Jinsi Tulivyojenga Kompyuta Kibao Salama ya Kifedha: Utafiti wa Kisa wa OEM wa Android kwa Benki na Fintech

Muhtasari

Mnyororo wa rejareja wa kikanda ulihitaji kompyuta kibao ya Android iliyoidhinishwa na PCI, inayotii EMVCo kwa ajili ya usindikaji wa malipo katika ngazi ya tawi. Kilichofuata ni hitilafu ya vifaa ya $280,000, urejeshaji wa wiki 11, na masomo ambayo brosha nyingi za OEM hazitayaandika. Utafiti huu wa kesi unashughulikia maamuzi ya usanifu, hitilafu, marekebisho, na hali halisi ya uhandisi wa usalama ambayo hutenganisha kompyuta kibao ya kifedha na kifaa ambacho kilipitisha ukaguzi wake wa uthibitishaji tu.

Benki Zinazofikiria Zinanunua Nini

Ukweli tunaomwambia kila mteja kabla ya kugusa mchoro: PCI PTS, EMVCo L1/L2, Android Enterprise, na kufuata MDM si dhamana ya usalama. Ni utaratibu wa uhamisho wa dhima.

Pia kusoma: Uchunguzi wa Kesi ya Tembe Iliyochakaa

Uthibitisho wa PTS ni picha, si ngao. PCI PTS v6 huthibitisha kifaa kwa wakati maalum. Sasisho lolote la programu dhibiti — ikiwa ni pamoja na kiraka cha usalama — husababisha uthibitishaji upya. Kampuni nyingi za OEM hufunga programu dhibitishi ili kuepuka gharama za uthibitishaji upya. Kompyuta kibao za benki mara kwa mara huwa nyuma kwa miezi 18-24 kwenye viraka vya usalama vya Android. Kifaa "kinatii PCI." Kiini hakijaondolewa. Mambo hayo mawili yanaambatana hadi uvunjifu unapolazimisha mazungumzo.

Android Enterprise yenye MDM kamili huua uwekaji wa programu nje ya mtandao. Rafu ya kawaida huhitaji muunganisho wa wingu usiobadilika. Katika mazingira yenye muunganisho mdogo, data yetu inaonyesha Kiwango cha juu cha 30–40% cha kushindwa kwa uwanja dhidi ya miundo ya AOSP iliyofungwa. Vifaa huzima uwashaji upya usiku wakati MDM haiwezi kupiga simu nyumbani.

Wanunuzi wanafikiri wananunua usalama. Kwa kweli wananunua kufungiwa ndani na maumivu ya uthibitishaji wa baadaye.

Mahitaji ya Mteja na Kwa Nini Kompyuta Kibao za Kawaida Hushindwa Katika Huduma za Kibenki

Kile Alichouliza Mteja

Muhtasari huo ulikuwa wa kawaida kwa kompyuta kibao ya Android yenye kiwango cha kifedha kwa ajili ya benki:

• Onyesho la IPS la FHD la inchi 10 kwa ajili ya wateja walio ndani ya tawi
• Kisomaji cha NFC kilichojumuishwa, kisomaji cha kadi mahiri, kamera ya mbele yenye ubora wa juu kwa ajili ya mtiririko wa kazi wa vifaa vya kompyuta kibao vya eKYC
• Muunganisho wa LTE/5G, usimbaji fiche wa kiwango cha maunzi, kuwasha salama
• Muunganisho wa kompyuta kibao ya PCI DSS + EMV, mzunguko wa maisha wa uzalishaji wa miaka 5+

Orodha ya Ufuatiliaji wa Utekelezaji (Na Mambo Isiyojumuisha)

• PCI DSS 4.0.1 — Sharti la 6.4.3 linamfanya mnunuzi awajibike kwa msimbo wa mtu mwingine hata kwenye kifaa "kinachofuata sheria".
• EMVCo L1/L2 — inathibitisha utendaji usiogusana katika hali ya maabara inayodhibitiwa, si EMI halisi kutoka kwa rafu za chuma au mota
• CE / FCC — haisemi chochote kuhusu uadilifu wa mnyororo wa usambazaji wa programu dhibiti au mfiduo wa kernel wa siku sifuri
• Biashara ya Android Iliyopendekezwa — inahitaji Huduma za Google Play; haiendani na usanifu wa nje ya mtandao
• Uthibitishaji wa mawasiliano ya simu wa kikanda — huongeza wiki 4–8 kwa PVT katika masoko mengi ya APAC na MENA

Ramani ya uidhinishaji hailingani na eneo. Pengo hilo ndilo ambapo miradi mingi ya maendeleo ya kompyuta kibao ya benki hushindwa.

