网上银行迅猛发展,网上安全事件不断增多。2004年,国内连续发生“假冒网站”、“网银大盗”、“快乐耳朵”等事件,给网上银行和网银用户带来了非常不利的影响。我国每年因信用缺失造成的损失达5855亿。在国内各银行网银业务的1800万个人用户和60万企业用户中,懂得如何使用第三方数字证书的用户尚不到三分之一。根据“CFCA2005网上银行调查报告”表明,在被调查的10个经济发达城市中,在个人用户中,潜在用户和不可能用户担心网络不安全的分别占68.7%和75.4%;在企业用户中,潜在用户和不可能用户担心网络不安全的分别占54.1%和52.1%。
如何才能保证网上交易的安全性呢?数字证书成为有力的安全保障。数字证书是一种由权威的公信机构发放的、记录着用户和认证机构有关信息的电子文件。网上银行交易双方——银行和用户,都各自持有与其身份绑定的数字证书。在网银交易过程中,双方都要向对方出示证书,以获得相互的信任。这个认证过程是以先进的公钥密码技术为手段,通过相应的计算机程序实现。每张数字证书都对应着1对或2对密钥——公钥和私钥。公钥在网上公开,私钥则由用户惟一保管。通常,用户的私钥被牢牢地封装在智能卡中,黑客是无法拿到的。由于私钥的惟一性和不会泄漏的特点,使用数字证书认证具有极安全的身份鉴别能力。除此之外,利用私钥和密码技术可以实现数字签名。经过数字签名的交易信息是不可窜改和不可抵赖的。在网上银行交易过程中,数字证书机制在认证过程中还建立了高强度的密码传输连接,以对交易信息加密,从而保证了交易信息的真实性、保密性、完整性和不可否定性,极大地保证了网上银行的交易信息安全。从世界范围看,数字证书技术已经被广泛地应用在国内外网上银行系统中,至今尚未发现一例由于数字证书被攻破而使网银诈骗得逞的案件。
但从目前流行的一种说法,认证USB Key缺乏安全性。针对目前出现的这种质疑,中国金融认证中心(简称CFCA)联合中国工商银行、中国农业银行、中国建设银行等15家商业银行向广大用户郑重声明:就目前的技术水平,只要正确使用了放在USB Key里的数字证书,网上银行就是牢不可破的,广大用户可以放心使用。
频频出现的假网站、网络钓鱼、木马病毒、短信诈骗等网络盗窃案件让网银用户“望网却步”,于是各家银行都纷纷向用户推荐数字证书和USB Key(数字证书是含有用户身份信息的电子文件,USB Key是用来存放证书和用户私钥并具有处理能力的一种带智能的芯片,形状类似于U盘)。但最近出现了一些对USB Key安全性质质疑的传闻,引起了中国金融认证中心(CFCA)和各家银行的高度重视。本着对我国的网上银行、网上支付以及广大用户认真负责的态度,CFCA联合15家商业银行,对当前环境下USB Key的安全性再次进行了谨慎的研究。为了搞清楚USB Key是否足够安全,是否能抵御黑客攻击,CFCA代表15家商业银行,咨询了国家计算机病毒防治的权威机构、查阅了USB Key技术的文献资料、走访了USB Key的生产厂商,同时还和行业安全专家进行了深入的探讨。
国家计算机病毒防治的权威机构的负责人表示,没有听到或发布过任何有关木马病毒能够攻USB Key的消息。作为国家计算机病毒的专业防治结构,他们的态度是一向不赞成由厂商通过媒体去曝光病毒事件,因为这种曝光会使黑客收手,从而妨碍公安部门取证和破案。公安部门(反病毒中心属于公安部门的一部分)的做法是先取证调查,有了结果以后才会发布。据这位负责人说,曾经出现过U盘上的数据被黑客的木马程序窃取拷贝走的事件,但那不是指USB Key中的数字证书和私钥被偷走了,U盘和USB Key两者不是一回事。
行业安全专家认为,从目前情况来看,USB Key是安全可靠的,并从几个方面论述了USB Key的安全性。USB Key中的所有数据都是以文件形势存储,密钥文件存储在E2PROM之中。对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。除非设计和编写USB Key操作系统COS的人自己在COS上留了后门,只有他才知道如何从外部调出密钥区的内容。但是讨论问题时已经排除了黑客与COS设计者相勾结的这种概率极小的前提。
产生公私密钥对的程序(指令集)是USB Key生产商根据需求和有关标准设计并烧制在芯片中的ROM中。公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成。在PKI安全认证过程中,外部计算机中的安全认证应用软件使用USB Key的API调用的方式,输入参数、数据和命令,启动USB Key内部的数字签名运算、解密运算等,并获得返回结果。由于USB Key内部的CPU可以完成这些操作,全过程中私钥可以不出USB Key介质,因此黑客程序没有机会去截获私钥。由此可见,以USB Key为存储介质的数字证书认证在安全上无懈可击。
从物理方法上讲,对USB Key芯片中的内容作整体拷贝也是几乎不可能的。虽然听说有人能够从USB Key芯片在操作过程中发生的微弱的电场变化,以及I/O口上反映出的微弱的电平变化中分析出芯片中的代码。但现在国际上对USB Key生产商的技术要求很高,要求上述的指标要低到不能够被测出来。国际上能够生产USB Key的公司只有少数几家,他们都采用了种种安全措施,确保USB Key内部的数据不能用物理方法从外部拷贝。
综上所述,网上银行USB Key数字证书是安全可靠的。
