玩卡网-卡友自己的家园,最具人气的信用卡论坛|借记卡论坛|银行卡论坛

 找回密码
 加入玩卡网

QQ登录

只需一步,快速开始

搜索
查看: 20282|回复: 64

我来说说数字证书

  [复制链接]
发表于 2011-11-10 14:57 | 显示全部楼层 |阅读模式
嗯,昨天专程去北分免费领了工行数字密码器,顺便说说我对网银数字证书的一些看法。

声明:

1)以下内容仅为个人看法,部分为猜测,本人不承担任何责任。
2)独发玩卡网,转载注明出处。

早期的系统登录采用的是“用户名+密码”的体制。
这种体制在内部网络、用户素质较高时,勉强能做到保护用户的信息安全。
但是这个简单的身份验证体制在网银中显然安全性表现不够。
简单地说,个人网银有如下特征:
1)用户分布广,素质普遍不高,安全意识不强。
2)在公用网络传输信息,信息容易被窃听。
3)用户的桌面系统的安全性普遍不高,容易被劫持。

所以,采用数字证书对信息进行加密传输(或者数字签名),基本上是所有网银必须考虑的设计。
所谓数字证书,通俗地说,服务器和客户端有相同的证书(或者密钥等,差不多一个意思),
需要验证身份的时候,服务器端和客户端同时对一段信息(明文)采用数字证书传输,然后对结果(密文)进行比对,
如果结果一致,说明信息是一致的,通过身份验证。

顺便说一句,一般的加密算法是不对称算法,大概意思是,已知明文和密钥,很容易算出密文,
但是反过来,已知明文和密文,要算出密钥很难。这就保证了传输过程中,密钥不会被破解。
(我们常说的攻破密码,实际上就是找到一种较快的算法,快速计算出密钥)

评分

参与人数 1授信 +20 收起 理由
jeff18688 + 20 叫兽辛苦!

查看全部评分

楼主热帖
玩卡网 www.plycd.com 活跃的信用卡论坛
 楼主| 发表于 2011-11-10 14:57 | 显示全部楼层

口令卡

目前我们能见到的成本最低的数字证书是口令卡。口令卡的特点是
1) 密钥明文记录
2)加密的过程是由用户完成(查表)
简单的看,口令卡的安全性有限,主要原因是,密钥很容易被(部分)复制。
尤其是当大部分的密码刮开后,可以通过人工记忆,拍照等很多手段偷取密钥。
所以工行对口令卡交易进行了限额,并且限制了交易次数。

但是口令卡有一个很大的优点,就是它与客户端是物理隔绝的,
即时客户端被植入木马,也能保证密钥的安全。
同时,由于它不用插入电脑,避免了用户装驱动的麻烦,能通行于不同的系统。
这也是前一段时间工行用口令卡做手银安全介质的原因。
应该说,口令卡的很多设计还是不错的。

玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 14:58 | 显示全部楼层

U盾

口令卡的密钥实在太简单了,加密过程也简单。
所以需要更为复杂的密钥。当然,加密过程也会变得复杂,
指望用户是不行了,数字证书应运而生。

用招行网银时间比较长的都知道数字证书。招行数字证书的特点是,
1)密钥存在电脑上,可复制。
2)加密过程由电脑完成。
从这一分析可以看出,数字证书隐患不小。如果用户的电脑被完全劫持,
完全可以在用户不知情的情况下进行读证书,加密,授权等操作。
所以这是一个低成本的解决方案,体现出了小银行的野鸡本色。
个人认为,他的安全性甚至还不如口令卡。

再说u盾。本质上说,u盾是一个带运算功能的数字证书存储器
(早期的工行捷德u盾甚至可以放其他家的证书,后来其他版本关闭了)。也就是说,
1)密钥存在u盾里。
2)加密过程由u盾完成。
但是,u盾始终是插入到电脑上才能工作。不少用户,尤其是交易量大的用户,
习惯于常年把u盾插在电脑上。这样,如果用户的电脑被劫持,
还是有可能在暗地里想u盾发送指令,完成签名授权工作。
工行二代u盾就是为了解决这一问题,加入了确认键,
确认操作理论上不能由电脑完成。
当然,这也并不是完全安全,有一种极端地可能,
u盾驱动被完全破解,还是有可能通过电脑虚拟出确认信息。

总体来说,硬件的u盾,由于运算是由u盾完成的,所以安全性比招行的软证书还是好不少的。

但是,u盾有一个很大的缺陷,就是需要插电脑,装驱动。
(严格地说,驱动可以是通用的,捷德可以搭载其他银行的证书就是证明,
但是帝国特色决定了网银客户端往往和ie控件搅和在一起)
用过工行u盾的人大部分都被驱动折腾过。
尽管某些银行提供了免驱的u盾,其实也只是把驱动存到u盾内置的存储器里面。
在其他系统(mac,linux等)上完全无法试用。

