3.5  环境变化

协议失败的一个常见原因是环境变化，环境变化会导致原来成立的假设不再成立，从而安全协议就无法应对新的威胁。

伦敦交通部门使用的票务系统是一个很好的实例。20世纪80年代早期，乘客想出了各种诡计来减少乘车的花费。比如，长途往返于郊区和城区之间的乘客可能会买两张更便宜的短程季票——?一张是从郊区车站到附近的车站，另一张是从目的地到其他城区车站。这使得他能够通过关卡，如果在途中遇到查票(极少出现的情况)，就谎称是郊区车站的售票机坏了。

在投入大笔资金对其改造以后，票务系统具备了防止这些诡计的完整功能：所有关卡都自动化，车票可以保留状态，并修改法律规定对无票乘客施行现场罚款。

但突然之间，大环境也改变了，国家交通系统私有化使得交通部门分化为几十家私营的铁路和公路公司。有些新运营公司开始互相欺骗，而系统对此无能为力。比如，每卖掉一张当日通票，收入由各个汽车、火车和地铁运营商分配，分配依据是售票地点。突然之间，铁路公司需要通过预售火车票才能保持营业收入占最大份额。除了外部的一些不良分子(某些乘客)之外，现在又加上了内部的投机者(铁路公司)。于是，混乱和法律问题随之而来。

运输系统的问题并不是一个新问题，实际上在20世纪70年代中期，人们在意大利的法沙谷滑雪场已经注意到了这个问题。在那里，游人买一张月票，就可以登上山谷中运送滑雪者上山的所有缆车。有人看到索道的服务员拿着一摞卡，每过一个游客就用一张卡过一下读卡机。由于各索道操作员的收入是依靠运送客人的数量来分配的，所以每个操作员都尽可能地增加自己的数字[1217]。

还有一个关于提款机诈骗领域的很好实例。在1993和1994年，荷兰遭受了“梦幻提款”风潮，当时报刊上有很多争论，一方面银行声称其系统是安全的，而另一方面很多人向报纸写信声称受害。最后，银行在谴责声中积极调查了那些事件，并注意到很多受害者都在乌得勒支附近的某个汽车加油站使用过银行卡，警察对该加油站进行了监视，随后一名员工被捕——?警方证实，该员工在读卡器及对其控制的PC机之间进行接线，记录了客户卡磁条上的详细内容，而他则偷窥获取客户的PIN[33]。

为什么系统会设计得这么糟糕？20世纪80年代早期，当IBM和VISA这些机构制定磁条卡和PIN的管理标准时，工程师们做了两个假设。第一个假设是，磁条的内容不保密——?包括卡号、版本号和有效期限，而PIN是保密的[880](这里的类比是，磁条是持卡人的名字，而PIN是密码。本书后面还会讲很多关于命名的困难之处)。第二个假设是，银行卡设备只会在可信环境中使用，比如安全稳定的自动取款机，或者出纳员在银行出纳台上操作。基于这些假设，显然只对PIN进行加密即可，而磁条上的数据则可以从磁卡机上明文传送。

到1993年，这两个假设都不再成立了。有一段时间盛行制造假卡，主要集中在20世纪80年代后期的远东地区，这促使银行在磁条上加入身份验证码。另一方面，银行卡产业取得了商业上的成功，使得各国银行把借贷卡从ATM机扩展应用到各种商店终端上。这两种环境便更紧密地联合在一起，破坏了最初系统设计所依赖的基础：人们不再是把不包含安全数据的磁条卡插入可信机器上，而是把带有安全数据的卡插入不可信机器上。这些变更是逐渐发生的，在这么长的时间里，业界没有看出即将要出现的问题。