1.使用PKI機制時因token需與PC相連,且金鑰啟動密碼固定,請教您若在輸入金鑰啟動密碼時,是否有被側錄或被植入木馬的風險?OTP 機制的token作業時,無需與PC相連,且回應的6位數密碼每次不同且有時效性.是否就無被側錄或被植入木馬的風險?
2.OTP 機制的token本身有啟動密碼嗎? 若無,那拾獲者是否利用該OTP token owner 的交易權限,即可將交易核可至下一層或是放行送出至銀行? 若無法提供交易來源可辨識性及不可否認性,OTP機制是否就只能用於認證用途,而無法取代PKI機制除認證外,並可用於交易放行?金管會會要求電子金融交易於交易放行時,一定要使用PKI機制嗎?
3.PKI機制大多採用RSA非對稱性加解密技術,因此有換KEY及憑證展期問題,而OTP機制大多利用AES或3DES 對稱性加解密技術,因此無換KEY及憑證展期問題,user也省去了憑證展期時需支付的費用,若上述無誤,請問OTP機制若無需換KEY及憑證展期,不會有交易風險嗎?
4.PKI機制的token費用較OTP機制的token費用高,且需憑證展期費,似乎OTP機制較具競爭力,請教目前金融保險業的應用是2者取其一或2者並行?
1.使用PKI機制時因token需與PC相連,且金鑰啟動密碼固定,請教您若在輸入金鑰啟動密碼時,是否有被側錄或被植入木馬的風險?OTP 機制的token作業時,無需與PC相連,且回應的6位數密碼每次不同且有時效性.是否就無被側錄或被植入木馬的風險?
A:有關PKI Token的問題,有看過一種攻擊方法是使用者下載安裝了假的驅動程式,導致木馬程式可以呼叫Token進行相關簽章動作,所以目前銀行公會規範即使是硬體載具,也必須在交易送出前,加入插拔機制,以確認是人在進行交易,而非是木馬程式在進行交易。
有關OTP的部份,密碼具有時效性,安全等級雖比PKI機制弱(6位數密碼,暴力攻擊得逞機率為10萬分之1,PKI機率遠小於此),只是使用者介面較為方便,使用起來較PKI相對容易。
不管木馬的威脅程度如何,客戶端載具的安全性才是安全的關鍵,通常需要連線的Token安全等級要求比較嚴格,例如需通過FIPS 140-1 Level2(或其他同等等級)的認證。
2.OTP 機制的token本身有啟動密碼嗎? 若無,那拾獲者是否利用該OTP token owner 的交易權限,即可將交易核可至下一層或是放行送出至銀行? 若無法提供交易來源可辨識性及不可否認性,OTP機制是否就只能用於認證用途,而無法取代PKI機制除認證外,並可用於交易放行?金管會會要求電子金融交易於交易放行時,一定要使用PKI機制嗎?
A:為了確保OTP Token的安全性,啟用OTP時可以加上密碼機制,加上是為了安全。也可以不加,為了使用者方便。
有關金管會要求的部份,根據金管會中華民國九十七年八月十一日員金管銀(二)第0九七00二七一四七0號函「金融機構辦理電子銀行業務安全控管作業基準」OTP可用來作為登入機制、低風險 (需要保證訊息隱密性、訊息完整性、訊息不可重複) 的網路交易。
3.PKI機制大多採用RSA非對稱性加解密技術,因此有換KEY及憑證展期問題,而OTP機制大多利用AES或3DES 對稱性加解密技術,因此無換KEY及憑證展期問題,user也省去了憑證展期時需支付的費用,若上述無誤,請問OTP機制若無需換KEY及憑證展期,不會有交易風險嗎?
A:OTP的安全強度並不比PKI高,換Key的難度也比較高,所以一般的OTP載具,大多會因為內藏電池電力耗盡(3~5年)而自然更換。
4.PKI機制的token費用較OTP機制的token費用高,且需憑證展期費,似乎OTP機制較具競爭力,請教目前金融保險業的應用是2者取其一或2者並行?
A:我所看到的金融保險業應用模式大多如下:
(1) 企金:交易金額高,PKI, OTP兩者並用,OTP用來登入,或供編審人員使用;PKI供放行人員使用。
(2) 個金:PKI或OTP都有人用,兩者取其一。
(3) 海外網銀:國外大多使用OTP機制。
本文作者為 全景軟體股份有限公司 網路安全事業處 專案二部處長 陳俊良