang các loại tiền ảo…, chiếm đoạt tiền của chủ thẻ.
Thời gian qua, nhiều vụ các đối tượng phạm tội thực hiện các hành vi gian
lận thẻ để chiếm đoạt tài sản như: làm giả thẻ màu ngân hàng thanh toán hàng
hóa dịch vụ, làm giả thẻ trắng rút tiền từ máy ATM, sử dụng thông tin thẻ mua
hàng trên mạng, trả tiền đánh bạc, cá độ bóng đá qua mạng, chuyển tiền từ tài
khoản trộm cắp qua tài khoản khác hoặc đổi sang các loại tiền ảo chiếm đoạt
tiền của chủ thẻ đang có xu hướng gia tăng và ngày càng tinh vi hơn.
Hiện nay, đa số thẻ ATM tại Việt Nam đều đang áp dụng công nghệ bảo
mật bằng từ tính, chỉ một số ngân hàng đi sau đang có xu hướng chuyển từ thẻ
từ sang thẻ chip với độ bảo mật cao hơn nhưng chi phí cũng đắt hơn.
Từ đó đưa ra yêu cầu về việc tìm hiểu đề tài ứng dụng mật mã học trong
các thẻ từ để góp phần tăng cường bảo mật, hạn chế mất thông tin thẻ.

1


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

CHƯƠNG 1: TỔNG QUAN VỀ THẺ TỪ
1.1 Khái quát về thẻ từ


1.1.1 Khái niệm
Thẻ từ sử dụng rất phổ biến, chúng ta có thể thấy hằng ngày trong đời
sống đơn giản như thẻ giữ xe, hay chính thẻ ngân hàng, thẻ ATM của bạn...
Thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải
băng từ này có từ tính và các thiết bị đọc ghi thẻ có thể thay đổi nội dung dữ liệu
trên thẻ. Dải băng từ này dùng để lưu trữ thông tin của chủ thẻ. Thẻ từ hiện nay
chiếm phần lớn trong tổng số lượng thẻ đang sử dụng trên thị trường hiện nay.

Một số loại thẻ từ hiện nay

2


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

1.1.2 Đặc điểm
- Nền thẻ, màu thẻ phụ thuộc vào từng ngân hàng phát hành thẻ quy định.
- Tên và logo là của ngân hàng phát hành, của tổ chức thẻ và biểu tượng
của tổ chức đó.
1.1.3 Cấu tạo
* Cấu tạo mặt trước của thẻ gồm có:

- Số thẻ: mỗi thẻ được ấn định một số riêng biệt để quản lý. Đối với
mỗi thẻ khi được lưu hành đều có một dãy số xác định đó là số PAN – Primarry
Accounr Number. Số PAN còn có thể được gọi với các tên khác như số thẻ hoặc
số tài khoản chính.
- Ngày hiệu lực của thẻ: được in nổi trên thẻ.
- Họ tên chủ thẻ.

3


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

- Tên ngân hàng phát hành thẻ.
* Cấu tạo mặt sau của thẻ có đặc điểm:

- Dải băng từ:
+ Track 1: 79 kí tự, gồm tên chủ thẻ và thông tin liên quan
đến thẻ liên kết.
+ Track 2: 40 kí tự, thể hiện: số BIN, số thẻ, ngày hiệu lực,
tên ngân hàng phát hành thẻ, tên chủ thẻ, số CVV2, mã số bí mật của ngân
hàng…
+ Track 3: 107 kí tự. Không sử dụng đối với các ngân hàng.
- Dải băng có chứa chữ kí mẫu của chủ thẻ để đơn vị chấp nhận thẻ
kiểm tra khi sử dụng.
- Ngân hàng phát hành thẻ.
1.1.4 Tính chất
Thẻ từ áp dụng công nghệ bảo mật bằng từ tính và lưu trữ thông tin trên
dải băng từ ở mặt sau thẻ và một phần dành riêng để chứa chữ ký của chủ thẻ
4


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học


(đối với thẻ tín dụng). Các thông tin chỉ được mã hóa một lần và khi quẹt thẻ
qua máy thanh toán, thông tin được giải mã. Nhược điểm của thẻ từ là dễ mất từ
khi để cạnh vật có từ tính nên các thiết bị đọc ghi thẻ (như máy MSR206) có thể
thay đổi nội dung dữ liệu trên thẻ. Chính vì vậy, khi đã xâm nhập được vào cơ
sở dữ liệu của thiết bị đọc thẻ hoặc nghe trộm qua đường điện thoại, thu tín hiệu
được gửi từ ATM/POS đến hệ thống thanh toán để đánh cắp thông tin trên thẻ từ
của người dùng.
Từ đó, đưa ra yêu cầu phải ứng dụng mật mã trong thẻ từ mà chúng ta sẽ
tìm hiểu ở chương sau.

