Daj sprawe mediom, niech postawia ich na bacznosc =)

do góry

>> Slyszales o jednokierunkowych funkcjach skrotu? Jakies md5?
>
>Nie, prosze o szczegoly.

oj, minik. minik... nie pora na wykład ;-)

Ogólnie chodzi o zgadywanie dużych liczb pierwszych, te funkcje skrótu,
szyfry asymetryczne...

Bank po wygenerowaniu kodów jednorazowych powinien przechowywać tylko
zaszyfrowane (szyfr jednostronny, tzn. odszyfrowywanie jest np. 10^32
bardziej czasochłonne od szyfrowania) postacie tych liczb.

Podobnie jak to wyglada z hasłami w każdym głupim linuxie czy innym systemie,
gdzie z definicji hasła szyfruje sie funkcjami jednostronnymi, czyli
szyfrowanie jest "nieodwracalne".

Łamanie takich haseł polega na przeliczaniu funkcjami skrótu kolejnych
propozycji haseł i porównywaniu wyliczonej wartosci z ta zaszyfrowana.

Jesli hasło da sie łatwo przypomnieć, tzn. że nie jest ono tak szyfrowane -
np. szyfruja używajac funkcji symetrycznych, albo w ogóle nie szyfruja ;-)

--
<xml-sig>
<header> Adam
</xml-sig>

do góry

bromden wrote:
>
> > Moze da ktos ta sprawe mediom? =)
>
> moze krab,
> ma dowod - dwie karty identyczne karty kodow

ja na jego miejscu zaproponowalbym inteligo zwrocenie
tej wpadkowej karty i milczenie o sprawie w zamian za dobra premie dla
lojalnego
klienta :)))

do góry

> > > Moze da ktos ta sprawe mediom? =)
> >
> > moze krab,
> > ma dowod - dwie karty identyczne karty kodow
>
> ja na jego miejscu zaproponowalbym inteligo zwrocenie
> tej wpadkowej karty i milczenie o sprawie w zamian za dobra premie dla
> lojalnego
> klienta :)))

1. na to już za późno
2. skąd wiesz że nie próbował
3. banki to takie dożarte instytucje że prędzej wydadzą milion na proces z
Tobą niż dadzą Ci dobrowolnie 100 000 zł
4. no i takie coś to się szantaż nazywa

do góry

Użytkownik "Robert Wicik"
> > Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> > transakcji nim nie podpisze ;-))
>
> W systemach klucza publicznego (PKI) także może występować opcja
> odtworzenia kluczy użytkownika:)

tylko to jest oferowane chyba tylko w sytuacji gdy para kluczy generowana
jest przez CA i tam rowniez przechowywana. Jesli chcialbys odtwarzac klucz
prywatny tylko na podstawie publicznego to mozesze sie pobawic - klucz
publiczny mozesz dostac i zycze powodzenia.
Pamietam jak CIA probowala zlamasz klucz ktory mafia stosowala - wtedy jak
to czytalem pracowali nad tym juz kilka tygodni i nic ;-))
*** blad ***

do góry

>Daj sprawe mediom, niech postawia ich na bacznosc =)

tylko które media zrozumieja istote problemu?

Potrzebne sa wyedukowane media, a te znowu rozgłosu nie zrobia. No chyba, że
potem mniej wyedukowane media podchwyca newsa...

--
<xml-sig>
<header> Adam
</xml-sig>

do góry

"bromden" <b...@p...gazeta.pl> wrote in message
news:3CAB116A.CA51DD52@poczta.gazeta.pl...
> > Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> > transakcji nim nie podpisze ;-))
>
> dokladnie!
> nawet zus to zrozumial,
> proste i eleganckie,

HA! HA! HA!
ZUS tego nie rozumie, a ci ktorzy to wszystko zaprojektowali pozostawili w
systemie dziurę kompromitującą cały potwornie pogmatwany i trudny do
zrozumienia przez zwyklych ludzi system certyfikatów ZUS.

Dowód:
Jeden z moich klientow otrzymał wezwanie do wyjasnienia dlaczego nie
przeslał dokumentów rozliczeniowych do ZUS za 4 miesiace ub. roku. Problem w
tym, ze klient twierdził, ze je przeslał, ma nawet potwierdzenia, ktore
zreszta do ZUSu wysłał jako dowód. Poczatkowo wydawalo się, ze ZUS jakoś
zgubił (skasował) te dokumenty (przesłane elektronicznie!). W koncu jednak
okazalo się, ze nie - potwierdzenia dotyczyły dokumentów innej firmy.
Wyjasnienie bylo proste. Mój klient ma 2 firmy a pani wysylająca dokumenty
przez pomyłkę po prostu zaszyfrowała je dwukrotnie - dwoma różnymi
certyfikatami i wysłała do ZUS. Inaczej mówiąc dwukrotnie wyslała te same
dokumenty, raz prawidłowo, drugi raz szyfrujac je innym certyfikatem,
zamiast dokumentów prawidlowych.
Dowcip polega na tym, ze najpierw wysłała te zaszyfrowane teoretycznie
nieprawidlowo a dopiero potem te zaszyfrowane poprawnie. Pod pojeciem
szyfrowania rozumiem tu oczywiście nie tylko szyfrowanie ale i podpis
elektroniczny. I te pierwsze, podpisane przez obcą firmę zostały przyjete i
potwierdzone jako "przetworzone poprawnie". Te drugie juz do bazy nie
weszły, bo miały ten sam numer i w bazie juz były - ale tez wg potwierdzenia
zostały "przetworzone poprawnie".

