Динамічний код

- код, що змінюється з кожним натисканням брелка (захист від кодграбер).

EdwART. Словник автомобільного жаргону, 2009

Дивитись що таке "динамічний код" в інших словниках:

- - динамічний код з невідомим правилом кодування (якщо сканувати кодграбером динамічний код і знати правило його зміни (кодування), то можна наступний код обчислити, в даному випадку при натисканні брелка змінюється не тільки код, але і ... Автомобільний словник

Ця стаття про код у міському орієнтуванні та нічні пошукові ігри, інші значення цього слова див. у код (значення). Код у міському орієнтуванні послідовність літер та/або цифр є паролем, що підтверджує виконання … Вікіпедія

- (англ. Dynamic program analysis) аналіз програмного забезпечення, який виконується за допомогою виконання програм на реальному або віртуальному процесорі (аналіз, що виконується без запуску програм називається статичний аналіз коду). Утиліти… … Вікіпедія

Чотирьохканальний аналого цифровий перетворювач Аналого цифровий перетворювач … Вікіпедія

Клас мови: мультипарадигмальний: динамічний, об'єктно орієнтовний … Вікіпедія

Цей термін має й інші значення, див. Тригер (значення). Тригер (тригерна система) клас електронних пристроїв, що мають здатність довго перебувати в одному з двох стійких станів і чергувати їх під ...

ГОСТ Р 52633.0-2006 Захист інформації. Техніка захисту. Вимоги до засобів високонадійної біометричної автентифікації– Термінологія ГОСТ Р 52633.0 2006: Захист інформації. Техніка захисту. Вимоги до засобів високонадійної біометричної аутентифікації оригінал документа: 3.1 автоматичне навчання: Навчання, яке здійснюється автоматично без… Словник-довідник термінів нормативно-технічної документації

Чотирьохканальний аналого цифровий перетворювач Аналого цифровий перетворювач (АЦП, ADC) пристрій, що перетворює вхідний аналоговий сигнал дискретний код (цифровий сигнал). Зворотне перетворення здійснюється за допомогою ЦАП (DAC).

Цей термін має й інші значення, див. Переповнення. Переповнення буфера (Buffer Overflow) явище, що виникає, коли комп'ютерна програма записує дані поза виділеного у пам'яті буфера. Переповнення буфера зазвичай ... Вікіпедія

Книги

• C# 4. 0. Повний посібник , Шилдт Герберт , У цьому повному посібнику з C# 4. 0 - мови програмування, розробленому спеціально для середовища. NET, - детально розглянуті всі основні засоби мови: типи даних, оператори, … Категорія: Програмування Видавець: Діалектика,
• Структури та алгоритми обробки даних. Лінійні структури. Навчальний посібник, Апанасевич Сергій Олександрович, Навчальний посібник містить 6 лабораторних робіт, присвячених лінійним структурам даних. У тому числі динамічні масиви, однозв'язний лінійний список, стек, черга, безлічі. У лабораторних установках. Категорія: Програмування Серія: Підручники для вишів. Спеціальна літератураВидавець:

Якщо допитливий автолюбитель ставить питання про те, чи зможуть перехопити код брелка його сигналізації і, таким чином, - викрасти авто, він отримує від установника автосигналізації найчастіше таку відповідь: "Код динамічний (іноді додадуть назву алгоритму шифрування), при кожній новій посилці змінюється ". Зазвичай після цієї відповіді не виникає питань і радісний автовласник виїжджає додому, спокійний і задоволений. Звичайно не може бути й мови про спокій тільки на підставі того, що автосигналізація поставлена ​​і код у неї динамічний... І тут не йдеться про криптостійкість! - річ у тому, що недостатньо однієї сигналізації, - це вам скаже будь-який установник.

Усі фахівці та працівники сервісів сходяться на думці з наступних питань:
1. Бажано на додаток до автосигналізації використовувати іммобілайзер або реле, кероване по штатній проводці, що в принципі, на даному етапі розвитку галузі – одне й те саме.
2. Майже потрібен замок капота (механічний чи електромеханічний)
3. Ступінь викрадності чи не на половину залежить від підходу до встановлення та професіоналізму майстра. Із цим важко не погодитися!

