Witam.

Chcialem poruszac pewien temat n/t bankowosci internetowej. Otoz - jak
wiadomo - istnieja dwie metody zapisu klucza publicznego: w banku i lokalnie
na dysku (dyskietce). Chcialbym sie dowiedziec, ktora meteoda gwarantuje
wieksze bezpieczenstwo podgladniecia badz zlamania hasla?

--

Pozdrowienia...

Andre_NH (Andrzej Turek)
a...@k...onet.pl 0 607-692-535
a...@i...pl Kraków
UIN: 62-32-701, GG#: 51747

do góry

Myślę, że chodzi o klucz prywatny a nie publiczny, który z definicji jest tym
bezpieczniejszy im bardziej jest jawny. (spróbuj sfałszować liczbę Pi - jak ją
wszyscy znają na pamięć - przynajmniej pierwsze 3 cyfry)
Co do klucza prywatnego to jeżeli jest przechowywany w depozycie (obojętne bank
czy inny) to ZAWSZE jest zaszyfrowany mocnym algorytmem i jedyny możliwy sposób
jego zdobycia to atak metodą konia trojańskiego na komputer gdzie jest on
rozkodowywany.
Jeżeli jest przechowywany na dyskietce w sposób niezaszyfrowany to
bezpieczeństwo zależy od proceduru przechowywania i używania tej dyskietki.
Jeżeli jest zakodowany jak do zewnętrznego depozytu to aby go zdobyć konieczne
jest podsłuchanie hasła do rozkodowania tak jak przy depozycie oraz skopiowanie
pliku z dyskietki lub z pamięci operacyjnej.
Osobiście uważam, że po zainstlowaniu konia trojańskiego obie te operacje są
równie skomplikowane i łatwe/trudne do przeprowadzenia.
Prawdziwe bezpieczeństwo klucza daje umieszczenie go na specjalnej karcie z
mikroprocesorem i koprocesorem kryptograficznym.

Pozdrawiam


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik <i...@p...onet.pl> napisał w wiadomości
news:0164.00000a62.3cecf0e4@newsgate.onet.pl...
> Myślę, że chodzi o klucz prywatny a nie publiczny, który z definicji jest
tym
> bezpieczniejszy im bardziej jest jawny. (spróbuj sfałszować liczbę Pi -
jak ją
> wszyscy znają na pamięć - przynajmniej pierwsze 3 cyfry)
> Co do klucza prywatnego to jeżeli jest przechowywany w depozycie (obojętne
bank
> czy inny) to ZAWSZE jest zaszyfrowany mocnym algorytmem i jedyny możliwy
sposób
> jego zdobycia to atak metodą konia trojańskiego na komputer gdzie jest on
> rozkodowywany.
> Jeżeli jest przechowywany na dyskietce w sposób niezaszyfrowany to
> bezpieczeństwo zależy od proceduru przechowywania i używania tej
dyskietki.
> Jeżeli jest zakodowany jak do zewnętrznego depozytu to aby go zdobyć
konieczne
> jest podsłuchanie hasła do rozkodowania tak jak przy depozycie oraz
skopiowanie
> pliku z dyskietki lub z pamięci operacyjnej.
> Osobiście uważam, że po zainstlowaniu konia trojańskiego obie te operacje
są
> równie skomplikowane i łatwe/trudne do przeprowadzenia.
> Prawdziwe bezpieczeństwo klucza daje umieszczenie go na specjalnej karcie
z
> mikroprocesorem i koprocesorem kryptograficznym.
>
Chyba za duzo sie filmow naogladales :)
Mikroprocesor i koprocesor kryptograficzny, ciekaw jestem co to takiego, a
co do konia trojanskiego jestem ciekaw jak wyobrazasz sobie podlozenie
czegos takiego na komp w banku ktory chroni te klucze.

--
Pozdrawiam
Marcin Doliwa

do góry

Użytkownik "Andre NH" <a...@k...onet.pl> napisał w wiadomości
news:acipl5$htv$1@news.tpi.pl...
> Witam.
>
> Chcialem poruszac pewien temat n/t bankowosci internetowej. Otoz - jak
> wiadomo - istnieja dwie metody zapisu klucza publicznego: w banku i
lokalnie
> na dysku (dyskietce). Chcialbym sie dowiedziec, ktora meteoda gwarantuje
> wieksze bezpieczenstwo podgladniecia badz zlamania hasla?

