RSA大会上专家驳斥端端加密概念

日期: 2010-03-08 作者:Robert Westervelt翻译:唐波 来源:TechTarget中国 英文

在刚刚过去的2009年里,Heartland Payment Systems对外披露了其公司内部发生的一起数据泄漏重大事故。该公司的CEO Bob Carr说,他们作为一家支付处理的大厂商,将说服这一行业在保护信用卡数据方面做根本性的改进。

  Carr称,从在支付终端刷卡到信用卡标记交易的完成,端端加密是保护持卡人数据的最佳方式。但RSA 2010信息安全大会上的行业专家小组称,端端加密没有多大的意义。

  Visa公司支付技术发展部门的高级商业领导人,兼金融零售服务工作组的ASC X9F6和ISO TC68/SC2/WG13安全主席John Sheets说:“端端加密仅仅是个营销术语。在标准方面,我们对哪里是开端、哪里是终端有过很多次讨论和争议。在Visa上,我们没有把重点放在终端上,而专注于当你选择通过加密来保护数据时的要求。”

  Heartland Payment Systems的首席信息官Steven Elefant为其公司的技术进行了辩护。Heartland Payment Systems一直在与Voltage Security公司合作开发E3处理系统,Elefant说,其中包括的新支付终端将从刷卡的瞬间开始对数据进行加密,并在卡交易完成之前一直保持加密状态。

  Elefant说:“如果我们进行加密,就不会发生泄漏事故。终端是很重要的;我们可以从销售点开始进行控制,直到我们能够安全地将交易信息传达给银行。”

  Elefant是在Heartland公开那起泄漏事故之后上任的,他承认端端加密并不是坚不可摧的,但它毕竟是保护持卡人数据的纵深防御措施上的一大进步。

  Elefant说:“这些数据信息是你DNA的一部分,我们正在寻找多种技术来确保即使用户处于最坏的情况下,数据仍然是不可用的,我也认为端端加密并不是一切的终结。”

  PCI安全标准委员会的总经理Bob Russo表示出他对“端端加密”这一术语的忧虑,他说,有许多技术被大力宣扬成可以更好地保护支付处理过程安全,其中包括加密和标记化系统,委员会正在研究这一技术,并将在以后提出有关这一主题的指南。

  Russo说:“相信总有一天会出现50多家厂商,声称他们拥有真正的端端加密技术。在委员会上,我们需要好好考虑这些问题,并弄清楚其中的要素和如何映射到标准中。”

  Axway公司的首席安全官Taher Elgamal(译码解码员)在接受我们SearchSecurity.com的采访中驳回了端端加密的概念,认为它是毫无意义的。25年前唯一可用的加密方式是TCP下的链路层点对点加密,但如今的企业网络点数量庞大,端点的数量可能已经数以千计了。

  有很多压力迫使我们在信用卡行业内的信用卡交易上应用加密技术,以保护我们不会遭到攻击,这样很好。我认为我们在找到真正的解决方式之前过度宣扬了某些技术。

  Elgamal说,在信用卡交易中有七到八个处理交易的实体。

  他说:“如果那些终端并不是交易的实际终端,那么你并没有达到真正地统领全局。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