安全问题是支付高管们首要考虑的,而加密货币则是安全问题的重灾区。但是在某种情况下,安全性被证实并不是成本效益的。
PYMNTS找到了Verifone产品安全部门的副总裁罗布o麦克米伦,让他来探讨一下支付领域加密货币更好的标准。麦克米伦表示,这是众所周知的,“加密秘钥对支付受理设备能否安全运行至关重要”,但是现在关键协议还未到位,还无法促使全行业都推行加密货币的新标准。
麦克米伦说,结果就是“这一举动就增加了支付基础设备和流程的成本和复杂性”。
再说一些有关技术本身的东西,麦克米伦说,加密秘钥是以主机安全模块进行管理的,安置在支付网关的位置。而在某些需要更新的时候,他们既可以被远程遥控进行下载,麦克米伦说还可以“直接插入在部署网站”。但是他也补充道,行业标准支持技术, 56位数据加密标准(DES)和三重DES, 已经过时了。
麦克米伦还说:“如今我们有了强大的计算资源,人们不再认为DES/3DES可以承受强力的黑客攻击。”
他继续说,加密货币正在渐渐开始使用一个更高集的加密标准(AES),它具有更强大的功能。
对于如今这个时代, 加载新秘钥是“非常麻烦,并且对付款机器及商人来说都很复杂”,这使加密标准显得尤为重要。麦克米伦表示:“例如,一个使用HSM加载ATM加密秘钥的银行,其支付终端得不依赖不同方法。”
麦克米伦说,为了补救这一过程,Verifone和GEOBRIDGE一直在推动跨越式的做法,比如说,每个终端设立选择性的秘钥,定期轮换秘钥,以及PCi P2PE兼容性点对点的加密秘钥。
这两家公司已经向美国国家标准会(ANSI)提交了更新建议,麦克米伦表示“将会同时标准化远程和直接的秘钥注入协议,以支持AES-128和AES-256为基础的秘钥,和以ECC为基础的认证协议。”这一举动将会在整个通用网络实行。
他总结说,这种趋势将使更多地设备纳入到远程管理的主系统中来。升级秘钥传输协议,也就是Verifone与合作伙伴和竞争伙伴共享的协议,是保护未来支付环境的重要一步。
JPM编译自
PYMNTS, Moving Encryption to a New Standard.