حمیدرضا نورصالحی، مشاور و طراح سیستم‌های پیشرفتهٔ علم و فن‌آوری نوشت: راه‌اندازی سامانه ۶۰ در بانک ملی بهانه‌ای شد تا یک مرور مجدد بر ساختار امنیت کارت‌های بانکی شهروندان الکترونیکی کشورمان داشته باشیم. همان‌طور که پیش‌تر در طی نقدهایی که پیرامون ارتقاء امنیت شبکه پرداخت کارتی پس از ایجاد ساختار توکنایزیشن به رشته تحلیل درآمده‌اند، به نظر می‌رسد حداقل تا زمانی که مدل کارت‌های اعتباری جهانی در کشور پیاده‌سازی نشده است سرمایه‌گذاری برای اعمال تغییرات گسترده در شبکه پرداخت داخلی که تماماً مدل Debit را شامل می‌شوند، کار اشتباهی است.

از سوی دیگر کارت‌های مگنت که به‌سادگی قابل کپی شدن بوده و رمز کارت‌های بانکی که برای پذیرندگان محترم فریاد می‌زنیم، یک تهدید امنیتی کاملاً جدی بوده و می‌بایستی از خیلی وقت پیش برای این منظور اقدامات لازم صورت می‌گرفت. اما امروز، هرچند با تأخیر بسیار زیاد خبر می‌رسد که بانک ملی در این رابطه پیش‌قدم شده و اقدام به دینامیک کردن رمز کارت بانکی از طریق سرویسی به نام ۶۰ نموده است به نحوی که مطابق تعریف، بدون اعمال کوچک‌ترین تغییراتی در ساختار شبکه شتاب، شاپرک یا شرکت‌های پرداخت الکترونیکی، صرفاً بانک صادرکننده با ایجاد یک هماهنگی الگوریتمی با مشتری نهایی، رمزهای متغیری ایجاد می‌کند که بعد از یکبار استفاده، مجدداً قابل‌مصرف نخواهند بود.

لذا پس از ذکر این مقدمه و توجه به این نکته که نقد پیش رو صرفاً بر اساس یک مدل‌سازی Black Box در یک محیط آزمایشگاهی و اعمال نویز به مدل مذکور صورت گرفته و شامل یک بررسی فنی یا مصاحبه با عوامل تولید نبوده است، نخستین نکته‌ای که به عنوان مانع جدی برای توسعه این حرکت خوب به نظر می‌رسد، مراحل سخت و طولانی نصب و احراز هویت آن است که قطعاً اجرای دقیق آن از حوصله خیلی‌ها – حتی نگارنده این مقاله – خارج است.

درواقع بحث تولید و تخصیص کلیدهای رمزنگاری در حین نصب سیستم تولیدکننده رمز یکبار مصرف (Token Provisioning) از آن‌چنان اهمیتی برخوردار است که ابداع‌کنندگان روش‌های ساده تخصیص کلید برای چنین سیستم‌هایی با ثبت اختراع در این زمینه سعی در حفظ برتری در بازار دارند. برای نمونه شرکت Symantec در طی اختراع به شماره ۸,۰۱۵,۵۹۹ یک روش ساده تخصیص و انتقال امن کلید برای سیستم‌های تولید رمز یکبار مصرف را در مالکیت فکری خود قرار داده است.

نکته قابل‌توجه دوم مربوط به چرایی استفاده از روش تولید رمز یکبار مصرف مبتنی بر زمان برای چنین مورد کاربری است. استفاده از چنین ساختاری توسط شرکت سامسونگ در پروتکل TMS که در طی آن توکن ها بر اساس زمان معتبر بوده‌اند، بارها توسط متخصصین امنیت سایبری موردحمله قرار گرفته است (رجوع شود به مستندات مربوطه در کانال باران ایده @baranidea در پیام‌رسان تلگرام) کارت مغناطیسی که با رمزهای مبتنی بر زمان مورد محافظت قرار بگیرند، درواقع رمزهای یکبار مصرف نبوده و در مدت ۶۰ ثانیه بارها قابل‌استفاده مجدد خواهند بود.

به‌طور مثال در طی یک سناریو حمله فرضی، یک فروشنده می‌تواند دو مرتبه اقدام به کشیدن کارت نموده و پس از اعلام رمز توسط مشتری، اقدام به ارسال مشخصات کارت و رمز مربوطه به یک ایستگاه کاری دیگر نموده و اقدام به برداشت غیرمجاز نماید. همچنین، هر نوع تغییر در ساعت دستگاه تلفن همراه مشتری می‌تواند باعث بروز ایرادات جدی در هماهنگی الگوریتمی بین سرورهای بانک صادرکننده و دستگاه مشتری گردد.

نکته قابل‌توجه سوم مربوط به یک تذکر همیشگی به همکاران محترم در شبکه بانکی است که معمولاً با حوصله و دقت کافی همه محتویات RFC های منتشر شده از طرف IETF را مدنظر قرار نداده و صرفاً با مطالعه بخش‌های فنی اقدام به توسعه می‌کنند. تولید رمز عبور یکبار مصرف خصوصاً اگر بر اساس یکی از متدهای عمومی معرفی شده در RFC 4226 یا RFC 6287 باشد، نمی‌تواند مجوز ارسال مقادیر تولید شده به سمت سرورهای بانک بر یک بستر غیر امن انتقال داده را دریافت کند.

فریاد زدن رمز عبور توسط مشتری برای پذیرنده مصداق بارز عبور دادن رمزهای یکبار مصرف تولید شده بر بستر ناامن بوده و ناقض پروتکل است. یک مجرم سایبری ماهر با در اختیار داشتن توالی رمزهای یکبار مصرف تولید شده شما می‌تواند کلیدهای تولید شده برای توکن را کشف کرده و راسا اقدام به تولید رمز نماید.

و در نهایت، اگر به‌منظور پوشش دادن به عبور مقادیر رمز تولید شده از طریق بستر ناامن انتقال داده، از الگوریتم‌های رمزنگاری نامتقارن استفاده گردد، درصورتی‌که کلید خصوصی به تنهایی درگیر تولید مقادیر رمز یکبار مصرف باشد، در محدوده مالکیت معنوی اختراع شرکت Vasco به شماره ۷,۹۳۰,۵۵۴ و درصورتی‌که هر دو کلید عمومی و خصوصی به‌صورت هم‌زمان درگیر تولید رمز باشند در محدوده یک ثبت اختراع داخلی به شماره ۸۲۳۰۵ قرار می‌گیرند و می‌بایستی نهایت دقت در طراحی و توسعه سیستم‌هایی که حرکت در مسیر صحیح ژتونایزیشن را در دستور کار قرار دارند، اعمال گردد.