-
11. Data: 2004-01-30 02:08:53
Temat: Re: mBank balansuje na granicy ryzyka
Od: Jarek Andrzejewski <j...@d...com.pl>
On Tue, 27 Jan 2004 13:03:39 +0100, "Tukan" <t...@g...cjb.net>
wrote:
>Nie rozumiem porównania listy haseł do malucha i tokena do mercedesa.
>Pokaż mi wyższośc tokena nad listą haseł, bo jeśli chodzi o bezpieczeństwo
>to dla mnie nie ma żadnej różnicy.
a) tokena nie skopiujesz
b) karta kodów jest dostępna bez PINu
--
Jarek Andrzejewski
-
12. Data: 2004-01-30 17:49:29
Temat: Re: mBank balansuje na granicy ryzyka
Od: Krzysztof Halasa <k...@p...waw.pl>
Jarek Andrzejewski <j...@d...com.pl> writes:
> a) tokena nie skopiujesz
Nie mozna tego zalozyc. Fakt, trudniej go skopiowac, jesli karta kodow
nie jest odpowiednio zabezpieczona "zdrapka" (jesli jest, to jest szansa,
ze token moze byc nawet latwiejszy do skopiowania bez zwlacania na to
uwagi).
> b) karta kodów jest dostępna bez PINu
Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
ktore nie zostaly jeszcze wygenerowane.
Natomiast oczywiscie wszystkie te problemy rozwiazuje dopiero
kryptografia (niekoniecznie w sensie "kwalifikowanego podpisu
elektronicznego").
--
Krzysztof Halasa, B*FH
-
13. Data: 2004-01-31 18:22:30
Temat: Re: mBank balansuje na granicy ryzyka
Od: Jarek Andrzejewski <j...@d...com.pl>
On Fri, 30 Jan 2004 18:49:29 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:
>> a) tokena nie skopiujesz
>
>Nie mozna tego zalozyc. Fakt, trudniej go skopiowac, jesli karta kodow
>nie jest odpowiednio zabezpieczona "zdrapka" (jesli jest, to jest szansa,
>ze token moze byc nawet latwiejszy do skopiowania bez zwlacania na to
>uwagi).
jak chcesz skopiować token np. Vasco? Prześwietlić? :-)
>> b) karta kodów jest dostępna bez PINu
>
>Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
>wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
>sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
>ktore nie zostaly jeszcze wygenerowane.
a niby jak ma poznać nie pracując w banku odpowiedź tokena na
zapytanie, które wynika z treści przyszłego zlecenia i do tego zależy
od czasu?
A co do list: nie ma pewności, że listy są losowe, a jeśli nie są, to
kryptoanalityk już ma większe szanse.
>Natomiast oczywiscie wszystkie te problemy rozwiazuje dopiero
>kryptografia (niekoniecznie w sensie "kwalifikowanego podpisu
>elektronicznego").
Ależ tokeny używają kryptografię. Może nie jakąś super, bo np.
DES/3DES, ale jednak kryptografię...
--
Jarek Andrzejewski
-
14. Data: 2004-01-31 22:35:40
Temat: Re: mBank balansuje na granicy ryzyka
Od: Krzysztof Halasa <k...@p...waw.pl>
Jarek Andrzejewski <j...@d...com.pl> writes:
> jak chcesz skopiować token np. Vasco? Prześwietlić? :-)
Sa rozmaite metody. Mozna skopiowac duzo ciekawsze rzeczy. Naturalnie
nie twierdze ze moze to zrobic majsterkowicz uzywajac narzedzi
kupionych w OBI (choc glowy nie dam ze nie moze).
>>Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
^^^^^^^^^^^^^^^^^^^^^^^^^^
>>wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
>>sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
>>ktore nie zostaly jeszcze wygenerowane.
>
> a niby jak ma poznać nie pracując w banku odpowiedź tokena na
> zapytanie, które wynika z treści przyszłego zlecenia i do tego zależy
> od czasu?
Token to prosty kalkulator, wynik otrzymywany na wyjsciu jest funkcja
kilku parametrow wejsciowych - zwykle czasu oraz znanej obu stronom
- komputerowi banku i tokenowi - tajnej wartosci (seed, shared secret).
Czasem moze to byc challenge-response, gdzie dochodzi dodatkowy parametr
- zapytanie generowane przez bank.
Jesli ktos ma dostep do komputera autoryzujacego operacje z tokenami,
to po prostu moze skopiowac baze seedow (albo w ogole caly program,
ktory sie tym zajmuje). Pozostale rzeczy bedzie znal: zna aktualny
czas (dryft czasu tokena da sie latwo zbadac podsluchujac _jedna_
oryginalna odpowiedz tokena lub metoda brute-force), ew. podslucha
challenge jesli jest to uzywane.
> A co do list: nie ma pewności, że listy są losowe, a jeśli nie są, to
> kryptoanalityk już ma większe szanse.
Dokladnie tak samo jak seedy tokenow, wiec tu nie ma roznic. Ale
zaklada sie, ze jednak obie te rzeczy sa wystarczajaco losowe, inaczej
lamie to podstawowe zalozenia.
> Ależ tokeny używają kryptografię. Może nie jakąś super, bo np.
> DES/3DES, ale jednak kryptografię...
Jasne ze tak. Tyle ze to jest wciaz kryptografia z shared secred,
dokladnie tak samo jak w przypadku list kodow.
--
Krzysztof Halasa, B*FH