Tarjetas inteligentes / seguridad de token USB

Question

Tarjetas inteligentes / seguridad de token USB

1

Soy bastante nuevo en tarjetas y tokens y trato de manejar un par de problemas antes de comprar y usar uno.

1- acceso físico a las teclas de la tarjeta o token: ¿Todos estos dispositivos están configurados para (o configurados fácilmente para) requieren un pin / pw de algún tipo antes de su uso? Entonces, por ejemplo, si se pierde la tarjeta, ¿se debe ingresar un pin antes de acceder a cualquier información o módulo (es decir, openpgp) que reside en la tarjeta?

2- ¿Cuál es el efecto de un keylogger malicioso en el uso de una tarjeta inteligente o token? Por ejemplo, si utiliza un token de tipo USB con capacidad de tarjeta inteligente, ¿un keylogger compromete todo lo que está en el dispositivo, incluso si el atacante no puede obtener físicamente el token de usb?

smartcard token

pregunta TrustNoOne 10.03.2015 - 17:52

fuente

1 respuesta

Lea otras preguntas en las etiquetas smartcard token

¿Cuál es la clave cuando el cliente desea obtener un ID de sesión en SSL? Generando token de autenticación a partir de sesiones de PHP

score 1 · Answer 1

La mayoría (¿todas?) de las tarjetas requieren un PIN y están diseñadas para bloquearse después de varios intentos fallidos, por lo que el acceso físico a una tarjeta es bastante inútil sin saber el PIN ya que las tarjetas están diseñadas para ser a prueba de falsificaciones. Hasta ahora no he oído hablar de ninguna forma de extraer los secretos utilizando un ataque de hardware en un escenario del mundo real.

Un keylogger en una máquina de hecho capturará el PIN si lo ingresas en una aplicación en la computadora. Esto se puede mitigar utilizando un lector con un teclado numérico de hardware e ingresando el PIN en ese teclado. De esa manera, el PIN nunca llega a la computadora e incluso una máquina comprometida no podrá capturarlo. Todos los terminales de tarjetas de crédito que utiliza cuando paga son, al menos, un lector como este (pero a menudo son computadoras con todas las funciones que se encargan de la transacción completa), por lo que el sistema POS nunca obtiene su PIN.

Un keylogger nunca podrá comprometer los secretos de la tarjeta, ya que las tarjetas están diseñadas específicamente para no revelarlos, sin embargo, comprometerá el PIN y cualquier información que cifre / descifre con esa tarjeta o token.