DSM 2008/2 - Recenze knihy
Autorizace elektronických transakcí a autentizace dat i uživatelů
Vašek Matyáš, Jan Krhovják a kolektiv
Ve čtvrtek 24. dubna se na Knižním veletrhu v Praze u stánku Univerzitních nakladatelství konala malá vernisáž útlé knížky s výše uvedeným dlouhým názvem. Předpokládám, že takováto stručná zpráva sama by o sobě nikoho příliš nezaujala. A protože jsem přesvědčen, že by to byla chyba, považuji za svou povinnost přidat několik dalších vět. Jedná se totiž o tématicky unikátní publikaci – v oblasti počítačové bezpečnosti u nás dosud nebyl obdobný titul publikován.
Tato kniha obsahuje téměř kompletní přehled metod a technologií pro autentizaci a autorizaci používaných při elektronických platebních transakcích. Pokud jsem při jejím nákupu přece jen chvíli váhal, tak to bylo pouze proto, že jsem se nemohl rozhodnout, je-li pro mě tím větším lákadlem pohled na jména mnohých známých odborníků uvedená v seznamu autorů knížky, nebo přehled zajímavých témat uvedených v obsahu.
Už jen přehled a kritická analýza současného stavu (ne)bezpečnosti platebních systémů v úvodní kapitole stojí za přečtení samy o sobě. Ale stejně poutavé čtení pokračuje i nadále. Přehled základních autentizačních metod a trendů v jejich vývoji, popsaný ve druhé kapitole, obsahuje i fundovaný popis biometrické autentizace a krátkou zmínku o jedné z vícefaktorových autentizací. Následující popis autentizace pomocí certifikátů je speciálně zaměřen právě na platební transakce. Podobně je orientován i úvod do problematiky bezpečného hardwaru s popisem kryptografických modulů, příslušnými bezpečnostními požadavky a konečně s cenným přehledem útoků na bezpečný hardware, včetně klasifikace útočníků podle jejich schopností a možností a včetně popisu několika vybraných příkladů a hlavních technik útoků.
Hlavní část knihy je podle očekávání věnována vlastní autorizaci platebních transakcí. Po klasifikaci elektronických plateb, způsobů autorizace bankovních operací a systémů pro podporu karetních plateb následuje popis specifikace EMV (Europay-Mastercard-Visa) a příslušných bezpečnostních mechanismů. Zvláště cenná je analýza bezpečnosti používání čipových karet tohoto typu v praxi. Zde uvedené slabiny tohoto systému a doporučení pro jejich odstranění jsou založeny hlavně na několikaletých zkušenostech z jejich používání ve Velké Británii. Analýza je oboustranná, tj. jak z pohledu bank, tak i z pohledu zákazníka, a je doplněna popisem vhodného experimentu. Zvláštní pozornost je věnována platebním transakcím.
Závěrečná třetina knihy obsahuje čtivý a srozumitelný popis elektronického bankovnictví (internetové bankovnictví, telefonické bankovnictví, …). A opět po popisu základních principů a analýze slabých míst následuje zajímavý přehled možných útoků z pohledu uživatelů. Ten postupně graduje až k popisu více i méně známých způsobů zneužití platebních terminálů. Samotný popis různých typů útoků by ale byl sám o sobě velice pesimistickým závěrem. Naštěstí je zde rozsáhlá poslední kapitola, věnovaná velice podrobnému přehledu technik, kterými výrobci karet na známé útoky reagují.
Celá kniha obsahuje množství fundovaných informací, které psané v češtině takto pohromadě nelze asi nikde jinde nalézt. Zcela jistě poslouží jako učebnice pro obor informační bezpečnosti na našich vysokých školách a zároveň i jako vyhledávaná pomůcka pro všechny, kdo se o elektronické platby zajímají.
Pokud se vám zdá, že všechny klady publikace jsou vždy zdvojené, tak to má dobrý důvod – neodolal jsem a pořídil si ji hned dvakrát.
VOJTĚCH JÁKL
vjj(zavinac)mff.cuni.cz
| Titul: | AUTORIZACE ELEKTRONICKÝCH TRANSAKCÍ A AUTENTIZACE DAT I UŽIVATELŮ |
| Autor: | Vašek Matyáš, Jan Krhovják a kolektiv |
| Vydavatel: | MASARYKOVA UNIVERZITA/NAKLADATELSTVÍ v roce 2008 |
| Počet stran/ISBN: | 125 / ISBN: 978-80-210-4556-9 |
| Cena: | 220,- Kč |
| Objednání: | http://umarecka.cz/ za 197,- Kč + poštovné a balné |
Publikováno: 06. 06. 2008