Bogusz <b...@p...onet.pl> writes:

> Odpowiednie rozwiązania techniczne mogłyby uniemożliwić dostęp do
> innych danych niż te konieczne do danej tranzakcji.
> Ale to są juz szczegóły implementacyjne. :-)

Ale bardzo wazne.
Mamy karte elektroniczna (= chipowa) z zapisanymi na niej rozmaitymi
danymi. Wiadomo ze np. SG i nie wiadomo ile innych "sluzb" moze chciec
miec do tych danych dostep. To daje bardzo duza szanse, ze praktycznie
kazdy moze miec do tych danych dostep, jesli tylko bedzie mial karte
w swoim terminalu (kwestia zabezpieczenia kluczy - slabo to widze,
a poza tym jest to podatne na nieznane ataki).
--
Krzysztof Halasa

do góry

Przemysław Kowalik <p...@A...pl> writes:

> Czy jest to jakoś "umocowane w przepisach" z tym płaceniem za oszustwa?

W regulacjach VISA i MC - tak. Ale jak sie to przeklada na klienta,
to nie wiadomo do konca.

> Niekoniecznie. Jak zacząłem używać mojej chipowej VC z KB, to zdarzyło
> mi się kilka razy, że jak kasjerka nie dała sobie rady z chipem, to
> terminal sugerował jej użycia paska i to działało - co więcej z podpisem
> a nie z PINem!

Terminal moze sie roznie zachowywac.
--
Krzysztof Halasa

do góry

Krzysztof Halasa napisał(a):
> Bogusz <b...@p...onet.pl> writes:
>
>
>>Odpowiednie rozwiązania techniczne mogłyby uniemożliwić dostęp do
>>innych danych niż te konieczne do danej tranzakcji.
>>Ale to są juz szczegóły implementacyjne. :-)
>
>
> Ale bardzo wazne.
> Mamy karte elektroniczna (= chipowa) z zapisanymi na niej rozmaitymi
> danymi. Wiadomo ze np. SG i nie wiadomo ile innych "sluzb" moze chciec
> miec do tych danych dostep. To daje bardzo duza szanse, ze praktycznie
> kazdy moze miec do tych danych dostep, jesli tylko bedzie mial karte
> w swoim terminalu (kwestia zabezpieczenia kluczy - slabo to widze,
> a poza tym jest to podatne na nieznane ataki).

Co to jest SG? Sztab Generalny?

Centrum certyfikatów na potrzeby generacji kluczy do dowodow osobistych
byloby firma zależną od państwa. Rzeklbym, ze bardzo scisle zwiazana i
kontrolowana z organami bezpieczenstwa panstwa. Jeżeli nie ufalbys
centrum certyfikatów to nie ma sensu dyskutowac o bezpieczenstwie podpisu.
Jak nie ufasz CA nie możesz ufac certyfikatom przez to centrum wydawane.

Inna inszosc to temat jak uniemozliwic sluzbom bezpieczenstwa panstwa
(ABW, WSI, etc) manipulacji w CA.
Koniecznosc ufania CA jest (IMHO) dużą wadą obecnego modelu PKI.

do góry

> W chwili obecnej? POWINNA.
> Docelowo? Oczywiście że nie.
>
> Pozdrawiam
> Marcin Lubojański

Domyślam się, iż chodzi o fakt, że nie wszystkie POSy akceptują karty
chipowe. Rozumiem argument, a jednak mimo to uważam, że nie powinna.
Sam chip jest wprowadzany po to (m.in.) aby zapobiec
zczytywaniu-kopiowaniu paska magnetycznego którym można się dalej
posłużyć A zatem cóż z tego, że karta ma chip skoro ma i pasek?
To przecież tak jakbyśmy zainstalowali wspaniały system antywłamaniowy,
ale jego wyłącznik umieścili przed drzwiami...
Może marne porównanie, ale ideę rozumiecie.
Myślę, że nie jest żadnym utrudnieniem posiadanie 2ch kart w miejsce jednej.
A to rozwiązuje problem.

