卡片及终端安全测试中常见问题分析.pdf

银 行 卡片及终端安全测试中常见问题 卡 分析 检 2011年11月 测 中 心 提纲 1. IC卡及USBKEY安全测试常见问题 2. 终端安全测试常见问题 3. 总结 1. IC卡及USBKEY安全测试常见问题  形态方面分为：  IC卡安全评估  USBKEY安全评估  安全组件上分为：  逻辑安全性测试  防故障攻击测试 逻辑安全性测试  随机数测试  依据标准：NIST Special Publication 800-22  测试内容：频率测试、块内频率测试、游程测 试、块内最长游程测试、二元矩阵秩测试、离 散付利叶变换测试、非重叠模板匹配测试、重 叠模板匹配测试、MAURER‘S普通统计测试、 线性复杂性测试、连续测试、近似熵测试、累 积和测试、随机漂移测试、随机漂移变异测试 等共15项测试项目 逻辑安全性测试 校验PIN 否 T2T1 尝试次数减1 正确？ 可以在计数器减1前 终止进程，以便后续 T2 T1 是 进行尝试操作。 后续操作流程 结束进程 Timing测试 逻辑安全性测试  后门命令测试 逻辑安全性测试  逻辑异常攻击测试  要求：程序应该保证对逻辑异常状态下进行正 确响应。 逻辑安全性测试  USBKEY密钥生成安全性  要求：签名运算操作需要进行PIN校验；根据取 消操作后，应真正取消整个签名操作。 逻辑安全性测试  防远程控制测试  要求：在进行交易前，需向持卡人进行交易金 额和交易信息的提示和确认。 逻辑安全性测试  PIN信息销毁  要求：USBKEY在接受用户在PC端输入的PIN 数据后，应将PIN明文清除，不能在PC端进行 保存。 逻辑安全性测试  使用固化密钥  要求：在生产RSA密钥对时，产生的P、Q （公 钥模数）应为素数。 防故障攻击测试 错误注入 防故障攻击测试  SPA/DPA测试 防故障攻击测试  环境适应性  温度对芯片的影响  电压对芯片的影响 防故障攻击测试  电磁辐射攻击  芯片应抵御电磁辐射的影响  在错误产生后的正确处理 2. 终端安全测试常见问题  形态方面分为：  PIN输入设备安全评估  电话终端安全评估  测试类型上分为：  方案评估  预评估  正式评估  安全组件上分为：  物理安全  逻辑安全 物理安全