On 19 Mar, 13:11, Piotr Gałka <p...@C...pl> wrote:

> Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.
> P.G.

może coś takiego:
http://en.wikipedia.org/wiki/Timing_attack
?

do góry

Użytkownik "Krzysiek" <k...@o...pl> napisał w wiadomości
news:ec2cd0d3-4e03-40da-8eb9-db53ea077e8e@v8g2000yqb
.googlegroups.com...
On 19 Mar, 13:11, Piotr Gałka <p...@C...pl> wrote:

> > Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.

> może coś takiego:
http://en.wikipedia.org/wiki/Timing_attack

Fakt, tu znajomość kodu źródłowego może pomóc.
P.G.

do góry

Krzysiek wrote:
> On 19 Mar, 13:11, Piotr Gałka <p...@C...pl> wrote:
>
>> Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.
>> P.G.
>
> może coś takiego:
> http://en.wikipedia.org/wiki/Timing_attack
> ?

No nie... Przeczytajcie dokładnie pierwsze zdanie.

witrak()

do góry

Piotr Gałka wrote:
>
> Użytkownik "witrak()" <w...@h...com> napisał w wiadomości
> news:im238u$nci$1@srv.cyf-kr.edu.pl...
>
>>> Chyba tępy jestem, bo nie rozumiem, co takiego złodzieje mogli
>>> wykraść od producenta tych tokenów, co by w jakikolwiek sposób
>>> obniżało ich bezpieczeństwo.
>>
>> Np. związek pomiędzy numerem seryjnym tokena i czasem startu oraz
>> wartością początkową jego licznika. Na tej podstawie można samemu
>> wygenerować cały ciąg haseł generowanych przez token.
>
> Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.
> P.G.

Jasne - w sensie wzoru. Ale taki związek dla określonej partii
tokenów musi być znany bankowi. Jeżeli wykradziono bazę danych
zawierających takie dane producentowi, to już wystarczy...

witrak()

do góry

Użytkownik "witrak()" <w...@h...com> napisał w wiadomości
news:im2aab$qda$2@srv.cyf-kr.edu.pl...

>>> Np. związek pomiędzy numerem seryjnym tokena i czasem startu oraz
>>> wartością początkową jego licznika. Na tej podstawie można samemu
>>> wygenerować cały ciąg haseł generowanych przez token.
>>
>> Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.
>
> Jasne - w sensie wzoru. Ale taki związek dla określonej partii
> tokenów musi być znany bankowi. Jeżeli wykradziono bazę danych
> zawierających takie dane producentowi, to już wystarczy...
>
Jak nie ma związku w sensie wzoru to skąd u producenta baza danych z banku ?
P.G.

do góry

Użytkownik "witrak()" <w...@h...com> napisał w wiadomości
news:im2a5k$qda$1@srv.cyf-kr.edu.pl...
>>
>>> Jest chyba oczywiste, że taki związek nie ma prawa mieć miejsca.
>>> P.G.
>>
>> może coś takiego:
>> http://en.wikipedia.org/wiki/Timing_attack
>> ?
>
> No nie... Przeczytajcie dokładnie pierwsze zdanie.
>
Czytam i nie chwytam o co chodzi.
P.G.

do góry

Dnia Sat, 19 Mar 2011 10:51:24 +0100, Piotr Gałka napisał(a):

> Chyba tępy jestem, bo nie rozumiem, co takiego złodzieje mogli wykraść
> od producenta tych tokenów, co by w jakikolwiek sposób obniżało ich
> bezpieczeństwo.
> Przecież u nich jest tylko wiedza o algorytmach, a algorytmy w
> kryptologii są jawne.

Tutaj masz dokładnie wytłumaczone co mogli ukraść włamywacze, bo RSA na
razie nie podała jakiejś oficjalnej wiadomości na ten temat.

<http://niebezpiecznik.pl/post/wlamanie-na-serwery-r
sa-wykradziono-dane-
zwiazane-z-securid/>



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

"wiatrak" <w...@y...pl> writes:

> Które banki to mają? Na pewno Lukas, w Eurobanku tez jest taka
> opcja.. Które banki jeszcze?
> http://www.tvn24.pl/-1,1696347,0,1,hakerzy-dobieraja
-sie-do-bankowych-tokenow,wiadomosc.html

Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
- to jest baza danych (lub cos podobnego, np. algorytm generowania)
seedow w polaczeniu z numerami tokenow.

Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
przechowywane przez producenta). Zaden taki algorytm oczywiscie takze
nie powinien istniec. Jesli takie rzeczy istnieja, to pomijajac
calkowita utrate zaufania do firmy (jesli ktos im w ogole ufal,
w bezpieczenstwie nie powinno sie ufac producentowi tokenow) to jest to
IMHO kryminal.

Algorytmy generowania wynikow tokenow sa znane od dawna, jedyna
tajemnica sa (byly?) seedy, rozne dla poszczegolnych tokenow. I to jest
akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
kupila token) zna seedy. Nawet producent nie powinien ich znac.

Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
zdrad nie moglo byc.
--
Krzysztof Halasa

do góry

Dnia Sat, 19 Mar 2011 19:37:09 +0100, Krzysztof Halasa napisał(a):

> Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
> - to jest baza danych (lub cos podobnego, np. algorytm generowania)
> seedow w polaczeniu z numerami tokenow.
>
> Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
> generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
> przechowywane przez producenta). Zaden taki algorytm oczywiscie takze
> nie powinien istniec. Jesli takie rzeczy istnieja, to pomijajac
> calkowita utrate zaufania do firmy (jesli ktos im w ogole ufal, w
> bezpieczenstwie nie powinno sie ufac producentowi tokenow) to jest to
> IMHO kryminal.
>
> Algorytmy generowania wynikow tokenow sa znane od dawna, jedyna
> tajemnica sa (byly?) seedy, rozne dla poszczegolnych tokenow. I to jest
> akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
> kupila token) zna seedy. Nawet producent nie powinien ich znac.
>
> Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
> zdrad nie moglo byc.

No ciekawe jak się ta sprawa zakończy i czy RSA w pełni ujawni jak się
włamano i co zostało skradzione. Jeżeli rzeczywiście posiadali bazę seedów
to można powiedzieć, że czar prysł a co za tym idzie także reputacja
firmy, której to utrata może w efekcie wpędzić firmę w poważne tarapaty.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Przepraszam, ze sie wtrace, ale czy tokeny stosowane w BGZ tez sa
podatne na takie ataki? Czy mozliwe jest w ogole zlamanie takiego
zabezpieczenia?

--
zg

do góry