Однак якщо взяти цілком "пристойний" і дорогий охоронний комплекс, що складається з автосигналізації, віддаленого реле, що висить на штатному проводі і керується сигналізацією, а також, наприклад електромеханічного замку на капот Defentime (керованого від автосигналізації), то електронний ключ від автосигналізації - це все що потрібно викрадачеві, щоб сісти у ваш автомобіль і поїхати..... Як сумно! Висновок напрошується сам собою, - важко переоцінити значення криптостійкості вашої автосигналізації!

Поринемо трохи в історію і подивимося, як же з'явилися на світ всі ці Кілоги, та інші алгоритми шифрування

У застарілих сигналізаціях застосовувалися коди з числом комбінацій до 512. Підбір такого коду займає менше 1 хвилини. Кількість комбінацій кодів у сучасних сигналізаціях може сягати кількох тисяч мільярдів. Першу структуру динамічного коду було запропоновано італійською компанією Autotechnica ще 1995 року. Але справжня революція в застосуванні цієї технології відбулася, коли компанія Microchip виготовила набори пристроїв, що кодують і декодують, супроводивши їх своїми посібниками з впровадження. Ця "технічна інтервенція" сприяла появі у різних виробників своїх оригінальних алгоритмів. Проте, досі продукція фірми Microrochip має великий попит, а технологія "Keeloq" відома всім, хто не зупинив своє знайомство з автомобілем на замку запалювання, двері та "балоннику".

Саме тут я зроблю відступ і розповім автолюбителям про таке поняття, як антисканування - практично стандартна опція для сучасної автосигналізації. Під цим терміном розуміють, що зловмисник не зможе зняти сигналізацію з охорони за допомогою сканера. Сканер – це відносно нескладний пристрій, який послідовно відтворює коди у форматі сигналізації, що зламується. Систему з антискануванням не можна вимкнути перебором кодів брелока, оскільки при прийомі неправильного коду вона на деякий час блокується, збільшуючи час, необхідний для сканування. Блокування знімається багаторазовою передачею правильного коду. При досить велику кількість можливих кодів перебір займе неможливо багато часу. Технологія антисканування використовується вже кілька років і не є новинкою. Системи антисканування не захищені від перехоплення кодів з ефіру за допомогою спеціальних пристроїв (граберів або перехоплювачів кодів). Пауза, що антисканує, є необхідним атрибутом і в системах з динамічним кодом.

Що ж таке динамічний код?

Технологія плаваючих кодів унеможливлює як перехоплення кодів з ефіру, так і їх підбір. Дійсний код шифрується таким чином, що при кожній передачі випромінюється зовні зовсім інша кодова посилка. У приймачі дійсний код поновлюється шляхом математичної обробки. Перехоплення кодів стає безглуздим, оскільки неможливо передбачити, яка наступна кодова комбінація зніме сигналізацію з охорони. Просте повторення попередньої посилки не призведе до вимкнення сигналізації, оскільки попередні посилки вважаються недійсними. Передбачити майбутню посилку теоретично можна, тільки знаючи алгоритм шифрування коду, який тримається фірмою-виробником в секреті і достатню кількість вибірок коду для аналізу. Кодові комбінації повторюються з великим інтервалом. Дослідження моделі MICROCAR 052.1 показали, що для даної моделі цей період становить понад 65 000 натискань. Можна сказати що, в процесі експлуатації, кодові комбінації, що передаються, не разу не повторюються - машина не служить 20 років. Коди-ідентифікатори брелоків автосигналізацій з плаваючими кодами записуються в заводських умовах і є унікальними, що не підлягають заміні в процесі експлуатації. Технологія плаваючих кодів дуже ефективно захищає сигналізацію від злому за допомогою електронних засобів. Ступінь захисту від розшифрування залежить від алгоритму кодування. Саме тут і криється одне велике "АЛЕ" (див. далі "Подвійний динамічний код").

