-
21. Data: 2002-02-10 02:56:40
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: Krzysztof Halasa <k...@d...pm.waw.pl>
"tp" <t...@d...net> writes:
> w jednym zdaniu piszesz "przypuszczam, ze takiego
> banku nie ma", a zaraz w drugim, ze "bardzo bym sie nie zdziwil
> gdyby jakas firmowa karta (czyli zadna miedzynarodowa) chodzila
> offline"
To dosc naturalne. Przypuszczam, ze nie ma, ale nie wykluczam.
> - czyli dopuszczasz, ze taki bank jest. A czy ja gdzies pisalem,
> ze karty, o ktorych piszemy, sa miedzynarodowe ? Nie - bo to sa lokalne
> karty danego banku.
To bylo dla mnie oczywiste od poczatku.
> Ale musze przyznac, ze przy okazji w powyzszym stwierdzeniu
> troche przeholowales. Jak mogles zorientowac sie z informacji
> i szczegolow zawartych w moich poprzednich postach, jestem
> facetem, ktory wie, o czym pisze. W Twoich wypowiedziach
> w zasadzie nie ma informacji, a tylko watpliwosci, ktore nb.
> po kolei rozpraszam. OK, po to m.in. sa grupy dyskusyjne,
> zeby dyskutowac. Ale przy okazji wyszlo, ze raczej nie jestes
> fachmanem od bankomatow i kart. Znowu OK - nie kazdy
> musi nim byc.
Oczywiscie.
Zauwaz, ze do rozpraszania moich watpliwosci potrzebujesz napisac
o konkretach. A nie tylko tego, ze nie mozesz ich np. ujawnic.
> I w tej sytuacji pisanie "przypuszczam, ze takiego banku
> nie ma", po moich wypowiedziach, ze "transakcje off-line
> sa stosowane w co najmniej jednym polskim banku, ktorego
> nazwy nie moge podac" - to jest po prostu zarzucanie mi klamstwa.
Czy ja wiem? Po prostu, nie podales nazwy banku, nie mozna tego
sprawdzic. Sam tez mozesz byc w bledzie. Moje zdanie na ten temat
jest na poczatku.
Przeciez nie bede biegal po miescie i szukal bankomatow, ktore
obsluguja tylko jedna lokalna karte. No i brak takiego znaleziska
tez by o niczym nie swiadczyl.
> I nie masz do stawiania tych zarzutow zadnych innych podstaw,
> niz tylko Twoje niczym nie podparte domniemania. A moze
> byles u wrozki ?
Nie, ale mam wrazenie ze miales jakis zly dzien.
> Wiec powtorze dla pewnosci jeszcze raz: tak, w chwili obecnej
> bankomaty i karty off-line sa stosowane w co najmniej jednym
> polskim banku, ktorego nazwy nie moge podac. Byc moze tych
> bankow jest wiecej - ale tego po prostu nie wiem. A nie wiedzac,
> nie wstydze sie tego napisac i nie zamierzam zarzucac klamstwa
> komus, kto mi powie, ze "sa inne takie banki" lub tez ze "innych
> takich bankow nie ma". Moze wez przyklad z wlasnie takiej
> postawy.
Nie, nie lubie takiej postawy. Albo pisze o czym wiem i o czym moge
napisac, albo nie wspominam o tym w ogole. W przeciwnym przypadku
widzialbym siebie jako osobe, ktora pozuje na znawce, a w rzeczywistosci
nic nie wie (zauwaz, ze w przypadku Twojej osoby na temat drugiej czesci
niewiele moge powiedziec).
Sam nie ukrywam, ze nie zajmuje sie kartami bankowymi zawodowo.
> Przeciez mechanizm kontroli ilosci
> wprowadzen blednego PINu dziala rowniez w transakcjach
> on-line ?
Oczywiscie. Opisywane transakcje nawet na pewno byly online, a to,
ze "zatrzymywanie" kart bylo podwojnie bledne, to juz inna sprawa.
> I, co wiecej, wlasnie przy transakcjach on-line
> istnieje wiecej mozliwosci, aby po trzecim bledym PINie
> nie zatrzymywac karty ?
To stwierdzenie czy pytanie?
