Użytkownik "pablos" <d...@p...onet.pl> napisał w wiadomości
news:a8fad5$9fn$1@news.tpi.pl...
> nie bądź naiwny, gdyby CIA czy ktokolwiek inny złamał tą metodę, to byłbyś
z
> pewnością jako pierwszy o tym poinformowany :-))))

Przykładowy klucz RSA 512 bitów został złamany (liczba modularna została
rozłożona na czynniki) w 2000 roku i to nie przez CIA, ale przez kilkunastu
specjalistów z uczelni. O ile dobrze pamiętam, zostało to opisane w artykule
na konferencji Eurocrypt'2000. Dlatego klucze są wydłużane i wydłużane i ...

Pozdrawiam
R.Wicik

do góry

> Na p.b.b. i w roznych "rankingach" jest dożo zwolenników hasel
> jednorazowych.
> Ja natomiast uważam, że hasla jednorazowe (drukowane lub generowane przez
> token)
> maja taką właśnie wadę, że pracownik banku (szczególnie informatyk) mogą
> sobie taką
> odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to umie.
I tu się z tobą nie zgodzę. Po pierwsze jeśli porównójesz token z listą haseł.
Lista haseł jest kopiowalna w sposób fizyczny, da sie wydukować duplikat,
skopiować plik itp. Token nie jest kopiowalny. Posiada swój unikatowy numer,
niemożna go powielić, rozmontować czy przeprogramować.
Zakładasz że bank sam szyfruje tokeny - ma to miejsce tylko w wypadku tokenów
typu challange - response. Tokeny generujące response w oparciu o czas są
programowane przez producenta a ich algorytmy są najcześciej nieznane bankowi.
Bank otrzymuje pudełko tokenów i płytkę z softem.

Najbezpieczniejszy moim zdaniem token pracujący w trybie Time based challange
response generuje kod w oparciu o wywołanie i ziarno czasu. Jeśli więc nawet
ktoś "podpatrzyłby" odpowiedz z tokena dla danego wywołania to i tak po uływie
określinego czasu straciła by ona swoją ważność.

> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji
> nim nie podpisze ;-))
A jak przechowujesz ten kluczyk?
- na karcie ? to musisz mieć w kieszeni czytnik inaczej rozwiąznie nie jest
przenośne.
- na dyskietce? ;-)........ kiedyś miałem ze pare programików do kopiowania
dyskietek 1 do 1 z nunerami seryjnymi włącznie.

A tak tokenik to i w kieszeń się zmieścii zgnieści go trudniej...
Reasumując uważam rozwiązanie takiego np Integerum za bezpieczniejsze i
wygodniejsze od takiego np BPH

A użytkownikom Inteligo życzę wiele szcześcia ....
Moze sie jeszcze przydać
Yorge


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <y...@y...pl>
> (...) Tokeny generujące response w oparciu o czas są
> programowane przez producenta a ich algorytmy są najcześciej nieznane
bankowi.
> Bank otrzymuje pudełko tokenów i płytkę z softem.

no i o to chodzi ze ten soft uzyty zamiast twojego tokena pozwoli zrobic
operacje "w twoim imieniu" - nie masz podstaw zeby sie jej wyprzec

> > Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> > transakcji nim nie podpisze ;-))
> A jak przechowujesz ten kluczyk?
> - na karcie ? to musisz mieć w kieszeni czytnik inaczej rozwiąznie nie
jest
> przenośne.
> - na dyskietce? ;-)........ kiedyś miałem ze pare programików do
kopiowania
> dyskietek 1 do 1 z nunerami seryjnymi włącznie.

na karcie - chetnie ale faktycznie malo czytnikow u nas
w takiej Finladii kazdy dowod osobisty ma podobno chipa kryptograficznego

> Reasumując uważam rozwiązanie takiego np Integerum za bezpieczniejsze i
> wygodniejsze od takiego np BPH

tu sie zgadzam, BPH i KB24 uzywaja pgp a to za malo
porzadnie, wg norm ISO ma to wdrozony Fortis, i tam oprocz twojego klucza
prywatnego do nawiazania sesji potrzebny jest twoj klucz publiczny z
certyfikatem banku wczytany do przegladarki

> A użytkownikom Inteligo życzę wiele szcześcia ....
> Moze sie jeszcze przydać
> Yorge

tu sie zgadzam
*** blad ***

do góry

> Spokojnie....
> 1) To moze byc podpucha zwykla od Inteligo - konkurencja sie polasi zrobi
> burze - a wtedy Inteligo a figa - zobaczcie na karteczki mozna kserowac i
> takie tam - u nas kasa jest bezpieczna

hm... to ciekawe że jeśli pojawia się pomysł podpuchy to autorem ma być
Inteligo a nie właśnie konkurencja, czyżby wróg nr 1 ppb :-)

Nikt chyba nie wspomniał, że po ewentualnym wykorzystaniu karty kodu,
użytkownik ma poważny argument (np. w sądzie) w postaci karty kodów z
wykorzystanym a nie zdrapanym kod'em.