Розглянемо трохи докладніше, що ж є динамічний код на основі все того ж Keeloq

В основі технології keeloq лежить поняття секретних кодуючих/декодуючих ключів (шифрів), які перетворюють вихідну інформацію в кодовану та кодовані дані у вихідні.

Однак до кодуючого ключа розробникам довелося додати ще кілька структур даних спеціального призначення. Коротко розглянемо їх.

Кодуючий (секретний) ключ 64-бітова комбінація, що утворюється генеруючою функцією серійного номера (ядра) і 64-бітового ключа виробника. Кодуючий ключ використовується для кодування, а декодуючий для декодування посилки. Значення ключа не може бути прочитаним, і воно ніколи не передається.

Лічильник синхронізації 16-бітова комбінація лічильника, що передається щоразу при активації кодуючого пристрою (кодера), наприклад, шляхом натискання кнопки брелока. Лічильник синхронізації формується в кодері та передається у закодованому вигляді у складі змінної частини посилки. Ця структура дозволяє відстежувати синхронність кроків декодуючого та кодуючого пристроїв. Поточне значення лічильника синхронізації від кожного кодера запам'ятовується в декодері і дозволяє відрізнити прийняту наступну посилку від попередньої або позачергової, створеної не відповідно до алгоритму.

Дискримінатор 12-бітова довільна комбінація, що передається кодером у закодованому вигляді у складі змінної частини посилки. Він використовується для перевірки цілісності процесу декодування.

Серійний номер - унікальний номер кожного кодера (брелока-передавача) з 28 або 32 біт. Формується при виготовленні кодера і передається в некодованому вигляді постійної частини посилки.

Кожен кодер характеризується набором із чотирьох величин, описаних вище: кодуючого ключа, лічильника синхронізації, дискримінатора та серійного номера. Оскільки значення всіх цих величин різні для різних кодерів, декодер повинен зберігати в пам'яті стільки наборів, скільки кодерів використовує система (зазвичай не більше 6 8).

Формування кодуючого ключа кодера проводиться спеціальним програматором в процесі виготовлення кодера. Для генерації кодуючого ключа необхідні серійний номер та ключ виробника.

Ключ виробника 64-бітова комбінація, що використовується для утворення кодуючого ключа і забезпечує розділення всього кодового простору посилок між різними виробниками. Ключ виробника також записується в пам'ять декодуючого пристрою. Звичайно, для роботи з усіма кодерами системи, виробленими одним виробником, достатньо запам'ятовування одного ключа виробника.

Для того, щоб сигналізація могла впізнати "свої" брелоки, кодова посилка брелка і пам'яті декодера сигналізації містять однакові коди-ідентифікатори, які запам'ятовуються сигналізацією при програмуванні ("навчання") брелків. Код - ідентифікатор кожного брелка унікальний і найчастіше записується в кодер брелка під час виготовлення.

Для того, щоб код-ідентифікатор не можна було перехопити з ефіру, всі (точніше практично всі) коди, що вже передавались, потрібно відсіювати, як недійсні. Крім того, код-ідентифікатор та службову інформацію не можна передавати у явному вигляді. Це можна зробити, якщо до передачі накладати на код різні маски, що не повторюються. Щоб видалити маску при прийомі, її необхідно пронумерувати. У кодер та декодер включено т.зв. лічильник синхронізації. Лічильник синхронізації містить поточний номер маски. Кожне натискання кнопки брелка призводить до збільшення стану лічильника синхронізації брелка і зміни маски, що накладається. Типова ємність лічильника синхронізації – 16 двійкових розрядів. Таким чином, брелок генерує 65000 масок, що не повторюються.

