Desarrollo y aplicación de tecnología de contraseñas dinámicas
En 1982, un investigador de Bell Labs propuso el diseño de una contraseña de un solo uso en un artículo, de modo que incluso si alguien más descifra la contraseña, no se puede volver a utilizar. Esta es la primera vez que se plantea sistemáticamente el problema de las contraseñas dinámicas y su solución. Posteriormente, la empresa estadounidense RSA descubrió el valor de esta tecnología, realizó una investigación en profundidad y mejoras en las contraseñas dinámicas y propuso una "tecnología de sincronización horaria". Solicitó una patente en 1984, desarrolló su primer producto de comando dinámico, SecurID, en 1986 y produjo su primer producto de contraseña dinámica en una fábrica de Hong Kong.
Sin embargo, lo que realmente hizo que este producto tuviera éxito fue después de que Security Dynamics Inc adquiriera RSA. Se dieron cuenta del enorme valor y las oportunidades comerciales de la propia marca RSA, mantuvieron la marca RSA y cambiaron el modelo de ventas que incluía principalmente sistemas operativos o software de sistema al campo de las aplicaciones. Pronto, lograron un gran éxito en la banca, el gobierno, el ejército, los seguros, la seguridad interna corporativa y otros campos, y finalmente se convirtieron en una empresa que cotiza en bolsa con ventas anuales de 280 millones de dólares estadounidenses (cifras de 2000).
En Estados Unidos, RSA representa ahora el 70% del mercado de contraseñas dinámicas, y en 2001 se produjo el SecurID número 100.000.
RSA lleva tiempo queriendo abrir el mercado chino. A medida que algunas empresas extranjeras conocidas ingresan a China, la tecnología de cifrado dinámico que utilizan en la gestión interna también pisa suelo chino. Para brindar servicios a estas empresas extranjeras, RSA estableció su primera oficina en China en 1995. En la primera exposición internacional de comunicaciones de China en 1996, RSA presentó su línea completa de productos en China. Pero debido a que el mercado de Internet de China todavía estaba en su infancia en ese momento, la mayoría de la gente no sabía lo que Internet podía hacer, y mucho menos los problemas de seguridad, por lo que casi nadie se dio cuenta de esto. Más tarde, los fabricantes coreanos también intentaron promover productos similares en China, pero tampoco lo consiguieron.
Sin embargo, la tibia respuesta del mercado no significa que a los chinos no les importe esta tecnología. Ya a mediados de la década de 1990, el 15º Instituto de Investigación de la Industria Electrónica de mi país, la Escuela de Graduados de la Academia de Ciencias de China, el Centro DCS (Centro de Investigación de Tecnología de Seguridad Digital de China), las agencias de seguridad nacional y algunos institutos de investigación científica estaban todos seguimiento del desarrollo de contraseñas dinámicas extranjeras y tecnologías de criptografía y realizó algunas muestras. Pero no fue hasta 1997 que Fujian Kate obtuvo esta tecnología del Centro Nacional DCS y la transformó en productos, convirtiéndose en la primera en hacerlo en China. Lo que pasa es que la situación del mercado no ha sido optimista. A partir de 2001, no podemos encontrar más de 10 usuarios que utilicen productos nacionales de contraseñas dinámicas. Incluso Fujian Kite, que fue el primero en entrar en este campo en China, utilizó los ingresos de la integración de sistemas y el desarrollo de software para subsidiar esta pérdida, sin mencionar a otros fabricantes.
En comparación con otros productos de seguridad de redes, el desarrollo de la tecnología de contraseñas dinámicas en China es un poco especial. Por ejemplo, la tecnología de firewall apareció en países extranjeros a principios de la década de 1990, pero fue ampliamente adoptada por muchos departamentos centrales nacionales en 1995 y 1996. Poco después de que aparecieran los certificados de CA y las firmas digitales en el extranjero, los bancos nacionales comenzaron a construir centros de CA (CFCA). La tecnología antivirus está completamente sincronizada con la de otros países y los hay aún más avanzados. El primer producto de tecnología de cifrado dinámico apareció en 1986 y comenzó a utilizarse ampliamente en el extranjero a principios de la década de 1990, pero no fue hasta 2001 que comenzamos a darnos cuenta de su importancia. ¡En este campo llevamos 10 años de retraso!
