Użytkownik Krzysztof Halasa <k...@p...waw.pl> w wiadomości do grup
dyskusyjnych napisał:m...@d...pm.waw.pl...
> Bez PINu bedzie mu trudno, choc teoretycznie da sie go stamtad wydobyc.
> No i przeciez karty beda zastrzegane tak jak teraz.
Ale autoryzacja off-line kilka minut po ukradnieciu karty i jej
zastrzeżeniu...
OFF_LINE czyli BEZ POŁĄCZENIA z centrum, dobrze myślę?
Czyli bez sprawdzenia , czy to nie jest własnie ukradziona karta...
A normalny złodziej raczej z kartą ukradzioną tydzień wcześniej już do
sklepu nie pojdzie, raczej OD RAZU.
Nawet jak sie OD RAZU zorientuje i przez komórkę zastzegę, to złodziej
pójdzie zrobicoperacje OFFLINE

do góry

"k...@i...pl" <k...@i...pl> writes:

> Ale autoryzacja off-line kilka minut po ukradnieciu karty i jej
> zastrzeżeniu...
> OFF_LINE czyli BEZ POŁĄCZENIA z centrum, dobrze myślę?

Czyli tak naprawde bez autoryzacji samej transakcji, innej niz we wnetrzu
karty.

> Czyli bez sprawdzenia , czy to nie jest własnie ukradziona karta...
> A normalny złodziej raczej z kartą ukradzioną tydzień wcześniej już do
> sklepu nie pojdzie, raczej OD RAZU.

Od razu to jedno i tego przypuszczalnie nie da sie uniknac, chocby dlatego,
ze czesto okradziony jeszcze o tym nie wie. Ale to jest jakis tam
niewielki odsetek.
Natomiast problemem bylyby kradzione karty, ktorych nie daloby sie
zastrzec.

Przypuszczalnie stop listy beda w przyszlosc uaktualniane
czesciej/szybciej, w koncu to wszystko jest czesto polaczone na stale.

> Nawet jak sie OD RAZU zorientuje i przez komórkę zastzegę, to złodziej
> pójdzie zrobicoperacje OFFLINE

Tak jak teraz.
--
Krzysztof Halasa, B*FH

do góry

On 14 Nov 2003 14:09:19 +0100, Krzysztof Halasa <k...@p...waw.pl> wrote:

>Bez PINu bedzie mu trudno, choc teoretycznie da sie go stamtad wydobyc.

wg jakiej teorii da się wydobyć PIN z karty chipowej?

--
Jarek Andrzejewski

do góry

Jarek Andrzejewski <j...@d...com.pl> writes:

> >Bez PINu bedzie mu trudno, choc teoretycznie da sie go stamtad wydobyc.
>
> wg jakiej teorii da się wydobyć PIN z karty chipowej?

Karta to taki maly komputer, da sie z niej wydobyc PIN "podobnie"
jak z duzego, tradycyjnego komputera. Tyle ze trzeba miec "nieco" mniejszy
srubokret (wtedy na pewno sie uda), albo kombinowac z zegarami
i zasilaniami (karty sa na takie ataki ostatnio dosc odporne, ale
nie moga byc calkowicie odporne - dzialaja jednak na terenie wroga).
--
Krzysztof Halasa, B*FH

do góry

Użytkownik Krzysztof Halasa napisał:

>>>Bez PINu bedzie mu trudno, choc teoretycznie da sie go stamtad wydobyc.
>>
>>wg jakiej teorii da się wydobyć PIN z karty chipowej?
>
> Karta to taki maly komputer, da sie z niej wydobyc PIN "podobnie"
> jak z duzego, tradycyjnego komputera. Tyle ze trzeba miec "nieco" mniejszy
> srubokret (wtedy na pewno sie uda), albo kombinowac z zegarami
> i zasilaniami (karty sa na takie ataki ostatnio dosc odporne, ale
> nie moga byc calkowicie odporne - dzialaja jednak na terenie wroga).

