当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 进一步了解USB Key的安全漏洞

安全防护
注意防范搜索引擎网站的漏洞 避免遭受恶意攻击
IRC变种病毒在MSN上大行其道 可被黑客操纵
“关机能手”自动关闭电脑发起ARP攻击
打造SQL Server2000的安全策略
通过IE才能诱发 Firefox2.0发现重大漏洞
安全知识 当今最流行网络攻击六大趋势
安全防护:07月14日-16日病毒木马预警
用瑞星密码保护功能保护QQ密码
IE和Firefox混着用易遭黑客攻击
"卤猪"病毒毁你没商量 可让用户系统崩溃
自己动手删除各种病毒遗留文件
7月18日:瑞星播报--“灰鸽子变种HO”病毒
木马播报 警惕网上被“钓鱼”
危险病毒卤猪活动频繁 Linux等系统不受影响
即时通讯危险揭秘 网上聊天五大安全危机应对
揭密局域网计算机病毒独有的七大特点
利用DDOS攻击 网络安全公司大赚其钱
谨防小不点变种伪装成微软版本诱惑用户
通过移动存储设备传播的木马呈现上升趋势
jsp防盗链

安全防护 中的 进一步了解USB Key的安全漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 56 ::
收藏到网摘: n/a

今天参加了飞天诚信举办的一个USB Key的身份认证技术与应用的会议,从中对飞天的USB Key以及其在银行界的应用有了一些了解,我以前也曾经专门分析过USB Key的安全性,这次会议使得我对USB Key有了更深入的了解。

Encryption

USB KEY

在这次学习探讨的过程中,我对USB Key也有了一些新的体会:

1、只要数字证书和私钥存放在电脑介质中,或者可能被读入内存,那么都是不安全的。例如招商银行的硬盘版数字证书就是不安全的。因为其私钥和数字证书都有被木马程序盗用的可能。

2、USB Key的安全性在于私钥不能被导出,加密解密运算用Key内的CPU完成,需要PIN码验证。

3、一个最基本的认证系统应该包括:客户端(使用USB Key)、服务器端、数字认证中心(CA)三部分,如果不用CA的话,也可以客户端的Key申请认证,服务器产生随机数,进行冲击/响应认证。

然而,USB Key目前来说并不是绝对安全的,当前广泛应用的USB Key实际存在两大安全漏洞:

1、交互操作存在漏洞。黑客可以远程控制,冒用客户的USB Key进行身份认证,而客户无法知晓。

这种漏洞的解决方式是在USB Key上增加一个确认键,用户按USB Key上的确认键后才能进行一次认证。

2、无法防止数据被篡改。客户的一笔交易在送入USB Key加密前,可能会被黑客拦截屏篡改为另外一笔交易,这样可以在用户不知情的情况下篡改交易而认证通过。

这种漏洞的解决也需要变更USB Key的硬件,在USB Key上增加一个显示屏,能够显示交易信息和数字。

这实际和我以前想象的一样,我曾经想到过将USB Key和动态密码锁合二为一,就能产生出一个更安全的USB Key,不过这样的话,成本就会翻一翻了,这也是鱼和熊掌不可兼得。