Pozdrawiam,

Tomek

do góry

Andrzej Kłos wrote:
> Dnia 05-02-06 18:02, Użytkownik Bogusz napisał :
>
>>> Uważam, że nie.
>>> A co Wy sądzicie i dlaczego?
>
>
> nie tyle powinna, ale może mieć, pod warunkiem, że nie będzie tam
> zapisane nic, co by tej karty, ew. rachunku podpiętego do tej kart
> dotyczyło
>
Ot to. :-)

do góry

Jacek Osiecki wrote:
> Dnia Sun, 06 Feb 2005 11:43:50 +0100, Tomasz napisał(a):
>
>>Uważam, że nie.
>>A co Wy sądzicie i dlaczego?
>
>
> Jak już się zupełnie zrezygnuje z kart magnetycznych - to oczywiście że
> pasek powinien zniknąć ;)
>
> A generalnie - obecnie "karty chipowe" to mydlenie oczu. Co z tego że karta
> ma chipa, skoro bez problemu można autoryzować ją przy użyciu niczym nie
> zabezpieczonego paska magnetycznego, albo w ogóle po numerze karty? :)
>
> Pozdrawiam,

Reasumując:
- karty z paskiem są potrzebne teraz i jeszcze długo będą;
- karty chipowe (tylko z chipem) są znacznie bezpieczniejsze;
Łącząc te stwierdzenia banki powinny iść w stronę wydawania równoległego
dwóch kart, a łączenie słabej technologi z nową daje li tylko słabo
bezpieczną kartę z dobrą reklamą. :-(

Tomek

do góry

Bogusz <b...@p...onet.pl> writes:

> Co to jest SG? Sztab Generalny?

Nie, straz graniczna. Do tego dochodzi zapewne policja, straz miejska,
pewnie poczta, banki, i nie wiadomo ile innych zainteresowanych.

> Centrum certyfikatów na potrzeby generacji kluczy do dowodow
> osobistych byloby firma zależną od państwa. Rzeklbym, ze bardzo scisle
> zwiazana i kontrolowana z organami bezpieczenstwa panstwa. Jeżeli nie
> ufalbys centrum certyfikatów to nie ma sensu dyskutowac o
> bezpieczenstwie podpisu.

Ufasz bezgranicznie jakiemus cetrum certyfikatow??? To bylaby chyba
krancowa naiwnosc. Dzialanie takich centrow nie opiera sie na zaufaniu,
a na odpowiedzialnosci.

Natomiast mieszasz dwie rzeczy - jedna to zaufanie do CA (certification
authority), a druga to wiara w to, ze klucze sluzace do dostepu do
dowodow osobistych nie znajda sie w nieodpowiednich rekach. To ma sie
dokladnie nijak do CA - przeciek moze zdazyc sie w dowolnej instytucji,
ktora mialaby miec dostep do takich kluczy, mozna takze zorganizowac
to w inny sposob (np. zdalny terminal).

> Jak nie ufasz CA nie możesz ufac certyfikatom przez to centrum wydawane.

Oczywiscie ze nie. Chocby z tej prostej przyczyny, ze wiem ze uzyskanie
falszywego certyfikatu nie moze byc rzecza trudna ani bardzo kosztowna
- trzeba np. przekupic odpowiedniego pracownika.

Co innego honorowanie certyfikatow - a co innego calkowite zaufanie.

> Inna inszosc to temat jak uniemozliwic sluzbom bezpieczenstwa panstwa
> (ABW, WSI, etc) manipulacji w CA.

A co oni mieliby tam do robienia? Nie za bardzo maja tam jakis interes,
domyslam sie ze dostep do danych i tak by mieli.

> Koniecznosc ufania CA jest (IMHO) dużą wadą obecnego modelu PKI.