Кодові брелоки

Кодовий брелок сигналізації - це мініатюрний передавач, що працює в діапазоні дециметрових хвиль (200...450 МГц). Рідше трапляються моделі, що працюють на інфрачервоних променях, вони відрізняються малим радіусом дії.
Для сигналізацій оснащених брелоками на ІЧ – променях перехоплення кодів дуже утруднений через малий радіус дії та спрямованість брелоків-передавачів (при користуванні їх доводиться спрямовувати у певне місце салону автомобіля з відстані не більше кількох метрів). Ця особливість може створювати незручності під час користування. Сигналізації з ІЧ-брелоками: BOSH Blocktronic IR-US, BOSH Blocktronic IM-US

Робочі частоти передавачів постійні та нормовані контрольними органами електрозв'язку країн, у які ці пристрої ввозяться.

Для передачі коду в ефір використовується однотранзисторний генератор, що працює на одній із вищезазначених частот. У сучасних сигналізаціях, щоб уникнути відходу частоти при зміні температури та вологості, частота передачі стабілізується за допомогою фільтрів на поверхневих акустичних хвилях. Для відтворення коду – ідентифікатора у брелоках використовуються спеціалізовані мікросхеми – кодери, а також запрограмовані відповідним чином мікроконтролери.

Подвійний динамічний код

З того часу, як код - граббер перестав бути екзотикою і доступний викрадачам, все велике значення приділяється ступеню секретності кодової посилки, що передається з брелока. Як результат цього процесу все більше систем випускається з динамічним кодом. Ніхто не заперечує його переваг. Однак і він не може вважатися панацеєю на всі випадки. Якщо алгоритм зміни стає відомий (а він відомий, принаймні, розробнику), то впровадитися в систему залишається справою техніки. Недарма система кодування так старанно засекречується і ховається виробниками сигналізацій. Для виключення цієї можливості для електронного злому розроблено так званий D2-код, сутність якого полягає в тому, що кожному брелоку, крім розрядного номера, присвоєно ще й свій індивідуальний закон зміни коду. Це індивідуальне правило записується в декодер один раз при введенні (програмуванні) брелока, в ефірі більше не з'являється і радіоперехоплення недоступне. Таким чином, навіть розробник системи, маючи всю необхідну інформацію про способи кодування і відповідну апаратуру, не зможе розшифрувати цей код.

У цьому коді додався ще один параметр - номер натискання кнопки брелока, а процесор у сигналізації розуміє тільки номери більші, ніж ті, що прийшли з останньою командою. Отже, навіть якщо код буде перехоплено, відправляти їх у сигналізацію немає сенсу, т.к. команда з цим номером вже пройшла і не буде сприйнята сигналізацією. Через постійну зміну цей код названий динамічним.

При повторенні відсканованої кодової комбінації автосигналізація не спрацює, так як процесор центрального блоку щоразу обчислює, якою має бути наступна кодова комбінація, і спрацьовує тільки на неї.

Саме собою поняття динамічний код поєднує у собі різні типи кодів, які різняться за рівнем захисту. Наприклад, код, який щоразу лише змінюється на одиницю - теж динамічний. Код, в якому тільки частина є динамічною, також відноситься до цього класу. Тому сама собою наявність динамічного коду не вказує на хорошу захищеність системи.

Повноцінно до цього класу можна віднести динамічні коди із шифруванням типу Keeloq®, або динамічні коди з оригінальним алгоритмом. В даний час це одні з найкращих кодів у даному класі.

Комп'ютерний аналіз запису динамічного коду дозволяє виявити закономірність його зміни та, надалі, підібрати необхідну команду. При аналізі визначаються складові кодової посилки і, особливо, її динамічна частина. Для виключення можливості подібного аналізу розробниками Magic Systems (MS) був створений подвійний динамічний код -(D-квадрат).

Сутність цієї розробки в тому, що кодова посилка поділяється на багато дрібних частин, які потім перемішуються за певним законом, внаслідок чого при аналізі неможливо визначити початок і кінець посилки. У сигналізації закон перестановок відомий, тому кодова посилка відновлюється і команда виконується.

Інформаційна технологія DID (Dynamic Identification Dialog) - це динамічний ідентифікаційний діалог, який застосовується в мітках-транспондерах, за якими протиугінна система розпізнає автовласника. Технологія DID надійно захищає систему від електронного злому.