Jesli pytanie, to w przypadku uzycia karty (np. 2 roznych kopii)
w 2 bankomatach offline nie ma metody, by zatrzymac karte po 3 probach,
w przeciwienstwie do kazdego normalnego bankomatu, ktory powinien
zatrzymac karte (a co najwazniejsze, wszystkie kopie przestana
dzialac w tym samym momencie).
Naturalnie, w systemie online jest wiecej miejsc, gdzie moze byc
jakis blad.
> Co do transakcji off-line w bankomatach omawianego banku,
> to moge Cie zapewnic na 100%, ze po trzykrotnym blednym
> PINie bankomat karte zatrzyma. Po prostu tak jest sparametry-
> zowany i nie musi w tym wzgledzie polegac na niedocieczonych
> dyrektywach z centrum autoryzacyjnego, tylko na swoim wlasnym
> procesorze.
A co z innymi bankomatami? Oczywiscie, nie ma ich w wystarczajacej
ilosci...
> Aby cos zakodowac (uzywam tego slowa zamiast "zakodowac", bo,
> jak zapewne wiesz, szyfrowanie jest tylko przypadkiem szczegolnym
> kodowania, ktory to przypadek nb. nie znajduje tutaj zastosowania),
> potrzebny jest algorytm. Algorytmy stosowane przy kodowaniu
> takich danych ze wzgledow praktycznych opieraja sie na kluczach
> (bo klucze latwiej utajnic niz caly algorytm).
A wiec nie ma tu szyfrowania, a kodowanie (nie bedace szyfrowaniem)
jakims kluczem?
I, jak rozumiem, owo kodowanie jest odporne na kryptoanalize
wykorzystujaca np. dwie (albo trzy, cztery, co tam) rozne karty tego banku
oraz PINy do nich?
> A pozwole sobie przypomniec, ze na poczatku dyskusji zanegowales
> wlasnie potrzebe przechowywania kluczy w bankomacie.
Dosc konkretnych, zreszta (sluzacych do testowania PINu), i to
w bankomacie online.
Tak czy owak, cala sprawa sprowadza sie do faktu, ze bankomaty offline,
jesli w ogole jeszcze istnieja (co w zasadzie nie ma w tej chwili
znaczenia praktycznego), sa w stadium wymierania, gdyz ich istnienie
stwarza dla banku niebezpieczenstwo - tak jak banki zaczely np. emitowac
karty online, tak i bankomaty offline musza umrzec smiercia naturalna.
Moze takie bankomaty (albo niektore transakcje w nich) wroca razem
z kartami chipowymi, zobaczymy (zdaje sie, ze w niektorych krajach juz
tak jest).
> A tu wychodzi, ze sa one niezbedne zarowno w bankomatach
> on-line (kodowanie danych do transmisji do banku), jak i
> off-line (weryfikacja kart i PINow, kodowanie j.w)
No popatrz. Z tym kodowaniem z checia jednak dowiedzialbym sie czegos
konkretnego - te klucze... jaka maja dlugosc? 56 bitow?
Gdzie, Twoim zdaniem, przebiega granica pomiedzy szyfrowaniem i tylko
zwyklym kodowaniem?
Te 56 bitow bardzo mi sie jakos z DESem kojarzy.
> > Ach, to inne banki rowniez akceptuja te karty offlinowo?
> > Szczerze mowiac, byloby to bardzo ryzykowne.
>
> Bede troche zgryzliwy: szczerze mowiac, nie wydaje mi sie,
> abys byl osoba, ktora dysponuje dostatecznymi danymi do oceny
> tego ryzyka.
Moze tak Ci sie wydawac, w koncu nie zajmuje sie bezpieczenstwem
bankomatow, a tylko zwyczajniejszych komputerow.
> Przy okazji, moim zdaniem, Twoja powyzsza wypowiedz
> jest przykladem postawy "pogadam sobie, aby gadac -
> a co do celu tego gadania, to po co on komu ?".
> Ponownie podales w watpliwosc moje slowa nie majac
> do tego zadnych podstaw merytorycznych.
Nie, sprawa jest calkowicie odwrotna: to Ty nie przedstawiles zadnych
podstaw merytorycznych.