5


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

CHƯƠNG 2: ỨNG DỤNG CỦA MẬT MÃ TRONG THẺ TỪ
2.1 Thuật toán mã hóa trong thẻ từ
Đa số các mã hóa thẻ từ dựa trên các thuật toán tiêu chuẩn mã hóa dữ liệu
DES (Data Encryption Standard).
2.1.1 Khái niệm DES
DES (viết tắt của Data Encryption Standard, hay Tiêu chuẩn Mã hóa Dữ
liệu) là một phương pháp mật mã hóa được FIPS (Tiêu chuẩn Xử lý Thông tin
Liên bang Hoa Kỳ) chọn làm chuẩn chính thức vào năm 1976. Sau đó chuẩn này
được sử dụng rộng rãi trên phạm vi thế giới.
Ngay từ đầu, thuật toán của nó đã gây ra rất nhiều tranh cãi, do nó bao
gồm các thành phần thiết kế mật, độ dài khóa tương đối ngắn, và các nghi ngờ
về cửa sau để Cơ quan An ninh quốc gia Hoa Kỳ (NSA) có thể bẻ khóa. Do đó,
DES đã được giới nghiên cứu xem xét rất kỹ lưỡng, việc này đã thúc đẩy hiểu

biết hiện đại về mật mã khối (block cipher) và các phương pháp thám mã tương
ứng.
2.1.2 Tính chất của DES
Mã DES có các tính chất sau:


Là mã thuộc hệ mã Feistel gồm 16 vòng, ngoài ra DES có thêm một hoán



vị khởi tạo trước khi vào vòng 1 và một hoán vị khởi tạo sau vòng 16.
Kích thước của khối là 64 bít: ví dụ bản tin “meetmeafterthetogaparty”
biểu diễn theo mã ASCII thì mã DES sẽ mã hóa làm 3 lần, mỗi lần 8 chữ



cái (64 bít): meetmeaf – tertheto - gaparty.
Kích thước khóa là 56 bít.
6


Học viện An Ninh Nhân Dân


Tiểu Luận Môn Học

Mỗi vòng của DES dùng khóa con có kích thước 48 bít được trích ra từ
khóa chính.

2.1.3 Mô tả thuật toán DES

DES là thuật toán mã hóa khối: nó xử lý từng khối thông tin của bản rõ có
độ dài xác định và biến đổi theo những quá trình phức tạp để trở thành khối
thông tin của bản mã có độ dài không thay đổi.
Trong trường hợp của DES, độ dài mỗi khối là 64 bit. DES cũng sử dụng
khóa để cá biệt hóa quá trình chuyển đổi. Nhờ vậy, chỉ khi biết khóa mới có thể
giải mã được văn bản mã.
Khóa dùng trong DES có độ dài toàn bộ là 64 bit. Tuy nhiên chỉ có 56 bit
thực sự được sử dụng, 8 bit còn lại chỉ dùng cho việc kiểm tra. Vì thế, độ dài
thực tế của khóa chỉ là 56 bit.

Các vòng Feistel của mã DES
7


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

Sơ đồ mã DES trên gồm ba phần:
+ Phần thứ nhất là các hoán vị khởi tạo và hoán vị kết thúc.
+ Phần thứ hai là các vòng Feistel.
+ Phần thứ ba là thuật toán sinh khóa con.
2.1.4 Độ an toàn của DES
Mặc dù đã có nhiều nghiên cứu về phá mã DES hơn bất kỳ phương pháp
mã hóa khối nào khác nhưng phương pháp phá mã thực tế nhất hiện nay vẫn là
tấn công Brute-force. Nhiều đặc tính mật mã hóa của DES đã được xác định và
từ đó ba phương pháp phá mã khác được xác định với mức độ phức tạp nhỏ hơn
tấn công Brute-force. Tuy nhiên các phương pháp này đòi hỏi một số lượng bản
rõ quá lớn (để tấn công lựa chọn bản rõ) nên hầu như không thể thực hiện được
trong thực tế.