Usanifu wa Mfumo na Uteuzi wa SoC

Kwa Nini Tulichagua Qualcomm Badala ya MediaTek

Uchaguzi wa SoC kwa kompyuta kibao ya kifedha ni uamuzi wa mzunguko wa maisha, si uamuzi wa kiwango. Tulitathmini mifumo yote miwili kulingana na vigezo vinne:

• Ubora wa TEE — Utiifu wa API ya GlobalPlatform, kina cha uthibitisho wa maabara ya usalama wa wahusika wengine
• Upatikanaji wa mzunguko wa maisha — vifaa vya kifedha vinahitaji dirisha la usambazaji la miaka 5-7; SKU za watumiaji wa MediaTek hazina dhamana hiyo
• Njia ya uboreshaji wa Android — SoC inayopoteza usaidizi wa kernel katikati ya upelekaji inathibitisha tena mnunuzi
• Kuongeza kasi ya crypto — usimbaji fiche unaoharakishwa na vifaa ni tofauti kati ya saa 9 za maisha ya betri na saa 6 za mzigo wa kifedha chini ya muda uliowekwa

Kwa usanidi wa nje ya mtandao kwanza, hesabu hii hubadilika — inayojadiliwa katika sehemu ya programu hapa chini.

Usanifu wa Vitalu vya Vifaa

Muunganisho wa mfumo mdogo kwa mradi salama wa Android tablet OEM unahusisha utegemezi wa michoro mingi ya vitalu inayofichwa:

• SoC → TEE inaishi hapa; inaendesha mifumo yote midogo
• Kipengele Salama Kilichopachikwa (eSE) → imetengwa kutoka kwa AP kuu; shughuli za usimbaji wa siri za EMV na hifadhi ya ufunguo wa malipo
• Kidhibiti cha NFC → huingiliana moja kwa moja na eSE; uwekaji wa antena hapa ndipo timu nyingi huingia matatani
• Moduli ya alama za vidole → biometriska eKYC; inahitaji njia salama kwa TEE
• Moduli ya LTE/5G → Antena ya RF lazima itenganishwe na antena ya NFC ili kuzuia kuingiliwa

Hatari ya ujumuishaji iko katika mwingiliano, sio vipengele.

Uhandisi wa Usalama: Vifaa, Programu dhibiti na Mfumo wa Uendeshaji

Matukio ya TEE, Usalama wa Boot na Mashambulizi Halisi

Matukio matatu ya vitisho yaliunda muundo wetu wa usalama kwa kompyuta kibao hii ya Android ya benki:

Ubadilishaji wa programu dhibiti — mshambuliaji mwenye ufikiaji halisi huangaza programu dhibiti iliyorekebishwa ikipuuza ukaguzi wa uadilifu wa malipo. Ulinzi: mnyororo wa kuwasha uliothibitishwa uliowekwa kwenye vifaa; hitilafu yoyote husimamisha kuwasha kabisa.

Mashambulizi ya relay ya NFC — katika rejareja yenye msongamano mkubwa yenye wasomaji wengi ndani ya sentimita 30, washambuliaji tulivu wanaweza kujaribu kukatiza kwa njia ya relay. Ulinzi: shughuli zote za malipo zinatekelezwa ndani ya eSE; ufunguo wa malipo haufikii kamwe kichakataji kikuu cha programu.

Wizi wa kifaa katikati ya kipindi — Ulinzi: duka la vitufe linaloungwa mkono na vifaa lenye uunganishaji wa kibiometriki; kifutaji cha mbali kinachooana na MDM chenye kufuli linalotekelezwa na TEE ambalo husalia baada ya kurejeshwa kwa mfumo wa uendeshaji.

