Utilize este identificador para referenciar este registo: http://hdl.handle.net/10451/20037
Título: Injeção remota de chaves em POSs
Autor: Cruz, João Pedro Figueiredo da
Orientador: Domingos, Maria Dulce Pedroso, 1970-
Palavras-chave: Criptografia
Segurança
Inicialização de POSs
Estabelecimento de chaves
Teses de mestrado - 2015
Data de Defesa: 2015
Resumo: Points of Sale (POSs) são dispositivos móveis que permitem efetuar pagamentos de forma simples e eficiente utilizando um cartão bancário. Tipicamente, uma transação financeira nestes equipamentos resume-se à leitura do cartão (chip ou pista magnética) e à introdução do Personal Identification Number (PIN) para autorizar o pagamento. No entanto, esta simplicidade encobre a complexidade inerente a uma transação, sobretudo no que concerne à segurança da informação do cliente que tem de ser transmitida desde o POS até ao processador da transação através de redes potencialmente inseguras (como a Internet). Esta informação é enviada cifrada com recurso a criptografia simétrica, onde o processador e o POS partilham uma chave secreta para cifrar e decifrar os dados sensíveis. A forma de fazer chegar estas chaves secretas a ambas as partes constitui um momento fulcral na configuração inicial de um POS, pois se a injeção deste material criptográfico não for efetuada corretamente, estas chaves poderão ser descobertas e comprometer a segurança das transações feitas a partir desse POS. Hoje em dia, em Portugal, estas chaves são injetadas de forma manual utilizando um de dois métodos: Os equipamentos têm de ser enviados ao processador para que este inicialize os terminais com estes segredos, ou o fabricante requisita um número de chaves secretas à mesma entidade e esta envia-as para que o próprio fabricante as insira nos seus POSs. Contudo, pela logística associada, estas soluções deixaram de ser viáveis pelo elevado número de equipamentos a inicializar atualmente. Com este trabalho pretende-se investigar soluções que permitam agilizar este procedimento, de modo a fazer chegar esses elementos secretos a um POS remotamente, desde um ponto central de gestão de chaves criptográficas. São analisadas normas e outros documentos relacionados com o tema, cuja informação é útil para propor um protocolo de injeção remota de chaves seguro e eficaz, eliminando bastante intervenção humana no processo e diminuíndo a probabilidade de comprometimento das chaves criptográficas. A proposta é verificada formalmente quanto à sua segurança e também quanto à sua exequibilidade face a normas que o processador de transações tem, obrigatoriamente, de cumprir.
Points of Sale (POSs) are mobile devices used to make payments in a simple and effective way by using a banking card. Usually, a financial transaction on these terminals is executed by reading the card (its chip or magnetic stripe) and by introducing the Personal Identification Number (PIN) in order to allow the payment. However, this simplicity hides the inherent complexity of a transaction, especially with regard to the security of customer information that has to be transmitted from the POS to the transactions processor through potentially insecure networks (like the Internet). This information is sent encrypted using symmetric encryption, where the processor and the POS share a secret key to encrypt and decrypt sensitive data. The process to get these secret keys to be shared by both parties is a critical moment in the initial configuration of a POS because if the injection of this cryptographic material isn’t performed correctly, these keys can be discovered and compromise the security of the transactions made from that POS. Nowadays, in Portugal, these keys are manually injected using one of two methods: The devices has to be sent to the processor so that it initializes the terminals with these secrets, or the manufacturer requests a number of secret keys to the processor, which sends them to the manufacturer who inserts these keys in their POSs. However, because of the logistic associated with these procedures, these solutions are no longer practicable due to the high number of the devices currently being initialized. The goal of this work is to investigate solutions to improve this procedure, so as to inject these secret elements to a POS remotely, from a centralized cryptographic key management facility. Some standards and other documents related to the subject are analyzed, which information is useful to propose a secure and effective remote key injection protocol, eliminating some human intervention in the process and decreasing the likelihood of compromise the cryptographic keys. The proposal is formally analyzed for its security as well as to its feasibility, comparing it to standards that have to be mandatorily followed by the transactions processor.
Descrição: Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
URI: http://hdl.handle.net/10451/20037
Designação: Mestrado em Segurança Informática
Aparece nas colecções:FC-DI - Master Thesis (dissertation)

Ficheiros deste registo:
Ficheiro Descrição TamanhoFormato 
ulfc115774_tm_João_Cruz.pdf3,02 MBAdobe PDFVer/Abrir


FacebookTwitterDeliciousLinkedInDiggGoogle BookmarksMySpace
Formato BibTex MendeleyEndnote Degois 

Todos os registos no repositório estão protegidos por leis de copyright, com todos os direitos reservados.