В основі цієї технології лежить діалогове розпізнавання динамічного коду. Відповідно до неї протиугінна система ідентифікує мітку в процесі діалогу, що складається з кількох інформаційних посилок.

Для початку мітка повинна отримати повідомлення про те, що вона знаходиться у зоні видимості системи. Наступний крок – відкликання мітки власним кодом. Після його одержання система видає випадкове число, яке мітка приймає, перетворює згідно з закладеним у неї нелінійним алгоритмом і передає назад. Система паралельно проводить таке саме перетворення, і при збігу чисел - власного та отриманого від мітки - автомобіль знімається з охорони.

Основною відмінністю нового динамічного коду від звичайного (думка розробника) є те, що з нього неможливо зробити "електронний зліпок", оскільки код самої мітки є лише одним із елементів розпізнавання. На кожному етапі діалогу вірним визнається лише один-єдиний код.

Щоб куплена автосигналізація стала надійним захистом, необхідно правильно її підібрати. Одним із основних параметрів, що впливають на ефективність роботи сигналізації, є спосіб кодування сигналу. У цій статті ми постараємося доступно пояснити, що означає динамічне кодування сигналів і що означає діалоговий код в автосигналізації, який вид кодування кращий, які у кожного є позитивні та негативні сторони.

Динамічне кодування в автосигналізаціях

Протистояння розробників сигналізацій та викрадачів почалося ще з часів створення перших автосигналізацій. З появою нових більш досконалих охоронних систем удосконалювалися і засоби їхнього злому. Перші сигналізації мали статичний код, який легко зламувався методом підбору. Відповіддю розробників стало блокування можливості добірки коду. Наступним кроком зломщиків стало створення грабберів – пристроїв, які сканували сигнал із брелока та відтворювали його. У такий спосіб вони дублювали команди з брелока власника, знімаючи автомобіль із захисту у потрібний момент. Щоб захистити автосигналізації від злому граббером, почали використовувати динамічне кодування сигналу.

Принцип дії динамічного кодування

Динамічний код в автосигналізаціях – пакет даних, що постійно змінюється, що передається з брелока на блок сигналізації через радіоканал. З кожною новою командою з брелока надсилається код, який раніше не використовувався. Цей код розраховується за певним алгоритмом, закладеним виробником. Найпоширенішим і найнадійнішим алгоритмом вважається Keelog.

Сигналізація працює за таким принципом. Коли власник машини натискає кнопку брелока, генерується сигнал. Він несе в собі інформацію про кількість натискань (це значення необхідне для синхронізації роботи брелока та блоку управління), серійний номер пристрою та секретний код. Перед надсиланням ці дані попередньо зашифровуються. Сам алгоритм шифрування знаходиться у вільному доступі, але щоб розшифрувати дані, необхідно знати секретний код, який закладається в брелок та блок керування на заводі.

Існують також оригінальні алгоритми, розроблені виробниками сигналізацій. Таке кодування практично виключило можливість підбору коду-команди, але згодом зловмисники обійшли і цей захист.

Що потрібно знати про злам динамічного коду

У відповідь на впровадження динамічного кодування в автосигналізаціях було створено динамічний граббер. Принцип його дії полягає у створенні перешкоди та перехопленні сигналу. Коли автовласник виходить із автомобіля та натискає на кнопку брелока, створюється сильна радіоперешкода. Сигнал з кодом не доходить до блоку управління сигналізації, але він перехоплюється та копіюється граббером. Здивований водій натискає повторно кнопку, але процес повторюється, і другий код також перехоплюється. З другого разу автомобіль ставиться на захист, але команда надходить з пристрою злодія. Коли власник машини спокійно йде у своїх справах, викрадач посилає другий, раніше перехоплений код і знімає машину із захисту.

Який захист використовують для динамічного коду

Виробники автосигналізації вирішили проблему злому досить просто. Вони стали встановлювати на брелоках дві кнопки, одна з яких ставила машину на захист, а друга деактивувала захист. Відповідно для встановлення та зняття захисту надсилалися різні коди. Тому скільки б перешкод злодій не поставив при встановленні машини на захист, він ніколи не отримає код, необхідний деактивації сигналізації.