a. Tấn công brute-force (tấn công vét cạn)
Vì khóa của mã DES có chiều dài là 56 bít nên để tiến hành brute-force
attack, cần kiểm tra 256 khóa khác nhau. Hiện nay với những thiết bị phổ dụng,
thời gian gian để thử khóa là rất lớn nên việc phá mã là không khả thi. Tuy nhiên
vào năm 1998, tổ chức Electronic Frontier Foundation (EFF) thông báo đã xây
dựng được một thiết bị phá mã DES gồm nhiều máy tính chạy song song, trị giá
khoảng 250.000$. Thời gian thử khóa là 3 ngày. Hiện nay mã DES vẫn còn được
sử dụng trong thương mại, tuy nhiên người ta đã bắt đầu áp dụng những phương
pháp mã hóa khác có chiều dài khóa lớn hơn (128 bít hay 256 bít) như
TripleDES hoặc AES.
b. Phá mã DES theo phương pháp vi sai (differential cryptanalysis)
Năm 1990 Biham và Shamir đã giới thiệu phương pháp phá mã vi sai.
Phương pháp vi sai tìm khóa ít tốn thời gian hơn brute-force. Tuy nhiên phương
pháp phá mã này lại đòi hỏi phải có 2 47 cặp bản rõ - bản mã được lựa chọn
8


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

(chosen-plaintext). Vì vậy phương pháp này là bất khả thi dù rằng số lần thử có
thể ít hơn phương pháp brute-force.
c. Phá mã DES theo phương pháp thử tuyến tính (linear cryptanalysis)
Năm 1997 Matsui đưa ra phương pháp phá mã tuyến tính. Trong phương
pháp này, cần phải biết trước 243 cặp bản rõ-bản mã (known-plaintext). Tuy
nhiên 243 cũng là một con số lớn nên phá mã tuyến tính cũng không phải là một
phương pháp khả thi.
d. Phá mã DES theo phương pháp Davies
Trong khi phá mã vi sai và phá mã tuyến tính là các kỹ thuật phá mã tổng

quát, có thể áp dụng cho các thuật toán khác nhau, phá mã Davies là một kỹ
thuật dành riêng cho DES. Dạng tấn công này được đề xuất lần đầu bởi Davies
vào cuối những năm 1980 và cải tiến bởi Biham và Biryukov (1997). Dạng tấn
công mạnh nhất đòi hỏi 250 văn bản rõ, độ phức tạp là 2 50 và có tỷ lệ thành công
là 51%.
Hiện nay, DES được xem là không đủ an toàn cho nhiều ứng dụng.
Nguyên nhân chủ yếu là độ dài 56 bit của khóa là quá nhỏ. Khóa DES đã từng bị
phá trong vòng chưa đầy 24 giờ. Đã có rất nhiều kết quả phân tích cho thấy
những điểm yếu về mặt lý thuyết của mã hóa có thể dẫn đến phá khóa, tuy
chúng không khả thi trong thực tiễn. Một trong những cách để khắc phục yếu
điểm kích thước khóa ngắn của mã hóa DES là sử dụng mã hóa DES 3 lần với
các khóa khác nhau cho cùng một bản tin, đó là 3DES. Gần đây, DES đã dần
được thay thế bằng AES (Advanced Encryption Standard, hay Tiêu chuẩn Mã
hóa Tiên tiến) với độ dài khóa là 128/192/256 bit.
2.2 Ứng dụng mật mã trong thẻ từ
2.2.1 Mã hóa PIN.
Mật mã thường được biết đến nhất trong việc cung cấp một Mã số cá
nhân, hay PIN, để cho phép một thẻ từ được sử dụng trong môi trường không
9


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

cần giám sát như ATM, hoặc trong các tình huống khác mà việc kiểm tra chữ ký
truyền thống là không phù hợp. Điều này áp dụng như nhau đối với thẻ tín dụng,
thẻ ghi nợ và thẻ ATM. Không có nhiều thẻ tài chính sử dụng ngày nay mà
không có một số tính năng mã PIN.
a. Khái niệm số PIN (Personal Identification Number)