Usimbaji Fiche wa Malipo wa Kipengele Salama na NFC

Kipengele salama kilichopachikwa hushughulikia kazi tatu ambazo haziwezi kukabidhiwa kwa programu: shughuli za kriptografia za EMV, hifadhi ya ufunguo wa malipo (funguo hazipo kamwe katika maandishi wazi nje ya eSE), na utenganishaji wa miamala ya NFC ambapo eSE huwasiliana moja kwa moja na kidhibiti cha NFC, ikipita AP kabisa. Hili ndilo linalofanya kompyuta kibao salama ya malipo kuwa tofauti kimantiki na kifaa cha mtumiaji chenye programu ya malipo.

Kufungwa kwa Kiwango cha Mfumo wa Uendeshaji

• Hali ya Kioski — kufuli la programu moja; hakuna ufikiaji wa mipangilio, droo ya programu, au kivinjari
• Ruhusa zilizowekewa vikwazo — NFC na kamera zinapatikana tu kwa programu ya malipo iliyothibitishwa
• Kompyuta kibao ya benki inayooana na MDM — funga kwa mbali, futa, na angalia njia ya kuripoti uzingatiaji wa sheria

Mwongozo wa kina wa wanaoanza hautataja kamwe: Utoaji wa funguo za TEE lazima utumie mnyororo mpya wa uthibitishaji wa kiwandani, wa kipekee wa kifaa — funguo za uendelezaji hazitumiwi tena kamwe. Funguo za Dev zilizochomwa kwenye vitengo vya EVT kwa ajili ya urahisi wa upimaji, ikiwa hazijabadilishwa waziwazi kwenye PVT, husababisha uthibitisho wa mbali kushindwa kimya kimya uwanjani. Kifaa hufaulu kila jaribio la maabara na hakiwezi kuthibitishwa kwa njia ya siri baada ya kutumwa.

Uhandisi wa PCB na PCBA kwa Utegemezi wa Kifedha

Kushindwa Kulikogharimu $280,000

Katika kipindi cha uzalishaji cha 2024–2025, tuliweka antena ya NFC moja kwa moja juu ya pakiti ya betri — mpangilio wa kawaida wa simu mahiri. Kidhibiti cha Qualcomm NFC na mchanganyiko wa eSE vilithibitishwa. Kizingo cha DVT kilikuwa cha plastiki. Tuliendesha mizunguko 10,000 ya kugonga. Tulifaulu uidhinishaji wa maabara wa EMVCo. Uidhinishaji wa DVT ulikuwa safi.

PVT ilisimulia hadithi tofauti.

Uzalishaji wa kwanza wa vitengo 800 ulifanywa katika maduka halisi — rafu za chuma, injini za majokofu, visoma NFC vingi karibu. Kiwango cha hitilafu ya uwanjani: 22%Karibu miamala moja kati ya minne huisha muda.

Chanzo kikuu: chasisi ya mwisho ya chuma, betri kuongezeka chini ya mizunguko halisi ya uendeshaji, na uvumilivu wa gundi wa 0.8mm ulibadilisha masafa ya mwangwi wa antena ya NFC kwa takriban 350 kHz — inatosha kupunguza mgawo wa uunganishaji chini ya kiwango cha chini cha ISO 14443 katika sehemu za usomaji wa pembezoni. Antena ilirekebishwa kwa ajili ya mfano wa plastiki. Uzalishaji uliiua.

Kurekebisha: Marekebisho mapya ya PCB yenye mtandao unaoweza kubadilishwa wa ulinganishaji wa impedansi, ngao maalum ya feri, na eneo la kuzuia chuma. Wiki 11. ~$280,000 katika NRE, chakavu, na kuharakisha uidhinishaji upya. Mkataba wa mwaka wa kwanza wa ujazo ulipotea.

"Maabara ni sawa na mfano wa plastiki. Uzalishaji ni sawa na chuma pamoja na uvumilivu. Ni wanyama tofauti."

Uwekaji wa Antena ya NFC: Sheria Ambayo Haionekani katika Miongozo

Itifaki yetu baada ya kushindwa huko, sasa haiwezi kujadiliwa: Uwekaji wa kifuniko cha nyuma, kiwango cha chini cha milimita 8–10 kutoka kwa pakiti ya betri, eneo maalum la kuzuia la chuma. Hata 1mm karibu zaidi, au tofauti ya gundi au rangi katika uzalishaji, huua kipengele cha Q vya kutosha kusababisha hitilafu za mara kwa mara zinazopita DVT na kushindwa katika maduka.

