Dnia Mon, 05 Jan 2015 23:39:59 +0100, Waldek napisał(a):
> Wcinając się między wódkę a zakąskę,
> bo niewiele wiem o omawianych protokołach komunikacyjnych ....
> Czy dużym problemem technicznym na etapie produkcji byłoby zaaplikowanie
> na karcie jakiegoś wyłącznika membranowego czy sensora typu :
> - połóż/naciśnij tu (np.kciukiem) na karcie aby nadajnik karty
> odpowiedział ?

Wydaje sie ze niewielkim, ale zeby to mialo dobrze dzialac przez lata
... troche trzeba sie postarac. Klawiatury foliowe jakos sie robi.

Aluminiowy portfel ? :-)

J.

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3vbkkq2ge.fsf@intrepid.localdomain...
>
>> Nie chce mi się włączać oscyloskopu, ale taka sytuacja chyba występuje
>> gdy karta jest bardzo blisko anteny czytnika.
>
> Jasne, max kilka cm. Ale to jest jednocześnie praca na granicy zasięgu,
> albo w pobliżu przynajmniej :-)
>
Przez bardzo blisko miałem na myśłi kilka mm. Gdanica zasięgu to wg mnie
daleko.

>> Z czasów gdy projektowałem ten filtr FSK (125kHz) pamiętam, że przy
>> sygnale na antenie rzędu 100Vpp głębokość modulacji była rzędu 10mV
>> (na granicy zasięgu).
>
> Nie pamiętam już dokładnych wartości, ale przecież tego bym nie zobaczył
> w całości na oscyloskopie (z 8-bitowym przetwornikiem w szczególności).
> Mam wrażenie, że to było przynajmniej coś w rodzaju np. 3 V vs 10 mV,
> albo może 6 V vs 50 mV.
>
Próbowałem zmierzyć, ale zabrakło determinacji aby pokonać wszystkie
trudności.
Obserwowaliśmy to kiedyś na specjalnie przygotowanym czytniku - ciągłe pole
dla unique(125k), w mifare pomagaliśmy sobie chyba wyprowadzonym na pin
procesora sygnałem do synchronizacji.
Mam tylko czytniki włączające pole impulsowo kilka razy na sekundę, kiepski
oscyloskop (2k próbek). Jedyna działająca synchronizacja do momentu
włączenia pola.
Jak na ekranie tyle, aby obejmowało odpowiedź to aliasing zabija możliwość
odczytania czegokolwiek sensownego.
Dla 125kHz na szczytach sinusoidy pola szpile wynikające z pobudzania anteny
prostokątem ze scalaka. Zależnie w który moment szpili trafi próbkowanie to
pozornie inna wysokość danego okresu pola. No i jak zawsze brakuje co
najmniej jednej dodatkowej ręki.

>> Ten wątek dotyczy chyba tylko samego uzyskania podstawowych danych
>> karty a nie jakichś bardziej wyrafinowanych działań.
>> Dziwi mnie, że te dane nie są jakoś przyzwoicie chronione. Zebranie
>> danych kart wydaje mi się łatwiejsze zbliżeniowo niż fotograficznie.
>
> To prawda (zwłaszcza jeśli nie chcemy wzbudzać podejrzeń i chcemy
> działać na większą skalę).
> Ale przed pasywnym podsłuchem trudno się inaczej bronić - no bo jak?
> Karty (paypass) nie realizują aktywnej kryptografii z KP oraz nie mogą
> też skutecznie używać szyfrowania symetrycznego, bo nie ma bezpiecznej
> możliwości uzgodnienia klucza.
Głośno myślę, nie wiem czy ma sens. Indywidualne, stałe klucze dla każdej
karty. Wszystko online, terminal ma bezpieczną sesję z odpowiednim serwerem
i dostaje klucz do danej karty, albo terminal nie wie o czym karta za jego
pośrednictwem gada z serwerem.
Asymetryczna. Klucz publiczny mógłby być w każdej karcie. Za mało wiem o
praktycznych rozwiązaniach. Musiałbym się doszkolić aby myśleć dalej...
P.G.

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3r3v8q0ee.fsf@intrepid.localdomain...
> Waldek <m...@n...dam> writes:
>
>> Czy dużym problemem technicznym na etapie produkcji byłoby
>> zaaplikowanie na karcie jakiegoś wyłącznika membranowego czy sensora
>> typu :
>> - połóż/naciśnij tu (np.kciukiem) na karcie aby nadajnik karty
>> odpowiedział ?
>
> Ale po co? Transakcje stykowe są tak czy owak znacznie bezpieczniejsze.
> Transakcje bezstykowe nie mają prawie żadnych zalet w porównaniu do
> stykowych (oprócz narzuconych sztucznie, np. takich, że do np. 50 zł nie
> trzeba PINu, autoryzacji itd).