Mã PIN – Mã nhận dạng cá nhân hay còn gọi là mã số bí mật của chủ thẻ.
Mã PIN được dùng để xác định định danh tài khoản của chủ thẻ.
Khi một mã PIN được cung cấp cho khách hàng, nó phải đảm bảo:
• Không được lưu trữ ở bất cứ đâu trong cleartext (trừ thư gửi mã PIN
dành cho khách hàng).
• Không thể kỹ nghệ đảo ngược mã PIN (phân tích tìm ra nguyên lý mã
PIN) từ thông tin trên dải từ tính hoặc từ một cơ sở dữ liệu được tổ chức trực
thuộc Trung ương.
b. Trình tự cấp mã PIN
Khi một mã PIN được cấp, có trình tự như sau:
+ Mã PIN tối thiểu là 4 và tối đa là 12 chữ số ngẫu nhiên được tạo
ra. Đây là mã PIN. Hiện nay ở Việt Nam mã PIN hầu hết là 6 chữ số.
+ Mã PIN được kết hợp với các thông tin khác, chẳng hạn như số
tài khoản, để tạo ra một khối dữ liệu đầu vào cho quá trình mã hóa.
+ Khối đầu vào được mã hóa
Đầu vào : Số thẻ - PAN, Số PIN.
Đầu ra: Khối PIN Block được mã hóa bằng thuật toán DES,
(3DES) có độ dài 64 bit.
+ Các con số được lựa chọn từ các kết quả bản mã. Trở thành Giá
trị xác minh mã Pin hay Pin Offset.
10


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

+ Mã PIN offset được lưu trữ.
+ Bưu phẩm PIN được in.
+ Bộ nhớ được xóa số nhị phân 0 để loại bỏ tất cả dấu vết rõ ràng

của PIN.
Tại thời điểm này, chỉ có giá trị PIN tồn tại bên trong thư gửi mã PIN. Mã
PIN không thể rút ra từ PIN offset.
c. Quá trình xác minh mã PIN tại máy ATM.
Khi thẻ được sử dụng và nhập mã PIN, quá trình xác thực PIN sẽ được
làm ở HSM (HSM là thiết bị mã hóa trong hệ thống ATM, HSM dùng để sinh và
mã hóa các khóa bí mật, dùng giải mã và so sánh số PIN), giá trị trả về của HSM
sẽ cho biết số PIN nhập là đúng hay sai. Quá trình xác thực PIN như sau:
- Giải mã PIN được nhập vào từ máy ATM đã được mã hóa.
- Giải mã PIN lưu trong CSDL của ngân hàng đã được mã hóa.
- So sánh số PIN được nhập vào và số PIN được lưu trong CSDL.
- Quá trình xác thực đều thực hiện trong thiết bị HSM.
Kết quả đầu ra sẽ là số PIN nhập vào đúng hay sai.
2.2.2 Xác thực tính hợp lệ của thẻ (Card Authenication Values)
Một ứng dụng phổ biến thứ hai của mật mã là cung cấp các cơ chế chống
giả cho dải từ tính. Mục đích là để ngăn chặn xây dựng gian lận thẻ giả bằng
cách chèn một giá trị trên dải từ mà không thể thể xuất phát từ thông tin thẻ
khác. Vì vậy, khi một thẻ được xác nhận trực tuyến giá trị này có thể được kiểm
tra để xác định xem các thẻ là chính hãng hay giả mạo. Một số tiêu chuẩn khác
nhau tồn tại trong cơ chế này, phổ biến nhất là thẻ thanh toán quốc tế
VISA,Mastercard, CVC. Đối với các mục đích của tài liệu này chúng tôi sẽ đề
cập đến cơ chế này là CVV vì đây là một thuật ngữ được sử dụng phổ biến nhất.
11


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

a. Khái niệm số CVV/CVC – Mã số xác minh thẻ.