Suluhisho mbili za tofauti za uzalishaji: mtandao unaoweza kubadilishwa wa kulinganisha (unagharimu zaidi mapema) au nguvu ya uwanja iliyobuniwa kupita kiasi (hubadilishana kichwa cha utii wa EMI). Hakuna jibu safi - ni mabadilishano yanayosimamiwa pekee. Timu zinazonakili mipangilio ya antena za simu mahiri hugundua hili katika PVT, si hapo awali.

Ubunifu wa PCB wa Tabaka Nyingi kwa NFC ya Daraja la Kifedha

• Mrundiko wa tabaka 6–8 — kizuizi kinachodhibitiwa kwa athari za RF; >10% kupotoka huathiri kwa kiasi kikubwa umbali wa kuunganisha NFC
• Ulinzi wa EMI — Makopo ya RF juu ya kidhibiti cha NFC, vijiti vya kushona ardhini kando ya mzunguko wa kuzuia
• kutengwa kwa ndege ya nguvu ya eSE — kumwaga ardhini maalum huzuia uvujaji wa njia za pembeni kupitia kelele ya nguvu ya AP
• Mgawanyiko wa antena — Antena za NFC na LTE/5G kwenye kingo za kifaa kinyume ili kupunguza muunganisho wa pande zote mbili

Mazingira ya kifedha ni mazingira ya RF yenye uhasama. Muundo salama wa PCB ya kompyuta kibao umeboreshwa kwa ajili ya duka, si maabara.

Utayari wa Uwanjani: Uimara na Usimamizi wa Nguvu za Kifaa cha Kifedha

Imeundwa kwa Matumizi ya Kila Siku ya Kibiashara

Kompyuta kibao za kifedha si vifaa vya viwandani vyenye nguvu, lakini zinakabiliwa na adhabu ya kila siku. Mambo yasiyoweza kujadiliwa:

• Utiifu wa kushuka kwa mita 1 — vifaa vya kuachia wafanyakazi wa tawi
• Mizunguko 10,000+ ya kuingiza USB — mlango unaoshindwa kufanya kazi kwa mizunguko 3,000 kwenye kifaa cha mzunguko wa maisha wa miaka 5 ni tatizo la huduma ya shambani
• Simple, nyembamba, umaliziaji wa kitaalamu — vifaa vinavyomlenga mteja ambavyo vinahitaji kuonekana vya kuaminika katika miaka mingi ya utunzaji

Ukweli wa Betri Hakuna Anayeweka Kwenye Brosha

Laha maalum zinadai saa 12-15 kwenye seli ya mAh 8,000. Chini ya mzigo halisi wa kifedha — usimbaji fiche wa diski nzima, upigaji kura unaoendelea wa NFC, kumbukumbu ya miamala ya EMV, shughuli muhimu za TEE — takwimu halisi ni Masaa 7-9.5.

Kwa nini pengo: Vichakataji salama vya StrongBox na TEE haviwezi kuingia katika hali sawa za usingizi mzito kama AP kuu wakati wa shughuli za ufunguo unaofanya kazi. Hiyo hugharimu 15–25% ya ziada ya kukimbia ikilinganishwa na duka la funguo za programu. Katika uwekaji wa vioski saa 24/7, wanunuzi hugundua ndani ya miezi 12 wanahitaji pakiti za betri za nje au programu ya kubadilishana. Panga kwa saa 8 chini ya mzigo wa kifedha. Ukihitaji 12, panga kwa nguvu ya ziada.

Ubinafsishaji wa Programu na Ujumuishaji wa Biashara

Android Enterprise — Kwa Tahadhari Moja Muhimu

Android Enterprise ndiyo mfumo sahihi wa usanidi wa mijini unaoendelea mtandaoni: usanidi wa kioski, ujumuishaji wa EMM, masasisho salama ya OTA yenye mnyororo wa kuwasha uliothibitishwa. Tahadhari ni utegemezi wa muunganisho — kila kipengele kinadhania ufikiaji wa mtandao unaotegemeka.