Pozdrawiam,
OnLee

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

blad wrote:

> tu sie zgadzam, BPH i KB24 uzywaja pgp a to za malo
> porzadnie, wg norm ISO ma to wdrozony Fortis, i tam oprocz twojego klucza
> prywatnego do nawiazania sesji potrzebny jest twoj klucz publiczny z
> certyfikatem banku wczytany do przegladarki

Rozumiem ze koledzy lamia pgp jedna reka ? :-)
A tak w ogole to czy ktos z dyskutantow pomyslal przez chwile o ekonomii ? Co
sie oplaca zlamac i jak ? I za jaka cene ?
Przeciez liczba osob ktore moga przejsc przez zabezpieczenia nie jest taka
duza (prosze patrzec na zabezpieczenia lacznie i w kolejnosci jakiej one
istnieja).
Naciagnac mozna firme, ale zwyklego czlowieka ? Ostatecznie taki numer
mozliwy jest tylko raz. I co potem ? Do konca zycia za te pare tysiecy ?
amd

do góry

Użytkownik "amd"
> > tu sie zgadzam, BPH i KB24 uzywaja pgp a to za malo
> > porzadnie, wg norm ISO ma to wdrozony Fortis, i tam oprocz twojego
klucza

> Rozumiem ze koledzy lamia pgp jedna reka ? :-)
> A tak w ogole to czy ktos z dyskutantow pomyslal przez chwile o ekonomii
? Co
> sie oplaca zlamac i jak ? I za jaka cene ?

nie chodzi o lamanie ale o wzajemne zaufanie i standardy - bank wie ze to
ja a ja wiem ze to z bankiem sie polaczylem.
uzywanie samego klucza pgp to jakby polsrodek - w Fortisie bez problemu
przestawia sie na klucz funkcjonujacy w PKI
*** blad ***

do góry

blad wrote:

> Użytkownik "amd"
> > > tu sie zgadzam, BPH i KB24 uzywaja pgp a to za malo
> > > porzadnie, wg norm ISO ma to wdrozony Fortis, i tam oprocz twojego
> klucza
>
> > Rozumiem ze koledzy lamia pgp jedna reka ? :-)
> > A tak w ogole to czy ktos z dyskutantow pomyslal przez chwile o ekonomii
> ? Co
> > sie oplaca zlamac i jak ? I za jaka cene ?
>
> nie chodzi o lamanie ale o wzajemne zaufanie i standardy - bank wie ze to
> ja a ja wiem ze to z bankiem sie polaczylem.
> uzywanie samego klucza pgp to jakby polsrodek - w Fortisie bez problemu
> przestawia sie na klucz funkcjonujacy w PKI
> *** blad ***

Jezeli znasz instytucje w Polsce w ktorej nie panuje burdel to wymien. W
kazdej jest bajzel. Chaos tworzy liczba uzytkownikow. Bylo, jest i bedzie.
A jesli chodzi o certyfikaty ... :-) mozesz udowodnic ze proste logowanie sie
w systemie nie potwierdza jej tozsamosci ? (haslo zaszyfrowane zwykla funkcja
jednokierunkowa, serwer przechowujacy liste hasel zaszyfrowanych) ? Ty i tak
wiesz ze to bank dzieki CA (a wlasciwie dzieki temu co ci napisze Twoja
przegladarka). Oczywiscie ja zakladam ze kazda wazniejsza operacja wymaga
kolejnej, innej metody potwierdzenia tozsamosci.
amd

do góry

begin --> Wed, 3 Apr 2002 16:00:14 +0200, w
<a8f34b$4eo$1@news.tpi.pl>, "blad" <b...@W...pl>
napisał(-a):

> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji
> nim nie podpisze ;-))

Tak, a kto zawija te podpisy w sreberka? :)))

do góry

> powiem wam, ze ja w rozne cuda moge uwierzyc
> W grudniu wyslalem SMSa do Ideii (a co mam ich kurde kryc) po IDEA WAPARK
> SMS.
(...)
> Bo tak twierdza technicy!!! I to ja sie myle i 3 rozne infolinki zaczynaly
> mi wmawiac, ze ja sie pomylilem i tak dalej.
> Zadna nie chciala slyszec ze ja uzywalem normalnie tego od grudnia i
> dzialalo, bo w ich systemie nie ma sladu nawet tego... Czyli ja pieprze
> smuty.

To jak z wiecznie kasowanymi usługami SMS-STANDARD z nie wiadomo
jakiego powodu.

Też mi paniusia wmawiała, że nigdy nie miałem takiej usługi - a używam
POP prawie wyłącznie do pisania maili (tylko czasem innych sms-ów,
a gadam z abo z marną klawiaturą do pisania) - i w kwartał poszło parę
"dużych" zdrapek... ;-))

I propozycja, że niech podadzą skrzynkę, to wyślę im 50 forwardów
maili z tego telefonu też nie trafiała... :-)))

Pozdrawiam,
Ziutek jeden

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> > Przypomina mi sie "rok 1984"
> Niestety nie pamietam go, nawet przez mgle =) Mozesz przypomniec co bylo w
> '84?

Przy dzisiejszej "realnej rzeczywistości" to już naiwna bajka... ;-)))

Pozdrawiam,
Ziutek jeden

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry