3.6  选择协议攻击

一些公司大力推销“多功能智能卡”，这是一种可以在多种交易中使用的身份验证设备，使得用户不再需要随身携带几十张卡和密钥。9·11之后，政府力推ID卡，并努力用ID卡完成多种交易，比如使用单一ID卡用作身份识别、银行业务甚或交通票据。新加坡走得更远，尝试将银行卡兼具军事系统ID的作用。这又引入了很多有趣的新风险：假设某个海军军官在晚餐付账之后需要从ATM中退回其卡，但由于忘记PIN而无法做到，那么他是否只能等到周一早晨银行开门之后才能拿到自己的卡，而在这之前就无法驾船驶向大洋？

假定欧洲的银行要引入CAP协议，以便其客户通过电子银行站点的身份验证，但这里并不是强制银行客户胡乱处理计算器设备，而是向所有客户发布智能卡阅读器(客户可以将其连接在PC机上)，这种做法当然可以提供便利与可用性，你可能认为这也会提高安全性。EMV协议使得银行卡可以对交易数据(比如总额、商家编号、日期与交易序列号等)计算消息身份验证码(MAC)，从而阻止针对电子银行的消息操纵攻击。

实际上是这样么？“选择协议攻击”隐含的思想是，给定一个目标协议，攻击者设计一个新协议，如果诱使用户重用同样的令牌或加密密钥，就可以对其进行攻击。那么，黑手党怎样设计协议来攻击CAP？

这里有一种方法。通常，访问色情站点的人经常被要求提供“年龄证明”，通常要向该站点或者年龄检查服务提交一个信用卡号码。如果信用卡与借记卡在PC机上可以使用，那么色情站点自然会要求顾客对一个随机质询信息进行身份验证，以便进行年龄证明，由此，色情站点就可以发起“黑手党中间人”攻击，如图3-3所示。攻击者会一直等待，直到有轻信的顾客访问该站点，然后从经销商那里订一些可以转售的商品(例如金币)，冒充硬币经销商顾客的角色。当硬币经销商向他们发送用于身份验证的交易数据时，就将这些数据重放给等待的顾客，受骗的顾客对其进行确认，黑手党就获得了金币。当数以千计的人们在月底忽然抱怨卡上的巨大开销时，色情站点已经销声匿迹了，当然金币也一起消失了[702]。

这是乌得勒支骗局的一个更极端的方法变种，上个世纪90年代，曾出现过一个这种类型的漏洞，并可以对国际标准进行攻击：用于数字签名与身份验证的标准可以按这种方式背靠背地运行。已经证明的是，尽管很多协议本身是安全的，但如果协议的用户在其他应用中重用相同的密钥，就可能会导致协议被攻破[702]。这也是为什么说为了保证CAP本身是安全的，必须将其实现为一个单独的设备，客户将所有交易参数都直接在此设备上输入。即便如此，还需要一些途径使得钓鱼者难以诱骗客户用他们提供的数据来计算身份验证码。在CAP计算器中使用客户银行卡至少有助于证明某次银行交易正在进行。