Wakati wa Kuacha Android Enterprise Kabisa

Kwa uanzishaji wa nje ya mtandao wa kwanza wenye kukatika kwa umeme kwa simu za mkononi na usiku usioaminika, mrundiko wa kawaida ulikuwa na madhara makubwa. Vifaa viliharibiwa wakati wa kuwasha upya wakati uingiaji wa MDM ulishindwa. Uthibitishaji wa TEE huburudisha betri zilizokuwa zimetoka ambazo hazikuweza kukamilisha mzunguko wa kuchaji.

Usanifu uliosafirisha badala yake:

• Sanduku la Nguvu (Duka la funguo za vifaa vya SoC) linachukua nafasi ya eSE — hakuna utegemezi wa utoaji wa TSM
• HCE na tokeni ya upande wa mnunuzi chini ya mfumo wa CPoC
• Akiba ya tokeni za nje ya mtandao za ndani zenye cryptograms zilizopangwa kwa wakati; usawazishaji upya wa kila siku kwenye muunganisho unarudi
• AOSP iliyofungwa — hakuna Huduma za Google Play, sera maalum ya SELinux, kuwasha iliyothibitishwa pekee

Matokeo: Gharama ya BOM ya chini kwa 30–40%, Muda wa matumizi ya betri wa 2× nje ya mtandao, imepitisha uidhinishaji wa benki kuu ya ndani na PCI CPoC. Makubaliano: ugumu mkubwa wa programu na utegemezi mkubwa kwenye hifadhi ya tokeni ya mnunuzi.

Mrundiko wa kawaida unafaa kwa benki za mjini zinazotumia mtandao kila wakati. Kwa uanzishaji wa nje ya mtandao kwanza, ni mahali pa kuanzia pabaya.

Ramani ya Uthibitishaji: EVT → DVT → PVT kwa Vifaa vya Fintech

Pengo kubwa zaidi la matarajio katika ukuzaji wa kompyuta kibao za kifedha: wateja wanatarajia miezi 3-4 (ratiba za simu mahiri). Vifaa vya kiwango cha benki vyenye PCI PTS, EMVCo, na TEE maalum huchukua miezi 7-11.

EVT — wiki 4–6, vitengo 10–50: Uthibitishaji wa utendaji kazi, utoaji wa TEE, tabia ya awali ya antena katika chasisi halisi. Mambo ya kushangaza hapa yanaweza kudhibitiwa — uundaji wa vifaa bado haujafanywa.

DVT — wiki 8–12, vitengo 50–200: Upimaji kamili wa mazingira: kushuka, EMI, joto, mizunguko ya betri, seti ya miamala ya NFC zaidi ya 10,000. Usajili wa maabara ya mtu mwingine kwa EMVCo na PCI PTS. Mabadiliko yoyote ya vifaa huanzisha upya sehemu za foleni ya maabara.

PVT — wiki 6–10, uzalishaji wa majaribio: Pale ambapo tofauti halisi ya uzalishaji hutokea. Kusainiwa kwa DVT hakuhakikishii mafanikio ya PVT — hitilafu ya $280k hapo juu ilikuwa safi kwa DVT na PVT ilianguka. Uwasilishaji upya wa mwisho unaongeza wiki 4-6 kwa idhini ya mawasiliano ya kikanda.

Jumla: miezi 7–11. Weka hili katika pendekezo. Wateja wanaokubali wana vifaa vya kuendesha programu.

Uzalishaji wa Wingi na Uzalishaji Unaodhibitiwa na Usalama

Ufungaji wa SMT na Udhibiti wa Ubora

• BGA ya sauti laini — Ukaguzi wa X-ray 100% kwenye vipengele muhimu vya usalama; si sampuli
• ufuatiliaji wa eSE — kila kipengele salama kimepangwa na kufuatiliwa kwa kitengo chake; mnyororo wa ulinzi ni sharti la kufuata sheria
• Mkutano wa antena ya NFC — unene wa gundi ni kigezo kinachodhibitiwa; vijiti vya kusanyiko hutekeleza jiometri ya kuzuia

Utoaji wa Programu Firmware Inayodhibitiwa na Usalama

Sakafu ya kiwanda ni sehemu ya hatari. Itifaki yetu ya utoaji:

