Traditionell haben Zahlterminals diverse Sicherheitsmechanismen integriert. So eine sichere Betriebsumgebung die verwendet wird, um Schlüssel zu schützen, kryptografische Operationen durchzuführen und als Vertrauensbasis zu fungieren. Dies ermöglicht Hostsystemen darauf zu vertrauen, dass das Gerät echt ist. POS-Terminals sind auch so konzipiert, dass sie physisch sicher sind. Sie verfügen über alle möglichen hochentwickelten Manipulationsschutz- und Manipulationserkennungsfunktionen, um sie unbrauchbar zu machen und die Schlüssel zu löschen, falls irgendeine Art von Manipulation stattfindet.

Mit dem Wechsel zu SoftPos, wo ein Standard-Android-Handy zum POS-Terminal wird, sieht die Sache ganz anders aus. Android-Telefone sind offene Allzweckcomputer, auf denen ein ziemlich unsicheres Betriebssystem ausgeführt wird, das darauf ausgelegt ist, alle Arten von nicht verwandten Anwendungen gleichzeitig auszuführen. Android hatte den Ruf sehr unsicher zu sein, was sich jedoch seit den Anfängen stark verbessert hat. Solange Sie eine aktuelle Version verwenden und eine Reihe zusätzlicher Prüfungen durchführen, um sicherzustellen, dass es sich um ein legitimes Gerät handelt und nicht gerootet wurde, gibt PCI (pcisecuritystandards.org) seinen Segen für den Einsatz von SoftPos-Anwendungen auf dem Gerät. PCI ist die Organisation, welche das Regelwerk für die sichere Verarbeitung von Zahlkarten definiert.

Wie ist es möglich, eine sichere SoftPos-Lösung zu entwickeln?

Ich muss ehrlich zu Ihnen sein, es ist nicht einfach. Es gibt viele Herausforderungen und Hürden, die es zu überwinden gilt, und es gibt mehrere Ansätze, die verfolgt werden können. Es gibt zwei umfassende Schutzmechanismen, die in SoftPos-Lösungen bereitgestellt werden müssen: ein Verfahren zum Schutz der kryptografischen Schlüssel und eine Lösung zur Abschirmung der Applikation, um zu verhindern, dass die Apps Reverse Engineered oder manipuliert werden. In diesem Artikel bespreche ich nur die Anforderungen an den Schlüsselschutz. Denn was auch immer Sie tun, wenn Sie SoftPos-Lösungen bereitstellen, Sie müssen Maßnahmen zur Applikationsabschirmung implementieren, um vor Reverse Engineering, gerooteten Geräten und Manipulationen zu schützen. Was die Schlüssel angeht, gibt es einige Möglichkeiten, um sicherzustellen, dass diese geschützt bleiben. Lassen Sie uns also diese Optionen besprechen.

Hardwaregestützter Schlüsselschutz, der Goldstandard?

Hardwaregestützter Schutz war schon immer der Goldstandard, der vom Betriebssystem verwendet wird um Schlüssel für Anwendungen wie DRM zu speichern sowie den biometrischen Sensor oder Zahlungs-Apps wie Samsung Pay zu schützen. Die Betriebssysteme verlassen sich im Allgemeinen auf eine von zwei Methoden, um diese Sicherheit zu erreichen: einen dedizierten kryptografischen Prozessor, oder ein "Trusted Execution Environment" (TEE). Ein TEE ist ein auf den Mikroprozessoren im Herzen von Mobiltelefonen verfügbarer Betriebsmodus, der es ermöglicht, dass ein sicheres Betriebssystem neben dem normalen Android-Betriebssystem läuft. Unabhängig davon welche Methode das Gerät verwendet, ist der Hardwareschutz sehr sicher. Es ist jedoch nicht so einfach Zugriff auf den kryptografischen Prozessor oder den TEE zu erhalten für eine Fremdanwendung. Auf den meisten Geräten steht Entwicklern kein standardmäßiger offener hardwarebasierter Zugriffsmechanismus zur Verfügung. Wenn Sie also SoftPos-Implementierungen für den

Massenmarkt entwickeln möchten, ist hardwaregestützter Schutz wahrscheinlich nicht die Option für Sie.

Softwaresicherheit, der White-Box-Ansatz.

Die nächste Methode besteht darin, softwarebasierte Schutzmechanismen zu verwenden. Diese verwenden in der Regel spezielle Sicherheitssoftware namens White-Box-Kryptographie. Es gibt auch andere Methoden, die zuvor genannte ist jedoch die bei weitem am Häufigsten verwendete. Die White-Box-Kryptografie verwendet spezielle Verfahren, um einen kryptografischen Algorithmus so in Software zu implementieren, dass die kryptografischen Schlüssel und Daten auch im Einsatz des Algorithmus immer sicher bleiben. Bei der White-Box-Kryptografie wird davon ausgegangen, dass ein Angreifer vollen Zugriff auf die Anwendung hat und daher sichergestellt werden muss, dass die Schlüssel niemals nach aussen gelangen.

Die Realität ist jedoch, dass die White-Box-Kryptografie ein softwarebasierter Mechanismus ist und ein sehr entschlossener und erfahrener Angreifer, der genügend Zeit hat wahrscheinlich irgendwann Zugang zu den Schlüsseln erhält. Um dieses Risiko zu mindern, schreibt PCI vor, dass die in SoftPos-Anwendungen verwendeten Schlüssel und White-Boxen mindestens monatlich ausgetauscht werden müssen. Dies ist jedoch keine unbedeutende Aufgabe, da alle Apps einschließlich neuer Schlüssel und neuer White-Boxen monatlich neu erstellt und an die Handys der Kunden verteilt werden müssen. Um ehrlich zu sein, ist dies eine große administrative Herausforderung für SoftPos-Implementierungen und sehr schwer zu verwalten.

Kein gerätebasierter Schlüsselschutz, ja Sie haben richtig gelesen!

Es gibt einen anderen Ansatz der sich in der Branche durchsetzt, und dieser ist nicht auf einen Schlüsselschutz auf dem Gerät angewiesen. PCI definiert, dass die Schlüssel im Speicher des Geräts nicht gefährdet sind, solange die Anwendungen auf aktuellen Android-Versionen eingesetzt werden und ausreichende Schritte unternommen werden sicherzustellen, dass das Gerät dasjenige ist, für das es sich ausgibt und es nicht gerootet ist. Der PCI Standard besagt in diesem Fall, dass die Schlüssel niemals auf dem Gerät gespeichert werden dürfen, was einige Herausforderungen mit sich bringt. Wenn es Ihnen jedoch gelingt, dieses Problem zu überwinden und eine Lösung zu entwickeln, bei der keine lokale Schlüsselspeicherung erforderlich ist, haben Sie Ihr Risiko erheblich reduziert und müssen gleichzeitig keine monatlichen White-Box-Updates mehr durchführen.

Wie ist das möglich?

Nun, das ist ein Thema für ein anderes Mal. Auch dieser Ansatz ist nicht einfach. Manche würden sagen, dass es schwieriger zu implementieren ist als die derzeitigen Systeme und seine eigenen besonderen Herausforderungen mit sich bringt, aber es gibt auch viele Vorteile. Ich erwarte, dass in den kommenden Jahren viele verschiedene Ansätze auf dem Markt zu sehen sein werden, und es ist großartig die Grenzen des Möglichen zu erweitern. Ich freue mich über Ihre Kommentare. Und wenn Sie mehr über SoftPos-Lösungen erfahren möchten, nehmen Sie Kontakt mit mir auf.