进1步了解USB Key的安全漏洞

核心提示：今天参加了飞天诚信举行的1个USB Key的身份认证技术与利用的会议，从中对飞天的USB Key和其在银行界的利用有了1些了解，我之前也曾专门分析过USB Key的安全性，这次会议使得我对USB Key有了更深进的了解。 在这次学习探讨的进程中，我对USB Key也有了1些新的体

今天参加了飞天诚信举行的1个USB Key的身份认证技术与利用的会议，从中对飞天的USB Key和其在银行界的利用有了1些了解，我之前也曾专门分析过USB Key的安全性，这次会议使得我对USB Key有了更深进的了解。

在这次学习探讨的进程中，我对USB Key也有了1些新的体会：

1、只要数字证书和私钥寄存在电脑介质中，或可能被读进内存，那末都是不安全的。例如招商银行的硬盘版数字证书就是不安全的。由于其私钥和数字证书都有被木马程序盗用的可能。

2、USB Key的安全性在于私钥不能被导出，加密解密运算用Key内的CPU完成，需要PIN码验证。

3、1个最基本的认证系统应当包括：客户端（使用USB Key）、服务器端、数字认证中心（CA）3部份，假设不用CA的话，也能够客户真个Key申请认证，服务器产生随机数，进行冲击/响应认证。

但是，USB Key目前来讲其实不是尽对安全的，当前广泛利用的USB Key实际存在两大安全漏洞：

1、交互操纵存在漏洞。黑客可以远程控制，冒用客户的USB Key进行身份认证，而客户没法知晓。

这类漏洞的解决方式是在USB Key上增加1个确认键，用户按USB Key上的确认键后才能进行1次认证。

2、没法避免数据被篡改。客户的1笔交易在送进USB Key加密前，可能会被黑客拦截屏篡改成另外1笔交易，这样可以在用户不知情的情况下篡改交易而认证通过。

这类漏洞的解决也需要变更USB Key的硬件，在USB Key上增加1个显示屏，能够显示交易信息和数字。

这实际和我之前想象的1样，我曾想到过将USB Key和动态密码锁合2为1，便可以产生出1个更安全的USB Key，不过这样的话，本钱就会翻1翻了，这也是鱼和熊掌不可兼得。

评论加载中... 内容： 评论者： 验证码：