標記化vs加密
目前,支付行業(yè)的管理人員和安全專家正在討論保存和保護信用卡數(shù)據(jù)的正確方法。商家可以選擇多種格式,其中包括保存加密格式(這種格式用加密算法代替16位數(shù)字的信用卡號碼)、基于卡的標記格式(這種格式使用隨機標記代替卡號,以減少PCI DSS評估的范圍)等。EMC公司安全部門RSA的技術(shù)總監(jiān)Robert Griffin一直是許多加密和標記化項目的首席架構(gòu)師。Griffin是一位公認的加密專家,他還是OASIS密鑰管理協(xié)作協(xié)議技術(shù)委員會的聯(lián)合主席。在此次參訪中,他談?wù)摿藶槭裁碦SA保護信用卡數(shù)據(jù)的方法(該技術(shù)使用基于卡的標記)是最有效的防護方法(保護敏感信用卡數(shù)據(jù)不受網(wǎng)絡(luò)罪犯的攻擊)。該安全供應(yīng)商最近發(fā)表了一份白皮書《Secure Payment Services: Credit Data Security Transformed(安全支付服務(wù):信用數(shù)據(jù)安全變換)》,闡述了該公司對此技術(shù)的立場。
零售商們有很多比較舊的系統(tǒng),他們采用新技術(shù)的進程似乎比較緩慢。有沒有商家已經(jīng)著眼實施某種形式的保存/加密技術(shù)來保護信用卡數(shù)據(jù)呢?
Griffin:我認為,市場上其實存在著一個很大的分歧。比如,我們RSA第一次實施標記化技術(shù)是在Staples公司,他們從2004年開始就已經(jīng)完成了最初的架構(gòu)工作。那時,他們已經(jīng)做出決定,不使用加密模型而是使用標記化模型來保護PCI跟蹤以及數(shù)字信息。在這種情況下,標記化的定義取決于替代模型而不是變換模型。這里面存在著一個重大的行業(yè)分歧——“使用原始值的變換來創(chuàng)建任何相關(guān)值的模型”與那些“沒有使用這種變換的方法”之間的分歧。標記化是指你把原始值映射為一個新的值,并把這個新的映射值作為標記來使用。我曾經(jīng)參與PCI DSS范圍委員會有關(guān)標記化的工作,該委員會面臨的最基本問題就是這種分歧到底有多明顯,以及怎樣出現(xiàn)在確定范圍的指導(dǎo)意見中。
你認為我們將會更多地使用混合模型嗎?
Griffin:從一個方面看是肯定的。我們的感覺是,在你做替換的模型中,映射數(shù)據(jù)庫與應(yīng)用程序的分離非常重要。基本模型是指你把真正的值轉(zhuǎn)移到某種標記化的服務(wù)上面。這意味著當你把值從所在地點轉(zhuǎn)移到標記化服務(wù)的時候,你必須保護轉(zhuǎn)移過程中的值。你可以簡單地進行運輸級別保護,但是我們認為,在數(shù)據(jù)移動的過程中,你應(yīng)該實施多層次的保護措施。這種情況下,對數(shù)據(jù)進行加密極為重要。對于我們來說,你送回到交易時的內(nèi)容與你送到標記化服務(wù)器的值沒有任何算法、數(shù)學和變換上的關(guān)系。這就意味著所有的強力變換攻擊、所有的密鑰攻擊(一旦你發(fā)現(xiàn)某次變換的密鑰,你就可以知道所有其他變換的密鑰)——所有這些威脅都不復(fù)存在。我認為這是加密模型(不管是保存格式還是擴展加密)與這種基于映射、沒有變換的模型之間的巨大區(qū)別。我們對這個問題的看法是,替代模型非常有效。
這些傳統(tǒng)的業(yè)務(wù)分析系統(tǒng)和數(shù)據(jù)庫似乎是較大的多達。保存加密格式可以在這方面發(fā)揮作用,因為你可以用加密格式保存16位信用卡號碼。你能用基于卡的標記來這樣做嗎?