Якщо ви натиснули кнопку «установка на захист», а машина не зреагувала, то, можливо, ви стали метою викрадача. В цьому випадку не потрібно бездумно натискати на всі кнопки брелока, намагаючись якось виправити ситуацію. Достатньо ще раз натиснути на кнопку захисту. Якщо ви випадково натиснете на кнопку «зняти з захисту», то злодій отримає необхідний код, яким незабаром скористається і вкраде вашу машину.

Сигналізації з динамічним кодуванням вже застаріли, вони не забезпечують стовідсотковий захист автомобіля від угону. На їхню зміну прийшли пристрої з діалоговим кодуванням. Якщо ви власник недорогої машини, то вам не потрібно турбуватися, оскільки дуже низька ймовірність того, що на ваше майно покуситься оснащений найсучаснішим обладнанням злодій. Щоб убезпечити своє майно, використовуйте багаторівневий захист. Встановіть додатковий. Він забезпечить захист машини у разі злому автосигналізації.

Діалогове кодування в астосигналізаціях

Після появи динамічних грабберів автосигналізації, що працюють на динамічному коді, стали дуже вразливими до зловмисників. Також багато алгоритмів кодування були зламані. Щоб забезпечити захист автомобіля від злому такими пристроями, розробники сигналізації почали використовувати діалогове кодування сигналу.

Принцип дії діалогового кодування

Як відомо з назви, шифрування цього ведеться як діалогу між брелоком і блоком управління автосигналізацією, розташованому автомобілі. Коли ви натискаєте кнопку, з брелока подається запит виконання команди. Щоб блок управління переконався, що команда надійшла саме з брелока власника, він посилає на брелок сигнал із випадковим числом. Це число обробляється за певним алгоритмом і надсилається назад на блок управління. У цей час блок управління обробляє те саме число і порівнює свій результат із результатом, надісланим брелоком. При збігу значень блок управління виконує команду.

Алгоритм, яким виконуються розрахунки на брелоку і блоці управління, індивідуальний кожної автосигналізації і закладається у ній ще заводі. Давайте для розуміння розглянемо найпростіший алгоритм:

X∙T 3 - X∙S 2 + X∙U - H = Y

T, S, U та H – це числа, які закладаються у сигналізацію на заводі.

X - випадкове число, яке відправляється з блоку управління на брелок для перевірки.

Y – число, яке розраховується блоком управління та брелоком за заданим алгоритмом.

Давайте розглянемо ситуацію, коли власник сигналізації натиснув кнопку і з брелока на БУ передався запит на зняття машини з охорони. У відповідь блок управління згенерував випадкове число (наприклад візьмемо число 846) і відправив його на брелок. Після цього СУ та брелок виконують розрахунок числа 846 за алгоритмом (для прикладу розрахуємо за наведеним вище найпростішим алгоритмом).

Для розрахунків приймемо:

T=29, S=43, U=91, H=38.

У нас вийде:

846∙24389 - 846∙1849 + 846∙91- 38 = 19145788

Число (19145788) брелок відправить блок управління. Водночас блок управління виконає такий самий розрахунок. Числа збігатимуться, блок управління підтвердить команду брелока, і машина зніметься з охорони.

Навіть для розшифровки елементарного алгоритму, наведеного вище, знадобиться чотири рази (у нашому випадку в рівнянні чотири невідомі) перехопити пакети даних.

Перехопити та розшифрувати пакет даних діалогової автосигналізації практично неможливо. Для кодування сигналу використовуються звані хеш-функції – алгоритми, які перетворюють рядки довільної довжини. Результат такого шифрування може містити до 32 літер та цифр.

Нижче наведено результати шифрування чисел за найпопулярнішим алгоритмом шифрування MD5. Для прикладу було взято число 846 та його модифікації.

MD5 (846) =;

MD5 (841) =;

MD5 (146) =.

