標記化vs加密
目前,支付行業的管理人員和安全專家正在討論保存和保護信用卡數據的正確方法。商家可以選擇多種格式,其中包括保存加密格式(這種格式用加密算法代替16位數字的信用卡號碼)、基于卡的標記格式(這種格式使用隨機標記代替卡號,以減少PCI DSS評估的范圍)等。EMC公司安全部門RSA的技術總監Robert Griffin一直是許多加密和標記化項目的首席架構師。Griffin是一位公認的加密專家,他還是OASIS密鑰管理協作協議技術委員會的聯合主席。在此次參訪中,他談論了為什么RSA保護信用卡數據的方法(該技術使用基于卡的標記)是最有效的防護方法(保護敏感信用卡數據不受網絡罪犯的攻擊)。該安全供應商最近發表了一份白皮書《Secure Payment Services: Credit Data Security Transformed(安全支付服務:信用數據安全變換)》,闡述了該公司對此技術的立場。
零售商們有很多比較舊的系統,他們采用新技術的進程似乎比較緩慢。有沒有商家已經著眼實施某種形式的保存/加密技術來保護信用卡數據呢?
Griffin:我認為,市場上其實存在著一個很大的分歧。比如,我們RSA第一次實施標記化技術是在Staples公司,他們從2004年開始就已經完成了最初的架構工作。那時,他們已經做出決定,不使用加密模型而是使用標記化模型來保護PCI跟蹤以及數字信息。在這種情況下,標記化的定義取決于替代模型而不是變換模型。這里面存在著一個重大的行業分歧——“使用原始值的變換來創建任何相關值的模型”與那些“沒有使用這種變換的方法”之間的分歧。標記化是指你把原始值映射為一個新的值,并把這個新的映射值作為標記來使用。我曾經參與PCI DSS范圍委員會有關標記化的工作,該委員會面臨的最基本問題就是這種分歧到底有多明顯,以及怎樣出現在確定范圍的指導意見中。
你認為我們將會更多地使用混合模型嗎?
Griffin:從一個方面看是肯定的。我們的感覺是,在你做替換的模型中,映射數據庫與應用程序的分離非常重要。基本模型是指你把真正的值轉移到某種標記化的服務上面。這意味著當你把值從所在地點轉移到標記化服務的時候,你必須保護轉移過程中的值。你可以簡單地進行運輸級別保護,但是我們認為,在數據移動的過程中,你應該實施多層次的保護措施。這種情況下,對數據進行加密極為重要。對于我們來說,你送回到交易時的內容與你送到標記化服務器的值沒有任何算法、數學和變換上的關系。這就意味著所有的強力變換攻擊、所有的密鑰攻擊(一旦你發現某次變換的密鑰,你就可以知道所有其他變換的密鑰)——所有這些威脅都不復存在。我認為這是加密模型(不管是保存格式還是擴展加密)與這種基于映射、沒有變換的模型之間的巨大區別。我們對這個問題的看法是,替代模型非常有效。
這些傳統的業務分析系統和數據庫似乎是較大的多達。保存加密格式可以在這方面發揮作用,因為你可以用加密格式保存16位信用卡號碼。你能用基于卡的標記來這樣做嗎?
Griffin:當然可以。我們在兩個客戶項目中建立了我們自己的標記化解決方案。Staples公司是其中的一方,另一方是一家包裹運輸公司。我們與他們進行討論,首先讓他們理解一件事件,那就是一定要盡可能的減小對當前應用程序架構的影響,而最好的辦法就是保持信用卡號碼的長度不變,并且保留信用卡號碼的最后四位數字。只要你把號碼的最后四位數字映射到標記上,并保持同樣的16位數字結構,那么這個標記其實跟保存加密格式同樣有效。
在First Data-TransArmor處理過程中,First Data把PAN與先前處理過的信用卡做對比,以檢查一個標記是否被使用過。由此,我可以知道在First Data中保存著這樣一個文件,里面既有標記也有信用卡號碼。如果網絡罪犯掌握了這個文件,應該會造成重大的數據泄漏事件吧?
Griffin:這個映射表格是這個架構真正的核心所在。這個文件一定要受到保護,這極為重要。你應該像保護密鑰管理相關事宜那樣嚴格地保護它。映射表格式中包含的敏感信息也需要得到很好的保護。如果把所有的信用卡信息都聚集在一個地方,那么你就可以在該處實施保護措施;而如果信用卡信息很分散的話,那保護起來就相當的困難了。你需要像保護密鑰管理那樣使用高級別的多層防御來保護這個表格。你必須采用適當的身份管理,對個人數據元素進行加密是絕對需要的,而且加密級別越細致越好。同樣,你還應該關注物理環境和虛擬環境中的基礎設施模型。
另外一個問題是延遲問題。對于商家來說,讓客戶的支付過程快速便捷非常重要。現在計算機的處理能力真的可以讓延遲問題不再是問題了嗎?
Griffin:這包括網絡關系以及標記化操作的延遲。在這種情況下,我認為一個更重要的問題是網絡連接的帶寬。舉個例子,我們第一次在Staples公司遇到這種情況,那時他們已經為幾個商店提供了撥號連接,早在架構設計時他們就非常擔心這是否會造成交易中出現一到兩秒的時間延遲。但是后來他們發現,情況并非如此。他們非常高興自己推出的產品可以適應各種環境。即便是環境中的帶寬和傳輸速度千差萬別,但是由于數據包(你的數據傳輸量)非常小,實際上不會對支付終端上的客戶反應時間產生多大的影響。
還有一個問題是關于大型商家使用多個支付處理商的討論。這意味著將會有不同種類的標記化解決方案。那么對于標記化來說,為什么沒有任何標準呢?
Griffin:關于標記化我們需要知道兩件事。其中之一就是我們在PCI DSS特殊利益集團內部所做的有關標記化的工作。如果你在使用這種替代模型的話,那這部分工作主要側重于確定范圍和操作指南。另外就是由美國國家標準學會所做的工作,可惜的是要靠這方面工作來闡明標記化意味著什么卻顯得更加的困難。可以拿API作為例子,我認為在這個領域內還沒有任何重大的進展,這一點是我們RSA感興趣的地方。相對于范圍確定的問題,它只能屈居次席,我認為這跟密鑰管理是一個道理。我們看到許多供應商不僅使用標記化來保護PCI,而且還用它來保護其他類型的信息,那么供應商就不會被禁錮在單一的支付處理商以及他們的基礎設施上面,所以標準API的發展將非常重要。不過我們還沒有開始那方面的工作。
【編輯推薦】