• Kitambulisho cha kipekee cha kifaa kilichomwa kiwandani — hakuna chanzo cha nyenzo muhimu kilichoshirikiwa
• Programu dhibiti ya uzalishaji iliyosainiwa kupitia HSM; ufunguo wa kusaini haugusi kamwe mtandao wa uzalishaji
• Cheti kipya cha uthibitishaji wa TEE kwa kila kifaa; mnyororo wa uundaji umefutwa waziwazi kabla ya kitengo kusafirishwa
• Kutengeneza telemetri iliyosimbwa kwa njia fiche wakati wa usafirishaji na wakati wa mapumziko

Kifaa kinachofaulu kila jaribio la vifaa na kusafirishwa kikiwa na ufunguo wa uthibitishaji wa uundaji unaotumika tena hushindwa uthibitishaji wa mbali siku ya kwanza uwanjani.

Changamoto Muhimu za Uhandisi na Jinsi Tulivyozitatua

Changamoto	Hatari	Suluhisho	Matokeo yake
Antena ya NFC inazimwa kwenye PVT	Kushindwa kwa sehemu 22%; gharama ya kuzunguka tena ya $280k	Ulinganisho unaoweza kurekebishwa, usawa wa 8–10mm, na maeneo madhubuti ya kuzuia.	Kiwango cha kushindwa kimepungua kutoka 22% hadi <3%.
MDM inayopatikana mtandaoni kila wakati katika masoko ya nje ya mtandao	Uundaji wa matofali kwenye kifaa; kiwango cha hitilafu cha juu zaidi kwa 30–40%	Imebadilishwa hadi AOSP + StrongBox + HCE + CPoC usanifu.	Muda wa matumizi ya betri wa 2×; Gharama za BOM zilizopunguzwa kwa 30–40%.
Kuchelewa kwa viraka vya miezi 18-24	Kiini kisicho na viraka; hali ya utiifu wa uongo	OTA na Saini iliyothibitishwa na TEE + SLA kali ya kiraka katika mikataba.	Nimefikia mkao imara na wa sasa wa usalama.
Kuanguka kwa mavuno ya PVT	18% chakavu/urekebishaji kwenye kiwanja cha kwanza	Upimaji wa antena ya chasi ya uzalishaji ulioanzishwa kabla ya PVT.	<3% ya kazi upya katika uzalishaji wote unaofuata.
Kuzuiwa kwa makubaliano ya CISO	Marubani walisimama kwa miezi 6-12	Jaribio la kulipwa + jedwali la uwajibikaji wa pamoja + upimaji wa kalamu wa mtu wa tatu.	Kuongeza kasi kwa kiasi kikubwa katika mizunguko inayofuata ya ununuzi.

Wadau Halisi: Nani Hasa Yuko Chumbani

CISO ndiye kizuizi kigumu zaidi. Pingamizi rasmi: "hatari ya ujumuishaji." Hofu halisi: dhima ya kibinafsi ikiwa ukiukaji utatokea kwenye vifaa walivyoidhinisha. Wanajibu kwa mdhibiti. Hati ya uthibitishaji haiondoi hofu hii - ripoti ya jaribio la kupenya la mtu wa tatu na jedwali la wazi la uwajibikaji wa pamoja hufanya hivyo.

Operesheni za Afisa Mkuu wa Uendeshaji wa TEHAMA / TEHAMA wasiwasi kuhusu kugawanyika kwa Android. Mkataba wa miaka 5 wa kiraka cha SLA unajibu swali halisi: nini kitatokea SoC inapopoteza usaidizi wa Android?

Ununuzi / Afisa Mkuu wa Fedha Inawasilisha kama pingamizi la bei. Wasiwasi halisi: TCO iliyofichwa — programu za kubadilisha betri, gharama za cheti cha upya, huduma ya uwanjani ya NFC. Slaidi ya ROI inapima upunguzaji wa gharama ya utunzaji wa pesa taslimu dhidi ya gharama kamili ya maisha ya kifaa.

kisheria inaonekana katika hatua ya mkataba ikiwa na vifungu vya fidia ambavyo mikataba mingi ya OEM haitoi. Muda wa bajeti.