Alez prosze, jesli chodzi o merytoryczne podstawy - piszesz, ze do
sprawdzenia PINu nie uzywa sie szyfrowania. Piszesz takze, ze podstawa
bezpieczenstwa nie jest tajnosc algorytmu, a same klucze (co jest
normalne, pod warunkiem, ze sam algorytm jest dostatecznie silny
- ale ten warunek spelniaja jednak tylko algorytmy kryptograficzne).
W jaki w takim razie sposob bank radzi sobie z przypadkami wyciagniecia
kluczy z samych kart, jesli algorytm nie jest dostatecznie silny
(w ogole nie jest silny - kodowanie nie ma sily w znaczeniu krypto)?
> Co do meritum, to informuje Cie, ze jest to mozliwe zarowno
> technicznie, jak i organizacyjnie; aczkolwiek w przypadku
> omawianego banku nie jest to obecnie stosowane.
Oddycham z ulga.
> Jak pamietam, podales w watpliwosc mozliwosc samodestrukcji
> scalakow, piszac rownoczesnie o tym, ze zgodzilbys sie na idee
> mozliwosci samodestrukcji calego bankomatu.
Wlasnie. Moze nawet nie calego, w koncu to nie wojna swiatowa - wystarczy
wydzielonej czesci elektroniki.
> Moim zdaniem, struktura krzemowa EEPROMu wraz
> z dolaczonym kondensatorkiem, "osiatkowana" jako
> calosc (nb. "siatka" to tylko jeden z wielu mozliwych
> sposobow zabezpieczen) i w calosci zalana tworzywem,
> z wyprowadzonymi nozkami - to raczej jest scalak,
> a nie bankomat ?
Wedlug powszechnie uzywanej nomenklatury, scalak (uklad scalony, integrated
circuit) jest ukladem monolitycznym, zwykle krzemowym. Taka konstrukcja
bylaby raczej nazwana ukladem hybrydowym. Choc naturalnie mozemy
przyjac taka interpretacje.
> Jak napisalem, w kazdym bankomacie (zarowno off-line,
> jak i on-line) musza byc przechowywane w sposob bezpieczny
> klucze kodowania. Obecnosc takiego zabezpieczonego scalaka,
> czy nawet kilku, nie wplywa praktycznie wcale na koszt maszyny
> - do ich wytworzenia wcale nie trzeba duzo wyzszej technologii,
> niz do "zwyklych" scalakow. Nb. w bankomacie duzo drozsza
> niz elektronika jest elektromechanika precyzyjna.
Nie mialem na mysli kosztu elektroniki, a straty na fraudach.
Taka elektronike (pomijajac wykrywanie ingerencji i niszczenie)
bylby w stanie pewnie wyprodukowac srednio zdolny student 2 roku
elektroniki.
> Co do zlamania kluczy przy zalozeniu posiadania karty i PINu
> - klania sie tutaj poczatek naszej dyskusji. Wszak napisalem,
> ze algorytm liczenia pol kontrolnych jest nieodwracalny.
> Nieodwracalnosc taka wynika z jego nadmiarowosci,
> a ta dotyczy nie tylko danych, ale rowniez i kluczy...
> Nb. algorytm jest zdecydowanie bardziej zlozony niz
> "zwykly DES".
... i nie jest kryptografia? Bardzo dziwne, nie uwazasz?
A moze jednak jest kryptografia, a dokladnie liczy sie skrot
kryptograficzny i podpisuje sie go w jakis sposob tajnym kluczem,
zgodnie z teoria znana od lat? To, czy to bedzie MD5+DES, czy
np. SHA-1+kryptografia asymetryczna, czy po prostu bedzie to
zaszyfrowany DESem blok danych (czyli skrot = tozsamosc), to juz
jest mniej istotna sprawa, majaca znaczenie glownie dla czasu
zlamania klucza (bez dostepu do np. bankomatu, komputera banku
itp).
> OK, tu po raz pierwszy dzisiaj musze przyznac Ci racje.
> Faktycznie, zagalopowalem sie z tym "znakiem rowosci".
> Co nie zmienia faktu, ze bankomaty off-line'owe dzialaly,
> i nadal dzialaja, i nic mi nie wiadomo o tym, aby mialy jakis
> wyzszy odsetek szeroko rozumianych "uszczuplen mienia".