Jeżeli chodzi ci o np. konto w BPH albo Banku Śląskim, to lepiej zapisać
klucz prywatny na dysku albo jeszcze lepiej na dyskietce czy CD i wkładać do
komputera tylko jeżeli jest potrzebny. Wszystkie operacje na rachunku
podpisujesz kluczem prywtnym, dostęp do którego jest chroniony drugim
hasłem, innym od hasła logowania.
Jeżeli masz klucz prywatny na serwerze banku, to całą filozofię podpisywania
diabli biorą - masz po prostu dwa hasła do rachunku, jedno do logowania,
drugie do operacji. Jeżeli masz klucz prywatny lokalnie na CD, to bez niego
nikt nie zatwierdzi przelewu - a o to w końcu chodzi.

Bogdan

do góry

> Jeżeli masz klucz prywatny na serwerze banku, to całą filozofię
podpisywania
> diabli biorą - masz po prostu dwa hasła do rachunku, jedno do logowania,
> drugie do operacji. Jeżeli masz klucz prywatny lokalnie na CD, to bez
niego
> nikt nie zatwierdzi przelewu - a o to w końcu chodzi.

Czyli majac klucz prywatny na dyskietce i gdy dyskietka fizycznie nie
jest wlozona do napedu to sa bardzo znikome szanse na to, ze ktos sie wlamie
na moje konto. Mam racje?
A gdy dyskietka jest wlozona i gdy aktualnie korzystam z niej w SBI to
dostep do tej dyskietki dla innych jest zapewne duzo wiekszy niz gdyby ten
klucz byl umieszczony w banku.

--

Pozdrowienia...

Andre_NH (Andrzej Turek)
a...@k...onet.pl 0 607-692-535
a...@i...pl Kraków
UIN: 62-32-701, GG#: 51747

do góry

> Czyli majac klucz prywatny na dyskietce i gdy dyskietka fizycznie nie
> jest wlozona do napedu to sa bardzo znikome szanse na to, ze ktos sie
wlamie
> na moje konto. Mam racje?
> A gdy dyskietka jest wlozona i gdy aktualnie korzystam z niej w SBI to
> dostep do tej dyskietki dla innych jest zapewne duzo wiekszy niz gdyby ten
> klucz byl umieszczony w banku.

BTW: co to jest SBI?
A na temat: powstaje pytanie, jakie masz zaufanie do komputera którego
używasz?
Można oczywiście wyobrazić sobie trojana, który oprócz klawiszy skanuje też
dyskietkę.
Ja z bankami łączę się tylko z domu.

do góry

Bogdan wrote:

> BTW: co to jest SBI?

system bankowosci internetowej

> Można oczywiście wyobrazić sobie trojana, który oprócz klawiszy skanuje też
> dyskietkę.

dostep do dyskow to podstawowa funkcja typowych trojanow

--
Sława, pieniądze i kobiety - Medżik DiscoPolo Mejker
Odwiedź już dziś: http://www.mdpm.bzi.pl !!!
(zanim zrobi to Twoja konkurencja!)

do góry

> > BTW: co to jest SBI?
>
> system bankowosci internetowej
>
> > Można oczywiście wyobrazić sobie trojana, który oprócz klawiszy skanuje
też
> > dyskietkę.
>
> dostep do dyskow to podstawowa funkcja typowych trojanow
>

To wracamy dwa posty wyżej: jak bardzo ufasz komputerowi na którym
pracujesz?

do góry

"Doli" <m...@e...pw.edu.pl> wrote in message
news:acj00q$3nt$1@julia.coi.pw.edu.pl...
>

> Chyba za duzo sie filmow naogladales :)
> Mikroprocesor i koprocesor kryptograficzny, ciekaw jestem co to takiego,

Bez przesady. Karty kryptograficzne to normalka. Każdy nawet najgłupszy
Windowsa obsługuje tak czytniki jak karty i jej funkcje kryptograficzne.
Ponoc niedługo nawet Linux ..