Kinachofunga mpango uliokwama: jaribio la wiki 4-6 linalolipwa, vitengo 20-50, kumbukumbu kamili ya miamala, jedwali la uwajibikaji wa pamoja lililokubaliwa mapema. Kila mpango uliokwama ulioendelea ulifanya hivyo baada ya jaribio. Hubadilisha madai ya uuzaji kuwa ushahidi.

Kinachokuja Katika Miezi 24: Sharti la Hakuna Mtu Aliye Tayari Kwake

Kulingana na RFP za moja kwa moja mwanzoni mwa 2026 — sio utabiri wa wachambuzi — sharti moja linaonekana kwamba watengenezaji wengi wa kompyuta kibao za OEM hawana vifaa vya kukidhi.

Usimbaji fiche wa baada ya kiasi sasa ni bidhaa ya mstari wa ununuzi.

Wanunuzi wanahitaji waziwazi algoriti za NIST PQC — FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA) — katika vifaa na programu dhibiti kwa ajili ya kubadilishana vitufe, sahihi, na usimbaji fiche wa diski kamili. Hii inafuatia mwongozo wa CISA wa Januari 2026 unaoagiza bidhaa zinazoweza kutumika na PQC katika usalama wa sehemu ya mwisho ya shirikisho. Benki zinaangalia ununuzi wa shirikisho na kunakili lugha hiyo katika RFP zao wenyewe.

Kiendeshi kilichotajwa: mashambulizi ya "kuvuna-sasa-kuondoa-kusimbua-baadaye", ambapo data ya kifedha iliyonaswa leo inashikiliwa kwa ajili ya kuondoa usimbuaji mara tu kompyuta ya quantum inayohusiana na usimbaji fiche itakapokuwepo. Wadhibiti wanachukulia hili kama hatari ya uendeshaji ya muda mfupi, si tatizo la 2035.

Pamoja na PQC: ugunduzi wa hitilafu ya njia ya pembeni ya wakati wa utekelezaji ndani ya TEE — kufuatilia nguvu, EM, na sahihi za muda wakati wa shughuli za crypto ili kugundua aina za Rowhammer, hitilafu za saa, na vipandikizi vya programu dhibiti.

Maswali katika RFP za moja kwa moja ambazo hazikuwepo mwaka wa 2023: "Je, TEE inaweza kuthibitisha funguo za PQC? Je, ratiba yako ya uhamiaji baada ya kiasi ni ipi? Je, mfumo wa vifaa vya mfumo wa mizizi ya uaminifu unaunga mkono algoriti zinazostahimili CRQC ifikapo mwaka wa 2028?"

Majukwaa ya vifaa yaliyoundwa bila mfumo wa joto na nguvu wa PQC yanakabiliwa na muundo mpya kabisa kabla ya 2028. Watengenezaji wa vifaa vya umeme wanaochukulia hili kama tatizo la 2027 watakuwa kwenye ratiba za dharura ili kukidhi vyeti ambavyo wanunuzi wanaandika mikataba leo.

Hitimisho: Kile Kinachohitajika kwa Uundaji Salama wa Kompyuta Kibao za Kifedha

Pengo kati ya kompyuta kibao ya kifedha inayofaulu cheti na ile inayofanya vizuri katika uwanja huu si pengo la vifaa. Ni pengo la utamaduni wa uhandisi.

Mambo matano tofauti ya utekelezaji unaofanikiwa na yale ambayo hayafanikiwi:

Usanifu unaolingana na muktadha wa uenezaji — TEE + eSE + Android Enterprise kwa ajili ya benki za mijini zinazopatikana mtandaoni kila wakati; StrongBox + HCE + AOSP kwa ajili ya huduma za nje ya mtandao kwanza. Orodha ya ukaguzi ya mkaguzi si muhtasari wa usanifu.

Antena ya NFC kama kikwazo cha muundo wa agizo la kwanza — sheria ya kukabiliana na 8–10mm na eneo la kuzuia chuma huamuliwa kabla ya mpangilio wa PCB kufanywa, si baada ya mavuno ya PVT kuporomoka.

Nyakati za uthibitishaji wa kweli kutoka siku ya kwanza — Miezi 7–11 kwa kifaa cha kiwango cha benki. Nambari hiyo katika pendekezo huchuja wateja wasio sahihi na hujenga uaminifu kwa wale wanaofaa.