Stykowo poza tym, że komunikacji nie widać w eterze, można w tym samym
czasie więcej i lepiej zrobić. W karcie można dać znacznie silniejszy
procesor - nie ma problemów z zasilaniem. Komunikacja RFID to prędkości
rzędu 100kbps. Stykowo z uzyskaniem 10Mbps nie widzę żadnych problemów, a
jakby było potrzeba to wszystko co w USB3 też do osiągnięcia (skoro działa
na kilku m kabla to i na 0 zadziała).
P.G.

do góry

Piotr Gałka <p...@c...pl> writes:

> Przez bardzo blisko miałem na myśłi kilka mm. Gdanica zasięgu to wg
> mnie daleko.

Nie pamiętam już dokładnie, bo akurat wtedy celem nie było uzyskanie
większego zasięgu.

> Próbowałem zmierzyć, ale zabrakło determinacji aby pokonać wszystkie
> trudności.
> Obserwowaliśmy to kiedyś na specjalnie przygotowanym czytniku - ciągłe
> pole dla unique(125k), w mifare pomagaliśmy sobie chyba wyprowadzonym
> na pin procesora sygnałem do synchronizacji.
> Mam tylko czytniki włączające pole impulsowo kilka razy na sekundę,
> kiepski oscyloskop (2k próbek). Jedyna działająca synchronizacja do
> momentu włączenia pola.

No tak, ja mam 2Mpróbki, i też mi się jawi potrzeba upgradu (ale w nieco
innych zastosowaniach i bardziej z powodu m.in. f-max, nie liczby
próbek). Niestety to musi trochę poczekać :-(

> No i jak
> zawsze brakuje co najmniej jednej dodatkowej ręki.

Ktoś mógłby zrobić interfejs głosowy do tego (najlepiej dla Linuksa) :-)

> Głośno myślę, nie wiem czy ma sens. Indywidualne, stałe klucze dla
> każdej karty. Wszystko online, terminal ma bezpieczną sesję z
> odpowiednim serwerem i dostaje klucz do danej karty, albo terminal nie
> wie o czym karta za jego pośrednictwem gada z serwerem.

To raczej to drugie, bo gdyby terminal dostawał klucz na tacy, to to nie
byłoby żadną tajemnicą.

> Asymetryczna. Klucz publiczny mógłby być w każdej karcie. Za mało wiem
> o praktycznych rozwiązaniach. Musiałbym się doszkolić aby myśleć
> dalej...

To generalnie tak działa, z tym że służy do "podpisania" transakcji, nie
do szyfrowania. No i nie w Paypassie.

Teoretycznie sprawa jest prosta, coś w rodzaju SSL z obustronnym
sprawdzeniem certyfikatów i szyfrowaniem wszystkiego. Niestety to wymaga
większej mocy obliczeniowej (i elektrycznej pewnie), chociaż podejrzewam
że obecne karty NFC/RFID mogłyby to już robić.
--
Krzysztof Hałasa

do góry

Piotr Gałka <p...@c...pl> writes:

> Stykowo poza tym, że komunikacji nie widać w eterze, można w tym samym
> czasie więcej i lepiej zrobić.

Owszem, i tak zresztą jest - stykowo karty Paypass (nie wszystkie)
korzystają (aktywnie) z kryptografii asymetrycznej.
--
Krzysztof Hałasa

do góry

Witam

W dniu 2015-01-03 00:27, Wojciech Bancer pisze:

> Pani kasjerce w kasie też może odczytać te informacje.
> I gościowi z dobrym aparatem.

Pani kasjerka jezeli zacznie kopiowac dane kart to bedzie raczej latwa
do namierzenia. Wystarczy porownac "wyciagi" ze skopiowanych kart i
znalesc czesc wspolna. Oczywiscie mozna miec falszywe dokumenty itp. ale
to powieksza znaczaco koszty. No i jednak zostaje w ostatecznosci
rysopis wspolpracownikow. Przy aparacie to jednak juz takie proste nie
jest. Jezeli nie jestes w zmowie z nikim ze sklepu to trudno znalesc
takie miejsce zeby zrobic dobrej jakosci zdjecia z wyraznymi numerami.
No i obrobka takich zdjec trwa - musisz zobaczyc i praktycznie recznie
je spisac (bazujac na doswiadczeniu z OCRowymi programami).
W przypadku NFC jezeli tylko uda Ci sie odczytac dane to masz juz gotowe
dane do wykorzystania/sprzedania. Jezeli uda sie jednemu madremu
stworzyc urzadzenie/oprogramowanie ktore bez problemu zczyta
automatycznie dane kart z sensownej odleglosci to mozna wyslac ludzi
zeby to robili. Oni nie musza nic wiedziec o technice. Kaze sie im
przechodzic w tlumie i tyle. Nawet jak sie niewielki odsetek kart zczyta
to moze to juz byc oplacalne bo bedzie tanie... To, ze dzisiaj jeszcze
nie jest to proste nie znaczy, ze za chwile nie okaze sie dostepne.

> A jakoś nikt się tak majątku
> nie dorobił.

Czy sie majatku (i ile to dokladnie jest) nie dorobil to trudno mi
powiedziec. Ale po cos przestepcy wykradaja dane kart kredytowych z
roznych sklepow, serwisow itp? Zakladam, ze nie robia tego jako hobby,
tylko maja z tego jakis zysk.


Pozdrawiam,
Marcin

do góry

On 2015-01-07, Marcin <n...@n...com> wrote:

[...]

>> Pani kasjerce w kasie też może odczytać te informacje.
>> I gościowi z dobrym aparatem.
>
> Pani kasjerka jezeli zacznie kopiowac dane kart to bedzie raczej latwa
> do namierzenia. Wystarczy porownac "wyciagi" ze skopiowanych kart i
> znalesc czesc wspolna.

Jak się to robi ostrożnie, to w życiu nie wpadnie.
A i nie wiem czy nie ma pełnego numeru karty na slipe dla sprzedawcy (kiedyś był na
pewno),
a te slipy masz w kasach.

> W przypadku NFC jezeli tylko uda Ci sie odczytac dane to masz juz gotowe
> dane do wykorzystania/sprzedania.

Bez CVC2 to są nieprzydatne (kiedyś jeszcze były, ale już od dawna nie widziałem
możliwości
zapłacenia gdzieś online bez tego). Równie dobrze możesz z generatora skorzystać.

> Czy sie majatku (i ile to dokladnie jest) nie dorobil to trudno mi
> powiedziec. Ale po cos przestepcy wykradaja dane kart kredytowych z
> roznych sklepow, serwisow itp? Zakladam, ze nie robia tego jako hobby,
> tylko maja z tego jakis zysk.

Jak na razie najpewniejszy dla nich jest skimming w bankomatach.

--
Wojciech Bańcer
p...@p...pl

do góry

Wojciech Bancer <p...@p...pl> writes:

> Jak na razie najpewniejszy dla nich jest skimming w bankomatach.

Tyle że to także się kończy, i skończy się definitywnie gdy wszędzie
będzie EMV. Jeszcze chwila.

Stykowe EMV likwiduje takie zagrożenie, praktycznie całkowicie
+/- dokładne szczegóły konkretnych kart, które jednak wydawca może
poprawić bez zmiany infrastruktury).
Natomiast transakcje bezstykowe ponownie wprowadzają dziury
w bezpieczeństwie. I przecież to są świadome decyzje, nie jakiś tam
niezauważony szczegół.
--
Krzysztof Hałasa

do góry

W dniu 2015-01-05 o 16:59, Wojciech Bancer pisze:
>> a wy tutaj się skanowaniem martwicie...
>
> No i co Ty z takim numerem karty zrobisz?

nie zrozumiałeś
martwicie się grupowo skanowaniem w metrze, a sami te informacje
wysyłacie w internet
ja nic nie zrobię, ja tylko uwagę zwracam na pewien paradoks

Sierp

do góry

On 2015-01-19, Sierp <s...@n...netgrr> wrote:

[...]

>> No i co Ty z takim numerem karty zrobisz?
>
> nie zrozumiałeś
> martwicie się grupowo skanowaniem w metrze, a sami te informacje
> wysyłacie w internet
> ja nic nie zrobię, ja tylko uwagę zwracam na pewien paradoks

Po a) "internet" to szerokie pojęcie. Jeśli sugerujesz, że autor
aplikacji pobiera numery kart, to jesteś w błędzie. Dużo jest
dociekliwcyh, wykryliby to, zrobiłby się dym, a autor miałby
grubo.

I nadal z samym numerem karty to się niewiele zrobi (bez cvv2).

--
Wojciech Bańcer
p...@p...pl

do góry