Niewatpliwie.
--
Krzysztof Halasa

do góry

Tomasz <t...@p...fm> writes:

> Domyślam się, iż chodzi o fakt, że nie wszystkie POSy akceptują karty
> chipowe. Rozumiem argument, a jednak mimo to uważam, że nie powinna.
> Sam chip jest wprowadzany po to (m.in.) aby zapobiec
> zczytywaniu-kopiowaniu paska magnetycznego którym można się dalej
> posłużyć A

Nie, nie po to. Po to, by umozliwic dokonywanie transakcji bez uzycia
paska.

> To przecież tak jakbyśmy zainstalowali wspaniały system antywłamaniowy,
> ale jego wyłącznik umieścili przed drzwiami...
> Może marne porównanie, ale ideę rozumiecie.

Nietrafione.

> Myślę, że nie jest żadnym utrudnieniem posiadanie 2ch kart w miejsce jednej.
> A to rozwiązuje problem.

Nie, to stwarza problem. Zlodziej moze uzyc karty z paskiem. Jesli
mamy tylko jedna karte hybrydowa, to (zakladajac ze jest terminal
z obsluga kart elektronicznych) zlodziej karty nie uzyje.

Jesli tak Ci przeszkadza ten pasek to wystarczy np. silny magnes.

Pamietaj takze o mozliwosci obciazenia karty przez podanie jej numeru
i daty waznosci.
--
Krzysztof Halasa

do góry

Bogusz wrote:
> Co to jest SG? Sztab Generalny?
>
> Centrum certyfikatów na potrzeby generacji kluczy do dowodow osobistych
> byloby firma zależną od państwa. Rzeklbym, ze bardzo scisle zwiazana i
> kontrolowana z organami bezpieczenstwa panstwa. Jeżeli nie ufalbys
> centrum certyfikatów to nie ma sensu dyskutowac o bezpieczenstwie podpisu.
> Jak nie ufasz CA nie możesz ufac certyfikatom przez to centrum wydawane.
>
> Inna inszosc to temat jak uniemozliwic sluzbom bezpieczenstwa panstwa
> (ABW, WSI, etc) manipulacji w CA.

Chryste Panie..
Panowie, co wy tu wymyślacie :)
Przeczytajcie sobie ustawę o podpisie i wszystkie dodatki, a szczególnie
rozporządzenie ("..w sprawie war. tech. i org. dla kwalif.
podmiotów.", z dnia 7 sierpnia 2002), a potem sięgnijcie chociaż do
najważniejszych norm i dokumentów wymienionych w par. 49 tego
rozporządzenia, to może zrozumiecie na czym opiera się "zaufanie" do CA
jak i całego PKI.
I dlaczego służby nie mają tu nic do powiedzenia.

> Koniecznosc ufania CA jest (IMHO) dużą wadą obecnego modelu PKI.
taaaa...a dlaczego jest wadą?

--
== And.
==
== "Fire, walk with me.."

do góry

Krzysztof Halasa wrote:
>
> Ufasz bezgranicznie jakiemus cetrum certyfikatow??? To bylaby chyba
> krancowa naiwnosc. Dzialanie takich centrow nie opiera sie na zaufaniu,
> a na odpowiedzialnosci.
>




> Natomiast mieszasz dwie rzeczy - jedna to zaufanie do CA (certification
> authority), a druga to wiara w to, ze klucze sluzace do dostepu do
> dowodow osobistych nie znajda sie w nieodpowiednich rekach. To ma sie

ojej, a co to są "klucze do dostępu do dowodów osobistych"??? :)

>>Jak nie ufasz CA nie możesz ufac certyfikatom przez to centrum wydawane.
>
>
> Oczywiscie ze nie. Chocby z tej prostej przyczyny, ze wiem ze uzyskanie
> falszywego certyfikatu nie moze byc rzecza trudna ani bardzo kosztowna
> - trzeba np. przekupic odpowiedniego pracownika.
>

a co to jest "fałszywy certyfikat"?


>>Koniecznosc ufania CA jest (IMHO) dużą wadą obecnego modelu PKI.
>
> Niewatpliwie.

następny.. :) a jakie tutaj są wady, hę?

--
== And.
==
== "Fire, walk with me.."

do góry