Як бачите, результати кодування чисел, що відрізняються лише однією цифрою, абсолютно не схожі один на одного.

Схожі алгоритми використовуються у сучасних діалогових автосигналізаціях. Доведено, що для зворотного декодування та отримання алгоритму сучасним комп'ютерам знадобиться більше століття. А без цього алгоритму неможливо буде генерувати перевірочні коди для підтвердження команди. Тому зараз і в найближчому майбутньому зламування діалогового коду неможливе.

Сигналізації, що працюють на діалоговому коді виявляються безпечнішими, вони не піддаються електронному злому, але це не означає, що ваш автомобіль буде в повній безпеці. Ви можете випадково втратити брелок або його у вас вкрадуть. Для підвищення рівня захисту необхідно використовувати додаткові засоби, такі як і .

На різних тематичних інформаційних ресурсах, присвячених електронній комерції та платіжним карткам, виробники та оглядачі розповідають про інновації, покликані робити наші покупки в інтернеті ще безпечніше. Останнім часом в інтернеті з'явилося безліч статей про останню новинку компанії Gemalto - пластикову картку з кодом перевірки автентичності, що автоматично змінюється - Dynamic Code Verification або скорочено DCV. Особливо підкреслюється високий рівень захисту власників карток від шахрайських онлайн-платежів.

Як команда, що має безпосереднє відношення до процесингу карткових платежів через інтернет і дбає про безпеку електронної комерції, ми не могли пройти повз пропоновану інновацію і не порівняти її з технологією 3-D Secure, яка фактично є стандартом інтернет-еквайрингу в сфері захисту від шахрайських платежів .

Традиційний СVV/CVC – тризначний код на банківській карті

Будь-якому власнику банківської платіжної картки, який хоч раз оплачував що-небудь через інтернет, добре відомо, що для здійснення платежу поряд з усіма реквізитами картки потрібно запровадити тризначний код, надрукований на її зворотному боці. У російськомовному сегменті інтернету ці три цифри зазвичай так і називають «тризначний код». В англомовному світі він відомий як CVV (Card Verification Value) або CVC (Card Verification Code).

Спочатку CVV/CVC був покликаний захистити електронну комерцію від платежів з використанням викрадених реквізитів банківських платіжних карток. Нещодавно, як мінімум років 20 тому, основним джерелом розкрадання карткових реквізитів для інтернет-шахраїв був світ «оффлайну». Номер картки, ім'я власника та термін її дії можна було або підглянути та запам'ятати, коли власник розплачувався у торговій точці, або скопіювати зі сліп-чеків. А оскільки CVV/CVC просто друкувався на звороті карти, побачити його і викрасти було значно складніше, ніж інші карткові реквізити.

Сліп-чек - це чек, на який переносилися карткові дані, ембосовані (або, простіше кажучи, видавлені) на карті шляхом її прокатки в сліп-машинці. Був такий спосіб прийому карткових платежів, коли електронні канали зв'язку не були так добре розвинені як зараз, і торгові підприємства були обладнані не електронними POS-терміналами, а такими механічними пристроями.

Однак з розвитком електронної торгівлі захисна функція CVV/CVC поступово втратила свою ефективність, тому що шахраї почали активно використовувати фішингові методи видобутку карткових даних, при яких, введені в оману, власники карток самостійно повідомляли їм не тільки видавлені на карті реквізити, але й той самий CVV/CVC.

Еволюція CVV/CVC - динамічний тризначний код

Динамічний код, DCV – це еволюційний розвиток застарілих CVV/CVC. На відміну від них, протягом усієї дії терміну карти DCV регулярно змінюється через рівні проміжки часу (за замовчуванням кожні 20 хвилин) за певним алгоритмом, відомим лише банку-емітенту. Для відображення DCV у платіжну картку вбудовано мініатюрний дисплей.

За задумом розробника технології, DCV унеможливлює використання викрадених карткових реквізитів. Навіть якщо шахраям вдалося отримати повний набір даних, щонайбільше через 20 хвилин код зміниться, і спроба інтернет-платежу з використанням застарілого тризначного коду буде відхилена банком-емітентом.