Jesli tak, to tylko dlatego, ze po prostu nikomu (odpowiedniemu)
nie przyszlo do glowy sie do nich zabrac (?) Bo tak naprawde, ile mozna
ukrasc z takich bankomatow zanim je (po wykryciu metody) zamkna?
Moze lepiej zajmowac sie bardziej oplacalnymi rzeczami?
Tyle ze od jakiegos czasu to tak nie musi dzialac - dostep do informacji
i komputerow maja wszyscy, lacznie z dziecmi spragnionymi nawet
niewielkich pieniedzy, i nie myslacymi o przyszlosci itp. No, moze
dzieci tez maja utrudniony dostep do kart.
> Niestety, co do drugiej czesci zdania, to technicznie
> i organizacyjnie daloby sie to zrobic - w takim przypadku
> w bankomacie off-line'owym nalezaloby po prostu uzyc
> starego PINu i ewentualnie zmienic go jeszcze raz
> (tym razem na karcie). Oczywiscie byloby to niewygodne
> dla klienta, ktory musialby pamietac oba PINy - zarowno
> stary, jak i nowy.
Ale myslalem o nieco innej sytuacji - mamy normalna karte VISA, ktora
na pewno nie ma zadnego PINu, jego skrotu itp na pasku magnetycznym.
Ani starego PINu, ani nowego, ani zadnego. Takiej karty za zadne skarby
nie moglibysmy uzyc w naszym offlinowym bankomacie - on dzialalby tylko
z kartami naszego (wybacz, ze go tak nazwe) hipotetycznego banku.
Szczerze mowiac nie mam zwyczaju chodzic po bankomatach i patrzec im
na naklejki, ale znaczki VISA same sie rzucaja w oczy.
> No i dochodzimy do sedna nieporozumienia. Ty pisales
> opierajac sie glownie na doswiadczeniach z kartami
> miedzynarodowymi, ja oprocz miedzynarodowych
> znam rowniez praktyke kart lokalnych.
Oczywiscie. Nie uzywam zadnej krajowej karty. Szczerze mowiac same
karty krajowe mnie specjalnie nie interesuja, natomiast zainteresowal
mnie problem bankomatow, ktore z definicji musza ich (i tylko ich)
uzywac.
> Faktycznie tak bylo. Z tym, ze nie nazywano tego "online"
> - byly to typowe bankomaty off-line'owe, bo transakcje
> w nich wykonywane byly jak najbardziej off-line'owe.
Tak wlasnie napisalem, online odbywalo sie wylaczenie przekazywanie
danych o dokonanych w poprzednim dniu transakcjach, zapewne sciaganie
jakichs stoplist itp. Przez caly dzien polaczenia nie bylo.
> Potem byl jeszcze okres, ze bankomaty pracowaly "w zasadzie"
> on-line, ale jak padlo lacze lub bylo jakies "wykrzaczenie"
> w banku lub w centrum autoryzacyjnym, to przechodzily
> w tryb off-line i placily na podstawie zapisow na 3. sciezce.
Do momentu, w ktorym nie dalo sie juz zweryfikowac PINu, jak rozumiem?
--
Krzysztof Halasa
Network Administrator
-
22. Data: 2002-02-11 06:52:27
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: "tp" <t...@d...net>
Czolem grupowiczom
i w szczegolnosci p. Krzysztofowi
Aby nie macic dopisywaniem urwanych fragmentow
do juz poszatkowanego tekstu, pozwole sobie zebrac
swoje wypowiedzi w jedna calosc.
Na poczatek krotka rekapitulacja.
Wracajac do poczatku dyskusji o kartach i bankomatach
off-line: dyskusja ta rozwinela sie od zapytania, jak to sie
dzieje, ze bankomat off-line moze zweryfikowac PIN bez
istnienia zapisu PINu na karcie.
Pierwotnemu pytajacemu odpisalem, ze dzieje sie tak
dzieki istnieniu na karcie swoistej "sumy kontrolnej",
wygenerowanej z zawartosci karty i PINu i sprawdzanej
przez bankomat przy kazdym uzyciu karty.
Zaznaczylem, ze opis ma charakter uproszczony.
Po wyjasnieniu tego zjawiska pojawil sie problem, czy taka
metoda jest odporna na atak "brute force". Wyjasnilem,
ze atak taki wymagalby uprzedniego rozpoznania algorytmu
kodowania i uzywanych w nim kluczy kodujacych.