Griffin:當然可以。我們在兩個客戶項目中建立了我們自己的標記化解決方案。Staples公司是其中的一方,另一方是一家包裹運輸公司。我們與他們進行討論,首先讓他們理解一件事件,那就是一定要盡可能的減小對當前應(yīng)用程序架構(gòu)的影響,而最好的辦法就是保持信用卡號碼的長度不變,并且保留信用卡號碼的最后四位數(shù)字。只要你把號碼的最后四位數(shù)字映射到標記上,并保持同樣的16位數(shù)字結(jié)構(gòu),那么這個標記其實跟保存加密格式同樣有效。
在First Data-TransArmor處理過程中,F(xiàn)irst Data把PAN與先前處理過的信用卡做對比,以檢查一個標記是否被使用過。由此,我可以知道在First Data中保存著這樣一個文件,里面既有標記也有信用卡號碼。如果網(wǎng)絡(luò)罪犯掌握了這個文件,應(yīng)該會造成重大的數(shù)據(jù)泄漏事件吧?
Griffin:這個映射表格是這個架構(gòu)真正的核心所在。這個文件一定要受到保護,這極為重要。你應(yīng)該像保護密鑰管理相關(guān)事宜那樣嚴格地保護它。映射表格式中包含的敏感信息也需要得到很好的保護。如果把所有的信用卡信息都聚集在一個地方,那么你就可以在該處實施保護措施;而如果信用卡信息很分散的話,那保護起來就相當?shù)睦щy了。你需要像保護密鑰管理那樣使用高級別的多層防御來保護這個表格。你必須采用適當?shù)纳矸莨芾恚瑢€人數(shù)據(jù)元素進行加密是絕對需要的,而且加密級別越細致越好。同樣,你還應(yīng)該關(guān)注物理環(huán)境和虛擬環(huán)境中的基礎(chǔ)設(shè)施模型。
另外一個問題是延遲問題。對于商家來說,讓客戶的支付過程快速便捷非常重要。現(xiàn)在計算機的處理能力真的可以讓延遲問題不再是問題了嗎?
Griffin:這包括網(wǎng)絡(luò)關(guān)系以及標記化操作的延遲。在這種情況下,我認為一個更重要的問題是網(wǎng)絡(luò)連接的帶寬。舉個例子,我們第一次在Staples公司遇到這種情況,那時他們已經(jīng)為幾個商店提供了撥號連接,早在架構(gòu)設(shè)計時他們就非常擔心這是否會造成交易中出現(xiàn)一到兩秒的時間延遲。但是后來他們發(fā)現(xiàn),情況并非如此。他們非常高興自己推出的產(chǎn)品可以適應(yīng)各種環(huán)境。即便是環(huán)境中的帶寬和傳輸速度千差萬別,但是由于數(shù)據(jù)包(你的數(shù)據(jù)傳輸量)非常小,實際上不會對支付終端上的客戶反應(yīng)時間產(chǎn)生多大的影響。
還有一個問題是關(guān)于大型商家使用多個支付處理商的討論。這意味著將會有不同種類的標記化解決方案。那么對于標記化來說,為什么沒有任何標準呢?
Griffin:關(guān)于標記化我們需要知道兩件事。其中之一就是我們在PCI DSS特殊利益集團內(nèi)部所做的有關(guān)標記化的工作。如果你在使用這種替代模型的話,那這部分工作主要側(cè)重于確定范圍和操作指南。另外就是由美國國家標準學會所做的工作,可惜的是要靠這方面工作來闡明標記化意味著什么卻顯得更加的困難。可以拿API作為例子,我認為在這個領(lǐng)域內(nèi)還沒有任何重大的進展,這一點是我們RSA感興趣的地方。相對于范圍確定的問題,它只能屈居次席,我認為這跟密鑰管理是一個道理。我們看到許多供應(yīng)商不僅使用標記化來保護PCI,而且還用它來保護其他類型的信息,那么供應(yīng)商就不會被禁錮在單一的支付處理商以及他們的基礎(chǔ)設(shè)施上面,所以標準API的發(fā)展將非常重要。不過我們還沒有開始那方面的工作。
【編輯推薦】
