| CFCA代表15家银行声明 网银USBKey证书安全可靠 |
|
| http://www.cnfp.net 时间:2005-11-9 17:13:51来源:和讯
|
|
针对目前出现的对USB Key证书安全性质疑的传闻,中国金融认证中心(简称CFCA,是国家级权威的网络安全认证机构)联合中国工商银行、中国农业银行、中国建设银行、交通银行、中信实业银行、中国光大银行、华夏银行、中国民生银行、兴业银行、广东发展银行、深圳发展银行、上海浦东发展银行、北京银行、天津市商业银行、武汉市商业银行15家商业银行向广大用户郑重声明:
就目前的技术水平,只要正确使用了放在USB Key里的数字证书,网上银行就是牢不可破的,广大用户可以放心使用。至今尚未出现过一起由于USB Key数字证书被攻破而使客户资金被盗的事件。 频频出现的假网站、网络钓鱼、木马病毒、短信诈骗等网络盗窃案件让网银用户"望网却步",于是各家银行都纷纷向用户推荐数字证书和USB Key(数字证书是含有用户身份信息的电子文件,USB Key是用来存放证书和用户私钥并具有处理能力的一种带智能的芯片、形状类似于U盘)。但最近,出现了一些对USB Key安全性质疑的传闻,引起了中国金融认证中心(CFCA)和各家银行的高度重视。本着对我国的网上银行、网上支付以及广大用户认真负责的态度,CFCA联合15家商业银行,对当前环境下USBKEY的安全性再次进行了谨慎的研究,认为USB证书是安全可靠、值得信赖的。
为了搞清楚USB Key是否足够安全,是否能抵御黑客攻击,CFCA代表15家商业银行,咨询了国家计算机病毒防治的权威机构、查阅了USB Key技术的文献资料、走访了USB Key的生产厂商,同时还和行业安全专家进行了深入的探讨。
国家计算机病毒防治的权威机构的负责人表示,没有听到或发布过任何有关木马病毒能够攻破USB Key的消息。作为国家计算机病毒的专业防治机构,他们的态度是一向不赞成由厂商通过媒体去曝光病毒事件,因为这种曝光会使得黑客收手,从而妨碍公安部门取证和破案。公安部门(反病毒中心属于公安部门的一部分)的做法是先取证调查,有了结果以后才会公布。据这位负责人说,曾经出现过U盘上的数据被黑客的木马程序窃取拷贝走的事件,但那不是指USB Key中的数字证书和私钥被偷走了,U盘和USB Key两者不是一回事。
行业安全专家认为,从目前情况来看, USB Key是安全可靠的,并从几个方面论述了USB Key的安全性:USB Key中的所有数据都是以文件形式存储,密钥文件存储在E2PROM之中。对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。除非设计和编写USB Key操作系统COS的人自己在COS上留了后门,只有他才知道如何从外部调出密钥区的内容。但我们在讨论问题时已经排除了黑客与COS设计者相勾结的这种几率极小的前提。
产生公私密钥对的程序(指令集)是USB Key商根据需求和有关标准设计并烧制在芯片中的ROM中的,密码算法程序也是烧制在ROM中。公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成。在PKI安全认证过程中,外部计算机中的安全认证应用软件使用USB Key的API调用的方式,输入参数、数据和命令,启动USB Key内部的数字签名运算、解密运算等,并获得返回结果。由于USB Key内部的CPU可以完成这些操作,全过程中私钥可以不出USB Key介质,因此黑客程序没有机会去截获私钥。由此可见,以USB Key为存储介质的数字证书认证在安全上无懈可击。
从物理上讲,对USB Key芯片中的内容作整体拷贝也是几乎不可能的。虽然听说有人能够从USB Key芯片在操作过程中发生的微弱的电磁场变化,以及I/O口上反映出的微弱的电平变化中分析出芯片中的代码。但现在国际上对USB Key生产商的技术要求很高,要求上述的指标要低到不能够被测出来。国际上能够生产USB Key的公司只有少数几家,他们都采用了种种安全措施,确保USB Key内部的数据不能用物理方法从外部拷贝。
综上所述,我们向广大用户郑重声明: 网上银行USBKey数字证书是安全可靠的。
中国金融认证中心
2005年11月9日
|
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
资讯搜索
一周热点新闻排行