Jesli chodzi o karty-portmonetki, to byc moze sie da, bo autoryzacja
odbywa sie calkowicie wg danych z karty. Jesli chodzi o karty bardziej
zaawansowane (autoryzacja wymaga kontaktu z serwerem), to nie wierze by
byl na niej PIN w jakiejkolwiek postaci.

Zreszta nic prostszego jak przechowywanie w karcie zakodowanego PINu
(analogicznie do hasel w unixie). Chocbys sie wsciekl i zakodowane
chaslo wygrzebal, to nic Ci po nim jesli nie znasz klucza.

Bartol

do góry

Bartol Partol <bartolpartol@gazeta.> writes:

> Jesli chodzi o karty-portmonetki, to byc moze sie da, bo autoryzacja
> odbywa sie calkowicie wg danych z karty. Jesli chodzi o karty bardziej
> zaawansowane (autoryzacja wymaga kontaktu z serwerem), to nie wierze
> by byl na niej PIN w jakiejkolwiek postaci.

Stopien zaawansowania karty nie ma zupelnie nic wspolnego z tym, czy
traksakcja wymaga autoryzacji banku czy tez nie.

Praktycznie wszystkie karty procesorowe (wlasciwie mikrokomputerowe)
maja PIN zapisany w srodku.

> Zreszta nic prostszego jak przechowywanie w karcie zakodowanego PINu
> (analogicznie do hasel w unixie). Chocbys sie wsciekl i zakodowane
> chaslo wygrzebal, to nic Ci po nim jesli nie znasz klucza.

Niestety tego zdania nie podziela nikt, kto choc raz zetknal sie
z kryptografia. Szczerze mowiac nie chce mi sie juz nawet kolejny
raz tego tlumaczyc, jest to wielokrotnie w archiwum.

BTW: standardowe systemy hasel w systemie UNIX nie uzywaja zadnego
specjalnego klucza - raczej samo haslo jest kluczem.
Najprosciej powiedziec, ze na dysku (czy gdzie to tam jest)
przechowywany jest (wzglednie) bezpieczny skrot kryptograficzny
hasla (hash) - rzecz, ktora nie istnieje dla karcianych PINow.
--
Krzysztof Halasa, B*FH

do góry

Użytkownik Krzysztof Halasa napisał:

>>Jesli chodzi o karty-portmonetki, to byc moze sie da, bo autoryzacja
>>odbywa sie calkowicie wg danych z karty. Jesli chodzi o karty bardziej
>>zaawansowane (autoryzacja wymaga kontaktu z serwerem), to nie wierze
>>by byl na niej PIN w jakiejkolwiek postaci.
>
> Stopien zaawansowania karty nie ma zupelnie nic wspolnego z tym, czy
> traksakcja wymaga autoryzacji banku czy tez nie.

Eeeee, po co wypuszczac karte z zaawansowanym procesorem do placenia za
gazete bez autoryzacji?

> Praktycznie wszystkie karty procesorowe (wlasciwie mikrokomputerowe)
> maja PIN zapisany w srodku.

A po cholere?

>>Zreszta nic prostszego jak przechowywanie w karcie zakodowanego PINu
>>(analogicznie do hasel w unixie). Chocbys sie wsciekl i zakodowane
>>chaslo wygrzebal, to nic Ci po nim jesli nie znasz klucza.
>
> Niestety tego zdania nie podziela nikt, kto choc raz zetknal sie
> z kryptografia. Szczerze mowiac nie chce mi sie juz nawet kolejny
> raz tego tlumaczyc, jest to wielokrotnie w archiwum.
>
> BTW: standardowe systemy hasel w systemie UNIX nie uzywaja zadnego
> specjalnego klucza - raczej samo haslo jest kluczem.
> Najprosciej powiedziec, ze na dysku (czy gdzie to tam jest)
> przechowywany jest (wzglednie) bezpieczny skrot kryptograficzny
> hasla (hash) - rzecz, ktora nie istnieje dla karcianych PINow.

No dobrze. Nie chodzi o technike, a analogie.

