Injeção remota de chaves em POSs

Detalhes bibliográficos
Autor(a) principal: Cruz, João Pedro Figueiredo da
Data de Publicação: 2015
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
Texto Completo: http://hdl.handle.net/10451/20037
Resumo: Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
id RCAP_7e6df3129c1dd388a79ba8213e6d87cf
oai_identifier_str oai:repositorio.ul.pt:10451/20037
network_acronym_str RCAP
network_name_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository_id_str 7160
spelling Injeção remota de chaves em POSsCriptografiaSegurançaInicialização de POSsEstabelecimento de chavesTeses de mestrado - 2015Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015Points of Sale (POSs) são dispositivos móveis que permitem efetuar pagamentos de forma simples e eficiente utilizando um cartão bancário. Tipicamente, uma transação financeira nestes equipamentos resume-se à leitura do cartão (chip ou pista magnética) e à introdução do Personal Identification Number (PIN) para autorizar o pagamento. No entanto, esta simplicidade encobre a complexidade inerente a uma transação, sobretudo no que concerne à segurança da informação do cliente que tem de ser transmitida desde o POS até ao processador da transação através de redes potencialmente inseguras (como a Internet). Esta informação é enviada cifrada com recurso a criptografia simétrica, onde o processador e o POS partilham uma chave secreta para cifrar e decifrar os dados sensíveis. A forma de fazer chegar estas chaves secretas a ambas as partes constitui um momento fulcral na configuração inicial de um POS, pois se a injeção deste material criptográfico não for efetuada corretamente, estas chaves poderão ser descobertas e comprometer a segurança das transações feitas a partir desse POS. Hoje em dia, em Portugal, estas chaves são injetadas de forma manual utilizando um de dois métodos: Os equipamentos têm de ser enviados ao processador para que este inicialize os terminais com estes segredos, ou o fabricante requisita um número de chaves secretas à mesma entidade e esta envia-as para que o próprio fabricante as insira nos seus POSs. Contudo, pela logística associada, estas soluções deixaram de ser viáveis pelo elevado número de equipamentos a inicializar atualmente. Com este trabalho pretende-se investigar soluções que permitam agilizar este procedimento, de modo a fazer chegar esses elementos secretos a um POS remotamente, desde um ponto central de gestão de chaves criptográficas. São analisadas normas e outros documentos relacionados com o tema, cuja informação é útil para propor um protocolo de injeção remota de chaves seguro e eficaz, eliminando bastante intervenção humana no processo e diminuíndo a probabilidade de comprometimento das chaves criptográficas. A proposta é verificada formalmente quanto à sua segurança e também quanto à sua exequibilidade face a normas que o processador de transações tem, obrigatoriamente, de cumprir.Points of Sale (POSs) are mobile devices used to make payments in a simple and effective way by using a banking card. Usually, a financial transaction on these terminals is executed by reading the card (its chip or magnetic stripe) and by introducing the Personal Identification Number (PIN) in order to allow the payment. However, this simplicity hides the inherent complexity of a transaction, especially with regard to the security of customer information that has to be transmitted from the POS to the transactions processor through potentially insecure networks (like the Internet). This information is sent encrypted using symmetric encryption, where the processor and the POS share a secret key to encrypt and decrypt sensitive data. The process to get these secret keys to be shared by both parties is a critical moment in the initial configuration of a POS because if the injection of this cryptographic material isn’t performed correctly, these keys can be discovered and compromise the security of the transactions made from that POS. Nowadays, in Portugal, these keys are manually injected using one of two methods: The devices has to be sent to the processor so that it initializes the terminals with these secrets, or the manufacturer requests a number of secret keys to the processor, which sends them to the manufacturer who inserts these keys in their POSs. However, because of the logistic associated with these procedures, these solutions are no longer practicable due to the high number of the devices currently being initialized. The goal of this work is to investigate solutions to improve this procedure, so as to inject these secret elements to a POS remotely, from a centralized cryptographic key management facility. Some standards and other documents related to the subject are analyzed, which information is useful to propose a secure and effective remote key injection protocol, eliminating some human intervention in the process and decreasing the likelihood of compromise the cryptographic keys. The proposal is formally analyzed for its security as well as to its feasibility, comparing it to standards that have to be mandatorily followed by the transactions processor.Domingos, Maria Dulce Pedroso, 1970-Repositório da Universidade de LisboaCruz, João Pedro Figueiredo da2015-09-10T13:59:16Z201520152015-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/20037TID:201366177porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:05:10Zoai:repositorio.ul.pt:10451/20037Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:38:11.815286Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse
dc.title.none.fl_str_mv Injeção remota de chaves em POSs
title Injeção remota de chaves em POSs
spellingShingle Injeção remota de chaves em POSs
Cruz, João Pedro Figueiredo da
Criptografia
Segurança
Inicialização de POSs
Estabelecimento de chaves
Teses de mestrado - 2015
title_short Injeção remota de chaves em POSs
title_full Injeção remota de chaves em POSs
title_fullStr Injeção remota de chaves em POSs
title_full_unstemmed Injeção remota de chaves em POSs
title_sort Injeção remota de chaves em POSs
author Cruz, João Pedro Figueiredo da
author_facet Cruz, João Pedro Figueiredo da
author_role author
dc.contributor.none.fl_str_mv Domingos, Maria Dulce Pedroso, 1970-
Repositório da Universidade de Lisboa
dc.contributor.author.fl_str_mv Cruz, João Pedro Figueiredo da
dc.subject.por.fl_str_mv Criptografia
Segurança
Inicialização de POSs
Estabelecimento de chaves
Teses de mestrado - 2015
topic Criptografia
Segurança
Inicialização de POSs
Estabelecimento de chaves
Teses de mestrado - 2015
description Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
publishDate 2015
dc.date.none.fl_str_mv 2015-09-10T13:59:16Z
2015
2015
2015-01-01T00:00:00Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10451/20037
TID:201366177
url http://hdl.handle.net/10451/20037
identifier_str_mv TID:201366177
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron:RCAAP
instname_str Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
instacron_str RCAAP
institution RCAAP
reponame_str Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
collection Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)
repository.name.fl_str_mv Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação
repository.mail.fl_str_mv
_version_ 1799134281383018497

Registros relacionados