Alior Bank nie zapomniał o polskim wynalazku. Za chwilę ruszy jego masowa produkcja

Alior Bank nie zapomniał o polskim wynalazku. Za chwilę ruszy jego masowa produkcja

Alior Bank nie zapomniał o polskim wynalazku. Za chwilę ruszy jego masowa produkcja

Po raz pierwszy usłyszałem o tym projekcie w listopadzie 2017 r. Przyznam szczerze, że nie do końca wierzyłem w to, że duży, międzynarodowy bank rzeczywiście chce zainwestować w urządzenie zaprojektowane po godzinach, przez dwóch specjalistów z polskiego oddziału. Wygląda na to, że miło się rozczaruję.

Piszę “urządzenie”, bo jego aktualna nazwa to Bezpieczne Urządzenie Kryptograficzne. Na razie nie ma żadnej chwytliwej nazwy, ale tą kwestią zajmiemy się na końcu. Na razie pozwólcie, że przypomnę o co chodzi.

Firmowe konta bankowe to łakomy kąsek dla przestępców.

Dobre pytanie. Jak wynika z raportu PwC, w 2015 roku infrastruktura IT w ponad połowie firm zarejestrowanych w Polsce była atakowana przynajmniej 6 razy. Ma to sens. Szczególnie jeśli jest się przestępcą. Prywatni użytkownicy kont bankowych zazwyczaj nie dysponują zbyt dużą kwotą na swoim rachunku, dlatego też firmy stanowią o wiele bardziej łakome kąski.

Pierwszą rzeczą, którą zazwyczaj robi firma po tym, jak z jej konta zniknęło dużo pieniędzy, to zgłoszenie się do banku i błaganie o pomoc. Dla banków jest to problem. Ich klient stracił dużo pieniędzy, co w perspektywie najbliższej przyszłości może oznaczać, że przestanie być on klientem banku. Banki nie lubią tracić klientów. Nie lubią też, kiedy ktoś niepowołany uzyskuje – nawet z winy klienta – dostęp do ich infrastruktury.

Bezpieczne Urządzenie Kryptograficzne – cyfrowy sejf XXI w.

alior bank bezpieczne urzadzenie kryptograficzne
Wszystko zaczęło się od tego prototypu.

Na rozwiązanie tego problemu wpadli Krzysztof Darmetko i Paweł Ogonowski. Obaj panowie są zatrudnieni w Alior Banku i interesują się wszelkimi zagadnieniami dotyczącymi bezpieczeństwa bankowości internetowej. Od słowa do słowa, przy kilku luźnych spotkaniach, jakoś tak się złożyło, że postanowili stworzyć nowy rodzaj zabezpieczenia sieciowych transakcji.

Tym zabezpieczeniem jest właśnie Bezpieczne Urządzenie Kryptograficzne. Jak działa? Po podłączeniu do komputera, urządzenie odrobinę zmienia sposób wykonywania przelewów z naszego konta. Przed wykonaniem przelewu, na ekranie urządzenia, wyświetli się informacja o koncie, na które chcemy wysłać pieniądze. Następnie urządzenie poprosi nas o jego weryfikację przez wpisanie kilku cyfr rachunku kontrahenta, a całą transakcję potwierdzimy wystukując na nim nasz PIN. Nic trudnego.

Bardziej skomplikowane rzeczy dzieją się już bez wiedzy użytkownika. BUK posiada wbudowany chip kryptograficzny, wykorzystujący technikę krzywych eliptycznych. Zaszyte w chipie klucze szyfrujące zostały tak skonstruowane, że klucz prywatny nigdy nie opuszcza samego urządzenia, a wszystkie dane, które wysyłane są dalej, szyfrowane są przy pomocy algorytmu AES256 ze zmiennym kluczem transportowym wyliczanym przez algorytm Diffiego-Hellmana.

Trzeba przyznać, że bankowcy mają obsesję na punkcie bezpieczeństwa. I chwała im za to. BUK przechodzi aktualnie proces certyfikacji międzynarodowej poprzez Common Criteria oraz FIPS140-2. Jeśli wszystko pójdzie zgodnie z planem, to pierwsza wersja zostanie udostępniona klientom Alior Banku do testów w pierwszej połowie maja. Od drugiej (jeśli dobrze pamiętam) wersji prototypu w listopadzie 2017 r. do pierwszych testów w maju 2018 r. – niezłe tempo jak na bankowców.

W międzyczasie urządzenie wzbogaciło się o obsługę technologii blockchain.

alior bank bezpieczne urzadzenie kryptograficzne

Alior Bank określa to jako integralność wszystkich cyfrowych podpisów zapisanych w urządzeniu. Chodzi o to, że każdy podpis na transakcji zawiera w sobie skrót poprzedniej operacji, dzięki czemu tworzy się nierozerwalny łańcuch, zapewniający integralność podpisów.

Przykład: Jeżeli urządzeniem zautoryzowano 10 transakcji i dział księgowości nagle zaczyna podejrzewać, że transakcja nr 5 nie była podpisana na danym egzemplarzu BUK-a, wystarczy że sprawdzi transakcje 4 i 6 (lub późniejsze). Jeżeli okażą się one autoryzowane w należyty sposób, to znaczy, że transakcja nr 5 również autoryzowano na tym konkretnym urządzeniu kryptograficznym. Dzięki połączeniu podpisów w łańcuch, użytkownik ma absolutną pewność – od pierwszej do ostatniej autoryzacji – że były wykonywane przez dokładnie to urządzenie.

W skrócie: zasada działania jest identyczna, jak w przypadku blockchaina, tylko Alior Bank postanowił pozostać skromny i nie korzystać z tej samej nazwy, co wszyscy. Szanuję.

Pierwsze testy zaczną się już w maju.

Tak jak pisałem już powyżej – BUK za chwilę będzie gotowy do wprowadzenia go na rynek. Alior Bank podchodzi do tematu dość ostrożnie (jak to bank) i zapowiada, że w pierwszej połowie maja rozpocznie pierwsze masowe testy urządzenia. Jeśli wszystko pójdzie zgodnie z planem, klienci którzy zechcą korzystać z Bezpiecznego Urządzenia Kryptograficznego będą musieli zapłacić jednorazowo ok. 50 zł za tę możliwość.

Alior Bank nie chce bowiem zarabiać na jego sprzedaży. Z ich punktu widzenia to się zupełnie nie opłaca. Bezpieczny klient to zadowolony klient. A zadowolony klient nie chce zmieniać banku. Logiczne.

Jedyne, co pozostało, to wymyślenie lepszej nazwy. Obawiam się, że Bezpieczne Urządzenie Kryptograficzne może się nie przyjąć.

Dołącz do dyskusji