Hay muchos factores: en primer lugar, debido a las estrictas restricciones impuestas a los productos de seguridad por parte de agencias de seguridad como la Comisión Nacional de Criptozoología, sólo las unidades designadas pueden desarrollar, producir y vender, y es difícil para los extranjeros productos para ingresar al mercado de cifrado no comercial de China. En segundo lugar, el mercado de redes de mi país básicamente adopta la estrategia de "abrir primero, luego la seguridad", es decir, establecer el sistema de red primero, utilizar una estrategia completamente abierta para producir aplicaciones primero y luego implementar protección de seguridad después de que las aplicaciones sean abundantes y seguras. Se reconocen los problemas. En particular, el comercio electrónico de China aún está en su infancia, la demanda del mercado de cifrado comercial no es urgente y los altos precios de los productos extranjeros han afectado su promoción en China.
Desde el año 2000, las transacciones en línea en China se han desarrollado a pasos agigantados, especialmente el crecimiento explosivo de las transacciones en línea y de los usuarios de banca en línea. Si bien crece rápidamente, también han surgido muchos problemas relacionados con la seguridad de la red, como la imitación de tarjetas de crédito, la piratería de acciones, etc., lo que ha hecho que todos sean conscientes de la importancia del cifrado comercial. Por lo tanto, los productos de contraseñas dinámicas se han ganado el favor del mercado interno.
Hablamos de peligros ocultos
La contraseña dinámica no es absolutamente segura. Es tanto software como hardware, por lo que funcionará mal en otros software y hardware. Los posibles peligros ocultos de las tarjetas de contraseña dinámica incluyen:
1. Por ejemplo: desarrolladores y usuarios de sistemas. Todo usuario necesita una tarjeta que genere contraseñas dinámicas, como su tarjeta de crédito. Si el usuario pierde la tarjeta, el emisor de la tarjeta puede hacerle una copia idéntica después de informar la pérdida. Entonces, si la persona responsable de emitir la tarjeta realmente quiere robar el número de cuenta, puede usar su autoridad para copiar la tarjeta de cualquier persona.
2. Administrador del sistema. En la actualidad, la mayoría de las tarjetas de contraseña dinámica calculan contraseñas dinámicas mediante sincronización de tiempo. Si el administrador del sistema modifica accidentalmente la hora del sistema (este es un error fácil), puede causar una gran confusión en todo el sistema y paralizar todo el sistema comercial.
3. Servidor.
Actualmente, los sistemas operativos utilizados por los servidores de contraseñas dinámicas suelen ser plataformas Windows 2000 o Unix, y estos dos sistemas operativos tienen muchas "vulnerabilidades" y es probable que se conviertan en objetivos de piratas informáticos o virus. Incluso si no pueden robar la información de la cuenta de los usuarios, es posible que puedan derribar todo el sistema comercial.
4. Método de cifrado. En la actualidad, los principios de cifrado y los métodos de autenticación utilizados por varios fabricantes no son exactamente los mismos. Algunos utilizan métodos de cifrado públicos y otros utilizan sus propios métodos de cifrado. Nadie puede utilizar los productos con métodos de cifrado desarrollados por ellos mismos para demostrar que sus métodos de cifrado son seguros. En particular, es probable que los desarrolladores dejen algunas "puertas traseras" (este tipo de cosas suceden en muchos sistemas bancarios extranjeros), lo que se convertirá en el mayor peligro oculto de todo el sistema.
5. La fiabilidad del propio sistema de contraseña dinámica. Dado que la mayoría de los sistemas de criptografía dinámica nacionales son productos nuevos, su confiabilidad y seguridad no se han probado en la práctica, como la capacidad de manejar concurrencia, recuperación ante desastres y la capacidad de prevenir ataques anormales.
En respuesta a los posibles peligros ocultos anteriores, Changsha Huatang Electronic Technology Co., Ltd. hace lo siguiente:
En el sistema de autenticación de Huatang, la tarjeta de contraseña no se puede copiar. Incluso si se informa la pérdida, se volverá a emitir una tarjeta diferente y la tarjeta con contraseña original quedará invalidada.
Cualquier evento de gestión realizado por el administrador del sistema tiene registros auditables detallados.
El método de cifrado es una combinación de métodos de cifrado públicos y métodos de cifrado de desarrollo propio.
Para los sistemas comerciales en tiempo real, se puede proporcionar una copia de seguridad en frío y en caliente en varias máquinas del servidor de autenticación.