招行(又是他)弄了个画蛇添足的tf卡u盾(好像就是那个51型),专门给手机用。
简单得说,一个tf卡兼顾存储卡和u盾两方面的功能。
这并不是一个很好的设计,毕竟用户有升级存储卡的需求,
而且这个专用的u盾成本很难降下来。

玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 14:58 | 显示全部楼层

电子密码器

这里我先感谢瞧不死。linux花了很多年没做到的事情,他做到了。
凭借众多小白粉丝的力量,终于打破了温到死在桌面系统上的事实垄断。
众多银行也发现,网银需要照顾到非windows用户的需求,
现有的u盾并不是一个好的解决方案。

先行者是中银。中银采用的是在境外网银中早就使用了的数字密码器。
数字密码器的工作原理是,取当前时间和密钥进行运算,
之后和服务器的结果进行比对。
数字密码器可以看成口令卡的升级版,
将密钥隐藏,并且把运算过程交给与电脑隔绝的设备。

当然,中银的密码器上设计了出了一个小小的问题,
由于密码器使用过程中,时钟不能与服务器完全同步。
加上用户操作会有时间。那么,在使用过程中,你会发现,
在一段时间内,数字密码器返回的结果是一样的。
很不幸这个隐患被人发现了。
前一段时间不断爆出的中银网银用户资金被盗用户大家都清楚,
其实就是让用户访问伪中银网站,盗窃者记录下用户输入的所有的信息,
同时在真正的中银网站完成交易。
(话说中银总是干这种事,起个大早,赶个晚集。
在新技术的使用上总是很激进,结局总是很杯具)

工行最近刚推出了的密码器显然是吸取了中银的教训。我实验了一下,大概有以下几点:
1)开机密码,防止实物盗窃。
2)有键盘,交易的时候需要用户输入信息,这样,明文不完全依赖于时间。
3)有对时功能,这样可以把时间段缩小。




玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 14:58 | 显示全部楼层
大家看我的文字,发现我是很有倾向性的。
个人一直是比较欣赏工行的系统设计。
应该说,工行有财力,也有技术,所以产品的安全性要好很多。
中银在追新上一直走在前列,可惜在设计上总是缺少一根经。
产品没有经过反复地实验就头像市场,结果就是乱七八糟。
招行,算了,只会做表面功夫。

我个人是最喜欢电子密码器的,很方便,安全性好过u盾,
所以我得到消息后第一时间就领到了电子密码器。
当然,再先进的技术也需要实现中有好的设计,以及发现问题及时跟进。

玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:58 | 显示全部楼层
这是个什么情况啊?
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:58 | 显示全部楼层
又惊现一巨坑!
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:59 | 显示全部楼层
前排第一
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:59 | 显示全部楼层
挖坑要填呐,兽兽
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:59 | 显示全部楼层
占前排第二
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:59 | 显示全部楼层
前排第三,可以出售!
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 15:00 | 显示全部楼层
瞅老啊哈灌水
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 15:05 | 显示全部楼层
我也占个坑 就是布拉斯 急死你们
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 15:06 | 显示全部楼层
恶意灌水?
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 16:05 | 显示全部楼层
填完坑,收工。
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 16:12 | 显示全部楼层
ahamard 发表于 2011-11-10 14:58
大家看我的文字,发现我是很有倾向性的。
个人一直是比较欣赏工行的系统设计。
应该说,工行有财力,也有 ...

你说得很好,我很赞同

但是我还是要说,老啊哈被老工的免费计算器收买了
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 16:16 | 显示全部楼层
索倪哥 发表于 2011-11-10 16:12
你说得很好,我很赞同

但是我还是要说,老啊哈被老工的免费计算器收买了

好吧,不能计算的计算器
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 16:23 | 显示全部楼层
索倪哥 发表于 2011-11-10 16:12
你说得很好,我很赞同

但是我还是要说,老啊哈被老工的免费计算器收买了

嫩说的很好,俺很赞同。
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

发表于 2011-11-10 16:55 手机频道 | 显示全部楼层
水果被收买了
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-10 16:59 | 显示全部楼层
leasun 发表于 2011-11-10 16:55
水果被收买了

老工很不待见我,数次提额不成功,目前冷冻中
玩卡网 www.plycd.com 活跃的信用卡论坛
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 加入玩卡网

本版积分规则

排行榜|小黑屋|手机版|玩卡网 ( 沪ICP备2021021090号 )

GMT+8, 2024-3-28 20:24 , Processed in 0.056006 second(s), 12 queries , XCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表