Utengenezaji unaodhibitiwa na usalama — funguo mpya za uthibitishaji kwa kila kifaa, programu dhibiti iliyosainiwa na HSM, mnyororo wa ulinzi wa eSE. Sakafu ya kiwanda ni sehemu ya mfumo wa vitisho.

Ramani ya barabara baada ya kiasi tayari imeandikwa — PQC iko katika mwongozo wa moja kwa moja wa RFPs na CISA. Kibao chochote cha ODM cha teknolojia ya fedha ambacho hakiwezi kuelezea njia ya uhamiaji ifikapo 2026 kitaainishwa upya kabla ya mzunguko wake wa uzalishaji kuisha.

Soko halina wachuuzi wenye cheti cha PCI na karatasi maalum. Lina washirika wa uhandisi ambao wameendesha programu, wameelewa hitilafu, na kujenga masomo hayo katika kila mradi unaofuata.

Maswali Yanayoulizwa Mara Kwa Mara

Je, utengenezaji wa kompyuta kibao za Android za kiwango cha benki huchukua muda gani? 

Mzunguko halisi wa EVT → DVT → PVT ni miezi 7–11 kwa vifaa vinavyohitaji PCI PTS, EMVCo, na uidhinishaji maalum wa TEE. Wateja wanatarajia miezi 3–4 kulingana na ratiba za simu mahiri. Pengo linatokana na majaribio ya lazima ya maabara ya mtu wa tatu baada ya marekebisho yoyote ya vifaa.

Maisha halisi ya betri ni yapi chini ya mzigo wa kazi za kifedha?

 Kwenye seli ya mAh 8,000: saa 7–9.5 chini ya mzigo wa kifedha unaoendelea. Karatasi maalum zinaonyesha saa 12–15 chini ya matumizi mchanganyiko ya watumiaji. Vichakataji vya StrongBox na TEE haviwezi kulala usingizi mzito wakati wa shughuli muhimu zinazoendelea - ambazo hugharimu 15–25% ya ziada ya maji taka. Panga kwa ajili ya umeme wa ziada katika uanzishaji wa kioski.

Je, cheti cha PCI PTS kinatosha?

 Hapana. Inathibitisha kifaa wakati fulani. Mabadiliko ya programu dhibiti yanayofuata yanaweza kuhitaji uthibitishaji upya. Haitathmini kasi ya kiraka cha OS, usalama wa ugavi wa programu dhibiti, au afya ya uthibitishaji wa TEE unaoendelea. Ichukulie kama kichujio cha msingi, si dhamana inayoendelea.

Tunapaswa kutumia HCE + StrongBox lini badala ya kipengele salama kilichopachikwa? 

Kwa uwasilishaji wa nje ya mtandao wa kwanza ambapo muunganisho wa TSM kwa ajili ya utoaji wa eSE hauwezi kuhakikishwa. HCE yenye tokeni ya upande wa acquirer (modeli ya CPoC) hutoa BOM ya chini ya 30–40% na muda wa matumizi ya betri wa 2× nje ya mtandao, kwa gharama ya ugumu zaidi wa programu na jukumu la vault ya upande wa acquirer.

Kwa nini usimbaji fiche wa baada ya kiasi unaonekana katika RFPs sasa? 

NIST ilikamilisha FIPS 203/204/205 na CISA ilitoa maagizo ya PQC mnamo Januari 2026. Benki zinayajumuisha haya katika ununuzi, zikitaja mashambulizi ya "kuvuna-sasa-kuondoa-usimbaji-baadaye". Vifaa bila usaidizi wa PQC katika TEE vinakabiliwa na shinikizo la muundo mpya kabla ya 2028.

Ni nini hasa kinachohitimisha makubaliano na timu ya usalama ya benki?

 Hofu halisi ya CISO ni dhima ya kibinafsi. Ripoti ya majaribio ya kalamu ya mtu wa tatu, jedwali la wazi la uwajibikaji wa pamoja, na jaribio la wiki 4-6 linalolipwa lenye vitengo 20-50 hubadilisha madai ya OEM kuwa ushahidi ambao timu ya usalama inaweza kuchukua hatua. Vyeti pekee havifungi mikataba hii.