Na pytanie do ZUSu jak to możliwe, iż potwierdzono jako poprawne dokumenty
podpisane przez inna firmę padła odpowiedź - taka sytuacja jest mozliwa
dlatego, że biura podatkowe mają prawo podpisywać dokumenty swoich klientów
swoim własnym certyfikatem. Rzeczywiscie, mam innego klienta, biuro
podatkowe, ktore tak robi w przypadku kilkudziesięciu swoich klientów. Ale
opisywanemu wczesniej klientowi ZUS nie wydał zgody na podpisywanie
dokumentów obu firm jednym certyfikatem - poniewaz biurem podatkowym nie są.
Nakazał wyrobienie osobnych certyfikatow dla każdej z firm. Niestety system
ZUSu tego, czy certyfikat nalezy do biura podatkowego NIE SPRAWDZA. Każdy
moze przesłac cudze dokumenty i podpisac je własnym certyfikatem, byle były
formalnie poprawne. Zresztą nawet sprawdzanie tego czy podpis należy do
biura podatkowego to jeszcze za mało - trzeba by miec listy tych płatników,
ktorych dokumenty dane biuro ma prawo wysyłać.

Teraz:

Zalożę sobie firme-krzak, wyrobie certyfikat a następnie wyślę jakieś
bzdurne dokumenty rozliczeniowe (formalnie poprawne) za Hutę Sendzimira albo
jakąś inną znienawidzoną przeze mnie firmę - podpisane moim certyfikatem.
Zrobię to na tyle szybko (na poczatku miesiąca), zeby moje dokumenty weszły
do bazy ZUSu jako pierwsze. A za rok Huta Sendzimira bedzie miała poważne
kłopoty, np. milionową niedopłatę. Huta moze sobie z tym poradzi ale juz mój
sąsiad nie. Zanim wszystko wyjasni kontrola z ZUSu go zniszczy.

PiK

do góry

> tylko to jest oferowane chyba tylko w sytuacji gdy para kluczy generowana
> jest przez CA i tam rowniez przechowywana. Jesli chcialbys odtwarzac klucz
> prywatny tylko na podstawie publicznego to mozesze sie pobawic - klucz
> publiczny mozesz dostac i zycze powodzenia.
> Pamietam jak CIA probowala zlamasz klucz ktory mafia stosowala - wtedy jak
> to czytalem pracowali nad tym juz kilka tygodni i nic ;-))
> *** blad ***

nie bądź naiwny, gdyby CIA czy ktokolwiek inny złamał tą metodę, to byłbyś z
pewnością jako pierwszy o tym poinformowany :-))))

sorki, ale nie masz żadnej szansy dowiedzenia się czy chłopcy z CIA mogą
czytać wszystkie wiadomości czy też nie, pamietaj że o Enigmie świat
dowiedział się jakieś 50 lat po wojnie

do góry

pablos wrote:

> 1. na to już za późno

niekoniecznie, nikt nie widzial tych kart

> 2. skąd wiesz że nie próbował

hmmm.. nie wiem, moze ten watek na p.b.b to pierwsze ostrzezenie dla
inteligo ;)

> 3. banki to takie dożarte instytucje że prędzej wydadzą milion na proces z
> Tobą niż dadzą Ci dobrowolnie 100 000 zł

chyba ze ryzyko podwazenia bezpieczenstwa banku internetowego wyda sie
wazniejsze
niz proces, sporo potencjalnych klientow nadal nie ufa dostepowi do
konta przez internet,
nawet krotka wzmianka w mediach moze spowodowac konkretne straty
finansowe dla banku

> 4. no i takie coś to się szantaż nazywa

premia dla lojalnego klienta ktory dziala w interesie banku? ;)))

do góry

> chyba ze ryzyko podwazenia bezpieczenstwa banku internetowego wyda sie
> wazniejsze
> niz proces, sporo potencjalnych klientow nadal nie ufa dostepowi do
> konta przez internet,
> nawet krotka wzmianka w mediach moze spowodowac konkretne straty
> finansowe dla banku

A kogo interesuje ich opinia? Tam sa nasze pieniadze...

do góry