> a co do konia trojanskiego jestem ciekaw jak wyobrazasz sobie podlozenie
> czegos takiego na komp w banku ktory chroni te klucze.

Kłopot nie w tym. Po prostu klucz jest zdeponowany w postaci zaszyfrowanej
na serwerze banku i jest bezpieczny, lecz w momencie podpisu musi być
ściągnęty do klienta, deszyfrowany, i po wykorzystaniu zniszczony. Jest
kilka słabych punktów tego rozwiązania, jest też przynajmniej jedna zaleta
(wieksza mobilność). Wszystkie słabe punky (z punktu widzenia technologii,
nie prawa) są w zasadzie spowodowane ewentualnym kiepskim zabezpieczeniem
stacji roboczej klienta. Jeśli zakładamy, że stacja robocza klienta może być
zdalnie sledzona (klawiatura), to dostep do kluczy dla złodzieja jest dosyć
łatwy. Wolę tego wątku dalej nie ciągac.
W przypadku drugiej metody (klucz na kompakcie lub dyskietce) nie wystarczy
sledzić klawiaturę, trzeba jeszcze zdalnie skopiować klucze. W razie
penetracji komputera przez złodzieja (pfujj) nie jest to (podejrzewam)
specjalnie trudne. Nie chroni też ta metoda Głównej Księgowej przed Jej
własnym Administratorem (jesli któras Go posiada), ani też Młodego Człowieka
przed właścicielem kawiarenki internetowej.
W przypadku kart kryptograficznych sytuacja jest trochę lepsza, też nie
doskonała. Też powinno się korzystać z bezpiecznego komputera. Słabe punkty
kart opisałem w Win Security Magazine w trzech kolejnych artykułach, nie
chce mi się powtarzać. W zasadzie wynikają onę z pewnego przyjętego
kompromisu pomiędzy wygodą a bezpieczeństwem. Można by bezpieczniej, będzie
za to mniej wygodnie. Na pewno nie można skopiować kluczy i gdy nie ma karty
w czytniku, nikt się za nas nie podpisze. Niemalo, ale czasami nie
wystarcza.

W mojej ocenie obie metody (serwer, dyskietka) są bezpieczne przy pewnych
założeniach
1. Pracujemy zawsze w bezpiecznym środowisku.
lub gdy
1. Klucz służy tylko do jednej aplikacji
2. Mamy dodatkowo powiadomienie SMSem o dokonanych przez siebie transakcjach
z mozliwością blokady operacji gdy wydają się one nam podejrzane

Vizvary Istvan

PS. Sprawa się robi skomplikowana gdy bank działa w oparciu o ustawy o
podpisie cyfrowym. W tym układzie bowiem może dojść do sytuacji, że gdy
złodziej wejdzie w posiadaniu naszych kluczy utworzy konto w innym banku, a
nawet zaciągnie kredyt w naszym imieniu. A zaden SMS nie przyjdzie. Dopiero
komornik (sprawa nie jest oczywiście taka prosta, jest nasz email w
certyfikacie itd..)

do góry

Vizvary II Istvan wrote:
> Słabe punkty kart opisałem w Win Security Magazine w trzech
> kolejnych artykułach, nie chce mi się powtarzać. W zasadzie wynikają
> onę z pewnego przyjętego kompromisu pomiędzy wygodą a
> bezpieczeństwem.

Może jednak troszkę przybliżysz temat? Z tego co się orientuję, jeśli
nie można wyciągnąć klucza z karty, to nie da się podpisać czegokolwiek
bez karty (bo to ona dokonuje procesu podpisywania) - chyba że mówisz o
sposobach na odgadnięcie klucza np. metodą mierzenia czasu wykonywanej
operacji podpisywania. Ale z tego co wiem, to takie pomiary muszą być
BARDZO dokładne... Proszę przybliż temat, choćby skrótowo.

> Można by bezpieczniej, będzie za to mniej wygodnie. Na pewno nie
> można skopiować kluczy i gdy nie ma karty w czytniku, nikt się za
> nas nie podpisze. Niemalo, ale czasami nie wystarcza.

To znaczy kiedy?

--
Greetings, -- mailto:m...@p...fm --
Marcin Cenkier "Let's assume that there's only one truth."

do góry