Khi phát hành thẻ, đảm bảo thẻ không bị làm giả, người ta dùng số
CVV/CVC (Card Verification Value/ Card Verificatinon Code) để phân biệt thẻ
thật thẻ giả.
Mã xác minh thẻ (CVV/CVC) là số giúp tăng cường bảo mật cho chủ thẻ
– một cách để đảm bảo 1 người có thẻ thực sự thuộc quyền sở hữu của họ. CVC
là ba chữ số cuối cùng của số hiển thị ở mặt sau của thẻ tín dụng trên thanh chữ
ký. Vị trí của CVC và số lượng chữ số khác nhau tùy thuộc vào loại thẻ.
b. Quá trình tạo mã CVV/CVC.
Mỗi loại thẻ khi phát hành sẽ có một số CVV/CVC được lưu trong rãnh từ
để sinh số này người ta sử dụng các điều kiện đầu vào bao gồm các số thẻ PAN,
ngày hết hạn thẻ Card expiration date và Mã dịch vụ Service code.
Các giá trị đầu vào là duy nhất do đó mỗi thẻ chỉ có một số CVV/CVC
duy nhất.
Khi kiểm tra PIN nhập vào của chủ thẻ thì hệ thông Switch sẽ kiểm tra
đồng thời số CVV/CVC được lưu trong thẻ, nếu khớp thì thẻ hợp lệ.
Giải thuật sinh số CVV/CVC: thuật toán DES với độ dài khóa bí mật 64
bit.
Input: chuỗi 64 bit hay 16 ký tự hexa được gọi là Transformed Security
Parameter (TSP), TSP tính từ số thẻ PAN, Ngày hết hạn thẻ Card Expiration date
(YYMM) và mã dịch Service code.
Output: 16 ký tự hexa (64bit).
* Cách tạo số TSP
TSP có định dạng gồm 9 chữ số tính từ bên phải của số PAN loại từ số
cuối cùng cộng với 4 số Exp date cộng với 3 số Service code
12


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học


PAN: 6688991234567896
Exp date: 0909
Service code: 101
TSP= 1234567890909101
* Cách tính số CVV/CVC
Ba số CVV/CVC được tính như sau:
- Từ dãy số 16 ký tự hexa kết quả đầu ra ta đi từ trái qua phải, khi đó
CVV/CVC là 3 số thập phân đầu tiên trong dãy số 16 ký tự hexa.
- Nếu không tìm được đủ 3 số thập phân trong đó thì số còn thiếu sẽ sử
dụng là các số không phải là thập phân tính từ trái qua và chuyển sang số thập
phân theo công thức A->0, B->1, C->2, D->3, E->4, F->5.
Ví dụ: Output from DES: 0FAB9CDEFFEFDCBA
CVV/CVC là 095
c. Quá trình xác thực số CVV/CVC tại máy ATM
* Một số khái niệm liên quan:
- Hệ thống Switch
Switch rất quan trọng trong hệ thống ATM, cũng như các giao dịch tài
chính khác. Switch là trung tâm của toàn bộ hệ thống, là một thành phần trung
gian giữa ATM và cơ sở dữ liệu của ngân hàng. Mọi giao dịch từ ATM đều thông
qua Switch.
Switch: Là hệ thống định tuyến các giao dịch tài chính bắt nguồn từ các
kênh phân phối dịch vụ nhƣ: máy ATM, POS, Telephone Banking, Internet
Banking,….
- Khoá LMK - Local Master
13


Học viện An Ninh Nhân Dân


Tiểu Luận Môn Học

Keys LMK được tạo trước tiên trong HSM sau đó được lưu trong HSM và
một bản sao được lưu trong thẻ. Nếu HSM bị mở ra vì bất cứ lý do gì hay xâm
nhập trái phép, thì LMK sẽ bị xóa và phải được nhập lại vào HSM.
Để sinh khóa LMK và tải vào HSM thì phải có ít nhất 3 thành phần khác
nhau dưới dạng bản rõ (3 clear LMK component khác nhau, trong HSM ta có
thể cấu 37 hình khóa LMK được sinh ra từ 3 đến 9 thành phần clear LMK
component).
Để đảm bảo an toàn thì mỗi thành phần khóa bản rõ sẽ do mỗi người giữ.
Để tạo ra LMK thì ngƣời ta sử dụng phép XOR từ các clear LMK component
- Khóa CVK- card Verification
Keys Khóa CVK được sinh ngẫu nhiên trong HSM và được mã hóa bởi
khóa LMK. Khóa dùng để sinh số CVV/CVC, để đảm bảo thẻ không bị làm giả,
khi phát hành người ta dựa trên thông tin về thẻ để sinh số CVV/CVC, được lưu
trên thẻ. Bản mã của khóa CVK sẽ được lưu vào hệ thống Switch. Không lưu
bản rõ, khóa có độ dài 64bit, 128bit hoặc 192bit.
* Quá trình xác thực số CVV/CVC
Quá trình xác thực này diễn ra cùng với quá trình xác thực PIN của chủ
thẻ.
- Khi thực hiện xác thực PIN, thì đồng thời các thông tin của thẻ là Track
2 sẽ được gửi đến Switch. Thông tin để xác thực bao gồm số PAN, ngày hết hạn
thẻ Expire date, mã dịch vụ Service và số CVV/CVC.
- Bản mã của khóa CVK tại Switch được giải mã bởi khóa LMK trong
HSM
- Sử dụng khóa CVK trong thuật toán DES để sinh số CVV/CVC. Kiểm
tra số CVK
- Kết quả kiểm tra được gửi lại cho ATM.
14



Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

2.2.3 Ứng dụng OTP (One-Time-Password) trong thẻ từ.
a. Khái niệm OTP.
OTP - One Time Password là mật khẩu sử dụng một lần và được coi là lớp
bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay email, mạng xã hội.
Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự.
Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên
không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác
dụng. Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30
giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và lại được thay thế bằng mã
mới.
OTP được sử dụng nhiều và rất phổ biến. Để chuyển tiền hay thực hiện
một giao dịch trực tuyến, người dùng không chỉ dùng tài khoản và mật khẩu để
đăng nhập mà còn cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch.
Vì khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng không
thể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP.
Có nhiều cách để người dùng nhận mã OTP, có thể thông qua thiết bị hay
ứng dụng tạo mã, hoặc được nhà cung cấp gửi đến thông qua tin nhắn SMS, điện
thoại hay e-mail.
b. Các hình thức cung cấp mã xác thực OTP phổ biến.
* SMS OTP
Mã xác thực OTP được ngân hàng hay nhà cung cấp dịch vụ gửi dưới
dạng tin nhắn SMS đến số điện thoại mà người dùng đã đăng ký. So với Token
Key, hình thức này đơn giản và phổ biến hơn nhiều.
Hạn chế của SMS OTP là việc người dùng không thể nhận được mã xác
thực trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà

không cài đặt dịch vụ chuyển vùng quốc tế.
15


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

* Token Key (Token Card)
Token Card là một thiết bị điện tử xác thực người dùng nhỏ gọn, có khả
năng tạo ra mã xác thực OTP.
Token hoạt động theo phương thức tự tạo các dãy mã số một cách ngẫu
nhiên và thay đổi liên tục trong một khoảng thời gian nhất định (30 giây hoặc 60
giây) mà không cần đến kết nối mạng Internet. Cơ chế bảo mật của mỗi Token
chính là mã số được tạo ra liên tục, duy nhất, đồng bộ hoá và xác thực bởi máy
chủ. Tuy nhiên, mỗi tài khoản ngân hàng phải đăng ký sử dụng một Token riêng
và không dùng chung được. Sau một thời gian định kỳ, ngân hàng sẽ yêu cầu
người dùng đổi một Token mới.
Lợi ích khi sử dụng Token Card:
+ Với kích thước chỉ bằng chiếc móc chìa khoá hoặc USB, Token rất dễ
sử dụng, tiện lợi và nhỏ gọn. Khách hàng không cần phải tải phần mềm, cài đặt
hay làm thêm bất cứ thao tác nào khác khi sử dụng Token.
+ Token đem lại mức độ bảo mật rất cao với xác suất khả năng đánh cắp
mật mã gần như bằng “0”. Mỗi một mã số của Token chỉ có hiệu lực duy nhất
đối với một giao dịch tại một thời điểm nhất định và một khách hàng cụ thể. Vì
thế, nếu mã số của Token có bị lộ thì ở những giao dịch sau, mã số đó cũng trở
thành vô hiệu.
Tuy nhiên, vì là thiết bị nhỏ gọn nên Token Key (Token Card) dễ bị đánh
cắp hoặc thất lạc. Một số loại thông dụng với thiết kế đơn giản cũng dễ bị xem
trộm mật mã OTP.

* Smart OTP hay Smart Token
Đây là hình thức kết hợp giữa Token Key và SMS OTP, là một ứng dụng
có thể cài đặt được trên smartphone, máy tính bảng Android hay iOS. Tại Việt
Nam, Vietcombank và TPBank đang sử dụng hình thức này bên cạnh SMS OTP.
16


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

Còn Google cũng cung cấp ứng dụng tạo mã xác thực OTP mang tên Google
Authenticator.
Giống như Token Key, ứng dụng này trên điện thoại có khả năng tự sinh
ra mã xác thực ngẫu nhiên sau một khoảng thời gian. Không như SMS OTP,
Smart OTP hay Smart Token có thể cung cấp mã xác thực kể cả nơi không có
sóng điện thoại và Internet.
Dù vậy, để có thể cài đặt các ứng dụng này và bắt đầu nhận được mã OTP,
người dùng phải đăng ký với ngân hàng, nhà cung cấp dịch vụ hoặc xác thực
thông qua SMS OTP. Bên cạnh đó, không thể có hai hoặc nhiều thiết bị sử dụng
chung một ứng dụng tạo mã OTP.

17


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

CHƯƠNG 3: TRIỂN KHAI XÂY DỰNG PHẦN MỀM MÃ HÓA

DES MÃ HÓA TRONG THẺ TỪ
3.1 Giới thiệu
Chương trình mã hóa và giải mã DES, được viết bằng ngôn ngữ lập trình
VB.net.
Cấu hình của hệ thống
* Phần cứng (cấu hình tối thiểu):
Bộ nhớ ổ cứng: 20 Gb.
Bộ nhớ RAM: 128 Mb.
Tốc độ máy tối thiểu: 1 GHz.
* Phần mềm:
Hệ điều hành: Linux, Window,…
Ngôn ngữ lập trình: VB.net.
3.2 Các chức năng chính
3.2.1 Quá trình mã hóa
Bước 1: Nhập chuỗi cần mã hóa.
Bước 2: Nhập khóa K gồm 8 kí tự.
Bước 3: Click vào nút lập mã để bắt đầu quá trình lập mã.
Kết quả đạt được là chuỗi kí tự đã được mã hóa.

18


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

Quá trình mã hóa
Ở hình trên, ta thấy:
+ Bản rõ: “giapls123”.
+ Khóa: “44432123”.

+ Sau khi lập mã ta được bản mã là: “D§¤ý–âÃ*/`¤õåu”.
3.2.2 Quá trình giải mã
Bước 1: Nhập chuỗi cần giải mã vào ô bản mã.
Bước 2: Nhập khóa K gồm 8 kí tự.
Bước 3: Click vào nút giải mã để bắt đầu quá trình giải mã.
Kết quả đạt được là chuỗi kí tự được giải mã.

19


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

Quá trình giải mã
Ở hình trên, ta thấy:
+ Bản mã là: “D§¤ý–âÃ*/`¤õåu”.
+ Khóa: “44432123”.
+ Sauk hi giải mã ta được bản rõ là: “giapls123”.

20


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

KẾT LUẬN
Trong điều kiện công nghệ ngày càng phát triển, các tội phạm trong lĩnh
vực thẻ cũng không ngừng gia tăng và có xu hướng tinh vi, phức tạp hơn cùng

với việc hầu hết các loại thẻ ở Việt Nam là thẻ từ, do đó, việc ứng dụng mật mã
vào trong các thẻ từ là một vấn đề rất thực tiễn và cần thiết trong hiện tại và
tương lai. Tuy nhiên các công ty, ngân hàng, doanh nghiệp đi sau cũng nên
nghiên cứu việc chuyển đổi từ thẻ từ sang thẻ chíp với độ bảo mật cao hơn
nhưng chi phí cũng đắt hơn.
Trên đây là toàn bộ đề tài của em về đề tài ứng dụng mật mã trong thẻ từ.
Thông qua đề tài, em hiểu tương đối rõ về thẻ từ cũng như ứng dụng mật mã
trong thẻ từ để tăng cường bảo mật. Tuy nhiên, do trình độ còn hạn chế và các
tài liệu tham khảo không nhiều nên đề tài còn nhiều thiếu sót, chưa triển khai
được trong thực tế. Em rất mong nhận được sự chỉ bảo của thầy cô giáo, sự đóng
góp ý kiến, giúp đỡ nhiệt tình của các bạn để đề tài của em được hoàn thiện hơn.

21


Học viện An Ninh Nhân Dân

Tiểu Luận Môn Học

TÀI LIỆU THAM KHẢO
1. Giáo trình “Applied Cryptography for Magnetic Stripe cards”, Copyright ©
1997 Andrew Marshall.
2. />3. Đề tài “Máy ATM và hệ thống thanh toán ATM”.
4. Bài giảng “An toàn và bảo mật thông tin”, trường Đại học Nha trang.

22


Học viện An Ninh Nhân Dân


Tiểu Luận Môn Học

MỤC LỤC

23



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×