Injeção remota de chaves em POSs
Autor(a) principal: | |
---|---|
Data de Publicação: | 2015 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10451/20037 |
Resumo: | Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015 |
id |
RCAP_7e6df3129c1dd388a79ba8213e6d87cf |
---|---|
oai_identifier_str |
oai:repositorio.ul.pt:10451/20037 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
Injeção remota de chaves em POSsCriptografiaSegurançaInicialização de POSsEstabelecimento de chavesTeses de mestrado - 2015Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015Points of Sale (POSs) são dispositivos móveis que permitem efetuar pagamentos de forma simples e eficiente utilizando um cartão bancário. Tipicamente, uma transação financeira nestes equipamentos resume-se à leitura do cartão (chip ou pista magnética) e à introdução do Personal Identification Number (PIN) para autorizar o pagamento. No entanto, esta simplicidade encobre a complexidade inerente a uma transação, sobretudo no que concerne à segurança da informação do cliente que tem de ser transmitida desde o POS até ao processador da transação através de redes potencialmente inseguras (como a Internet). Esta informação é enviada cifrada com recurso a criptografia simétrica, onde o processador e o POS partilham uma chave secreta para cifrar e decifrar os dados sensíveis. A forma de fazer chegar estas chaves secretas a ambas as partes constitui um momento fulcral na configuração inicial de um POS, pois se a injeção deste material criptográfico não for efetuada corretamente, estas chaves poderão ser descobertas e comprometer a segurança das transações feitas a partir desse POS. Hoje em dia, em Portugal, estas chaves são injetadas de forma manual utilizando um de dois métodos: Os equipamentos têm de ser enviados ao processador para que este inicialize os terminais com estes segredos, ou o fabricante requisita um número de chaves secretas à mesma entidade e esta envia-as para que o próprio fabricante as insira nos seus POSs. Contudo, pela logística associada, estas soluções deixaram de ser viáveis pelo elevado número de equipamentos a inicializar atualmente. Com este trabalho pretende-se investigar soluções que permitam agilizar este procedimento, de modo a fazer chegar esses elementos secretos a um POS remotamente, desde um ponto central de gestão de chaves criptográficas. São analisadas normas e outros documentos relacionados com o tema, cuja informação é útil para propor um protocolo de injeção remota de chaves seguro e eficaz, eliminando bastante intervenção humana no processo e diminuíndo a probabilidade de comprometimento das chaves criptográficas. A proposta é verificada formalmente quanto à sua segurança e também quanto à sua exequibilidade face a normas que o processador de transações tem, obrigatoriamente, de cumprir.Points of Sale (POSs) are mobile devices used to make payments in a simple and effective way by using a banking card. Usually, a financial transaction on these terminals is executed by reading the card (its chip or magnetic stripe) and by introducing the Personal Identification Number (PIN) in order to allow the payment. However, this simplicity hides the inherent complexity of a transaction, especially with regard to the security of customer information that has to be transmitted from the POS to the transactions processor through potentially insecure networks (like the Internet). This information is sent encrypted using symmetric encryption, where the processor and the POS share a secret key to encrypt and decrypt sensitive data. The process to get these secret keys to be shared by both parties is a critical moment in the initial configuration of a POS because if the injection of this cryptographic material isn’t performed correctly, these keys can be discovered and compromise the security of the transactions made from that POS. Nowadays, in Portugal, these keys are manually injected using one of two methods: The devices has to be sent to the processor so that it initializes the terminals with these secrets, or the manufacturer requests a number of secret keys to the processor, which sends them to the manufacturer who inserts these keys in their POSs. However, because of the logistic associated with these procedures, these solutions are no longer practicable due to the high number of the devices currently being initialized. The goal of this work is to investigate solutions to improve this procedure, so as to inject these secret elements to a POS remotely, from a centralized cryptographic key management facility. Some standards and other documents related to the subject are analyzed, which information is useful to propose a secure and effective remote key injection protocol, eliminating some human intervention in the process and decreasing the likelihood of compromise the cryptographic keys. The proposal is formally analyzed for its security as well as to its feasibility, comparing it to standards that have to be mandatorily followed by the transactions processor.Domingos, Maria Dulce Pedroso, 1970-Repositório da Universidade de LisboaCruz, João Pedro Figueiredo da2015-09-10T13:59:16Z201520152015-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/20037TID:201366177porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:05:10Zoai:repositorio.ul.pt:10451/20037Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:38:11.815286Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
Injeção remota de chaves em POSs |
title |
Injeção remota de chaves em POSs |
spellingShingle |
Injeção remota de chaves em POSs Cruz, João Pedro Figueiredo da Criptografia Segurança Inicialização de POSs Estabelecimento de chaves Teses de mestrado - 2015 |
title_short |
Injeção remota de chaves em POSs |
title_full |
Injeção remota de chaves em POSs |
title_fullStr |
Injeção remota de chaves em POSs |
title_full_unstemmed |
Injeção remota de chaves em POSs |
title_sort |
Injeção remota de chaves em POSs |
author |
Cruz, João Pedro Figueiredo da |
author_facet |
Cruz, João Pedro Figueiredo da |
author_role |
author |
dc.contributor.none.fl_str_mv |
Domingos, Maria Dulce Pedroso, 1970- Repositório da Universidade de Lisboa |
dc.contributor.author.fl_str_mv |
Cruz, João Pedro Figueiredo da |
dc.subject.por.fl_str_mv |
Criptografia Segurança Inicialização de POSs Estabelecimento de chaves Teses de mestrado - 2015 |
topic |
Criptografia Segurança Inicialização de POSs Estabelecimento de chaves Teses de mestrado - 2015 |
description |
Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015 |
publishDate |
2015 |
dc.date.none.fl_str_mv |
2015-09-10T13:59:16Z 2015 2015 2015-01-01T00:00:00Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/20037 TID:201366177 |
url |
http://hdl.handle.net/10451/20037 |
identifier_str_mv |
TID:201366177 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799134281383018497 |