Bartol

do góry

Bartol Partol <bartolpartol@gazeta.> writes:

> Eeeee, po co wypuszczac karte z zaawansowanym procesorem do placenia
> za gazete bez autoryzacji?

Wlasnie po to. Albo ja nie rozumiem pytania.

> > Praktycznie wszystkie karty procesorowe (wlasciwie mikrokomputerowe)
> > maja PIN zapisany w srodku.
>
> A po cholere?

Zeby mozna bylo odroznic wlasciwego usera od zlodzieja.

> > Najprosciej powiedziec, ze na dysku (czy gdzie to tam jest)
> > przechowywany jest (wzglednie) bezpieczny skrot kryptograficzny
> > hasla (hash) - rzecz, ktora nie istnieje dla karcianych PINow.
^^^^^^^^^^^^^^^^^^^^^^^^^
>
> No dobrze. Nie chodzi o technike, a analogie.

Dlatego wlasnie napisalem ze taka analogia nie ma miejsca, choc na
pierwszy rzut oka moze sie wydawac ze jest inaczej.
--
Krzysztof Halasa, B*FH

do góry

Użytkownik Krzysztof Halasa napisał:
>
>>Eeeee, po co wypuszczac karte z zaawansowanym procesorem do placenia
>>za gazete bez autoryzacji?
>
> Wlasnie po to. Albo ja nie rozumiem pytania.

Hmmmm, elektroniczna portmonetka, to nic innego jak garsc drobniakow,
wiec na dobra sprawe w ogole nie trzeba tego zabezpieczac (pod wzgledem
identyfikacji uzytkwnika, a nie przechowywanych danych dotyczacych jej
zawartosci finansowej).

>>>Praktycznie wszystkie karty procesorowe (wlasciwie mikrokomputerowe)
>>>maja PIN zapisany w srodku.
>>
>>A po cholere?
>
> Zeby mozna bylo odroznic wlasciwego usera od zlodzieja.

A CA to pies? Ale OK. Jesli chodzi o karty bedace gdzies pomiedzy
prymitywna portmonetka, a kartami autoryzowanymi zewnetrznie. I co niby
PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez to
kompletny bezsens. Powinien byc w formie zakodowanej, a PIN wprowadzany
przez uzytkownika jest kodowany i wtedy porownywany. To tak a propos
analogii, o ktorej bylo dalej.

>>>Najprosciej powiedziec, ze na dysku (czy gdzie to tam jest)
>>>przechowywany jest (wzglednie) bezpieczny skrot kryptograficzny
>>>hasla (hash) - rzecz, ktora nie istnieje dla karcianych PINow.
> ^^^^^^^^^^^^^^^^^^^^^^^^^
>>No dobrze. Nie chodzi o technike, a analogie.
>
> Dlatego wlasnie napisalem ze taka analogia nie ma miejsca, choc na
> pierwszy rzut oka moze sie wydawac ze jest inaczej.

Nic z tego nie rozumiem, ale niech bedzie.

Bartol

do góry

Bartol Partol <bartolpartol@gazeta.> writes:

> Hmmmm, elektroniczna portmonetka, to nic innego jak garsc drobniakow,
> wiec na dobra sprawe w ogole nie trzeba tego zabezpieczac (pod
> wzgledem identyfikacji uzytkwnika, a nie przechowywanych danych
> dotyczacych jej zawartosci finansowej).

Kto mowi o elektronicznej portmonetce? One sie nie sprawdzaja.
Mialem na mysli normalna karte z normalnym limitem itd.

>> Zeby mozna bylo odroznic wlasciwego usera od zlodzieja.
>
> A CA to pies?

Jak wyobrazasz sobie potwierdzanie tozsamosci usera przez CA???

> Ale OK. Jesli chodzi o karty bedace gdzies pomiedzy
> prymitywna portmonetka, a kartami autoryzowanymi zewnetrznie.

Nie wiem co to sa "karty autoryzowane zewnetrznie".

> I co
> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez to
> kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.

Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
komputera).
--
Krzysztof Halasa, B*FH

do góry