Динамічний верифікаційний код чи 3-D Secure? Питання безпеки, зручності, вартості.

Ідея DCV зрозуміла, логічна і, насправді, забезпечує більш високий захист інтернет-платежів порівняно з використанням статичних CVV/CVC.

Але чи не запізнилася технологія DCV із виходом на ринок? Чи зможе вона скласти конкуренцію вже усталеному і загальноприйнятому стандарту платіжної індустрії — верифікації власника картки під час здійснення інтернет-платежу з 3-D Secure? І, нарешті, наскільки карти з DCV можуть бути зручними для емітентів та кінцевих користувачів?

Ймовірно, DCV могла б стати революційно-проривною технологією забезпечення безпеки інтернет-платежів, якби в цій галузі вже не існувало 3-D Secure. Справа в тому, що при всій своїй інноваційності та технологічності DCV все ж таки поступається 3-D Secure в рівні забезпечення безпеки платежів.

Так, DCV змінюється кожні 20 хвилин. Але при використанні сучасних реалізацій 3-D Secure код підтвердження платежу генерується і повідомляється власнику картки безпосередньо в процесі обробки транзакції (платежу). І тому, якщо у випадку з DCV у зловмисника теоретично є, хай і дуже невеликий, але шанс використати викрадені карткові дані до чергової зміни DCV, то у разі 3-D Secure у шахрая такого шансу в принципі немає.

А якщо пластикова картка фізично вкрадена? DCV, у цьому випадку, ніяк не зможе захистити власника від витрачання його грошей шахраями в інтернет-магазинах. Звичайно, банківські інструкції вимагають від власника картки негайно повідомити банк про її втрату для негайного блокування. Але між розкраданням та виявленням зникнення може пройти не одну годину, а в деяких випадках і не один день. Цього часу більш ніж достатньо, щоб шахрай викачав із картки всі гроші через інтернет.

Якщо інтернет-платежі захищені 3-D Secure, злочинець не зможе скористатися вкраденою карткою. Але навіть якщо якимось чином і зможе (наприклад, інтернет-торговець відключив опцію перевірки по 3-D Secure для всіх своїх покупців), правила платіжних систем будуть на стороні власника картки та банку-емітента. Якщо транзакція по карті, захищеній 3-D Secure, пройшла без перевірки платника (тобто у власника картки в процесі покупки не було запитано код), то відповідальність за таку транзакцію лежить на продавці та банку-еквайєрі, і у разі шахрайства гроші буде повернуто покупцю.

Виникають побоювання щодо зручності повсякденного довготривалого використання картки з DCV. Далеко не всі люди дбайливо і обережно поводяться зі шматком пластику. Карта може неабияк потертися, як мінімум. Вона може зігнутися. Від неї може відколотись куточок. Проте при всіх пошкодженнях таку картку можна використовувати при оплаті через інтернет. Очевидно, що з картою, оснащеною DCV, доведеться поводитися акуратно, щоб не дай боже не пошкодити мініатюрний дисплей. Інакше DCV продовжить змінюватись, але власник карти нічого не побачить.

І також очевидно, що вартість виготовлення картки з DCV має бути вищою, ніж карти зі звичайними CVV/CVC.

Всі ці роздуми дають підстави вважати, що DCV поки що не може на рівних конкурувати з вже існуючою та перевіреною технологією 3-D Secure. А тому навряд чи ця технологія набуде широкого поширення в банках-емітентах тих платіжних систем, де 3-D Secure вже використовується.

А от у тих платіжних системах, де 3-D Secure з якихось причин досі не впроваджена (наприклад, БЕЛКАРТ чи російська «Світ»), DCV може стати непоганою альтернативою.

Час покаже. Інтернет-магазини, що приймають платежі по банківських картках через процесингову платформу bePaid, надійно захищені від шахрайства технологією 3-D Secure та іншими інноваційними інструментами безпеки.

З повагою,