W trakcie dalszej dyskusji pojawily sie kolejne podane
przeze mnie informacje:
- ze karty off-line sa zapisaywane w oparciu o norme ISO 4909,
czyli ta sama, ktora rzadzi czytaniem wszelkich kart bankowych
(rowniez Visa i MC)
- ze "sumy kontrolne" sa co najmniej dwie (1. weryfikacja
integralnosci karty 2. weryfikacja PINu)
- ze ich kreacja nastepuje w momencie pierwotnej kreacji
karty, a nastepnie sa one zmieniane po kazdym off-line'owym
uzyciu karty (a wiec bankomat off-line jak najbardziej "pisze"
na karcie off-line)
- ze do ich obliczania stosuje sie algorytm mieszajacy
oparty na zestawie co najmniej 4 kluczy o dlugosci
56- lub 112 bitow kazdy (wg wybranej opcji)
- ze klucze te przechowywane sa w bankomacie
w scalakach zabezpieczonych przed nieuprawnionym
odczytem zawartosci, i ze takie scalaki wystepuja rowniez
w bankomatach on-line i nie podnosza istotnie kosztu
bankomatow.
W ostatnim poscie p. Krzysztof ponownie podnosi kwestie
narazenia banku stosujacego bankomaty off-line na fraudy,
piszac [cyt.] "A wiec nie ma tu szyfrowania, a kodowanie
(nie bedace szyfrowaniem) jakims kluczem?" oraz "piszesz,
ze do sprawdzenia PINu nie uzywa sie szyfrowania.".
No i tu wychodzi na jaw koniecznosc zamieszczenia
istotnej uwagi nomenklaturowej, bedacej zrodlem duzego
nieporozumienia.
Otoz zgodnie ze znanymi mi konwencjami stosowanymi
w literaturze kryptograficznej, termin "szyfrowanie" oznacza
dla mnie wykonanie kodowania *tekstu* poprzez zastosowanie
elementarnie prostego kodowania jednopodstawieniowego
(litera za litere). Poniewaz w przypadku bankomatu taka sytuacja
(litera za litere) nie zachodzi, dla opisu operacji zmierzajacych
do weryfikacji kart, jak i zabezpieczania danych do transmisji
uzywam nazwy "kodowanie".
Oczywiste dla mnie jest przy tym (ze wzgledu na kontekst
wypowiedzi), ze mowimy o kodowaniu kryptograficznym.
Oczywiscie wiem, iz w polskim jezyku potocznym aby wyrazic
pojecie "kodowanie kryptograficzne" uzywa sie terminu
"szyfrowanie", ale mysle, ze jezyk potoczny chyba nie powinien
byc traktowany jako wzorzec w dyskusji technicznej.
Dlatego zdziwilo mnie, iz w swoim ostatnim poscie p. Krzysztof, bedacy
[cyt.] "network administrator", i zajmujacy sie [cyt.] "bezpieczenstwem
[...]
komputerow" przeciwstawia te dwa pojecia, i traktuje pojecie "kodowanie"
jako cos slabszego od "szyfrowania". Mam nadzieje, iz uwaga niniejsza
wyjasnia dosc gruntownie nieporozumienie, ktorego wynikiem jest spora
czesc ostatniego postu p. Krzysztofa.
Powtorze jeszcze, iz klucze kodowania maja dlugosc 56 lub 112
bitow, w zaleznosci od wybranej opcji. Algorytm jest 128 bitowy
i wykorzystuje m.in. cztery operacje DES (ale oczywiscie powiazane
nie linearnie) polaczone z innymi niepublikowanymi oficjalnie
operacjami kodujacymi.
Tak wiec, zlamanie tego systemu kodowania moze "chwile" zajac.
I raczej nie jest to do wykonania przez nudzacego sie dzieciaka
(a, jak juz sie uprzednio zgodzilismy, innym osobom lamanie
zabezpieczen bankomatu raczej nie bedzie sie oplacac).
======
Ponadto p. Krzysztof wyrazil "mocna" watpliwosc, "czy
jakiekolwiek wydawane wspolczesnie karty maja cokolwiek
zwiazanego z PINem zapisanego na karcie", argumentujac,
ze "bankomaty nic na kartach nie zapisuja, glownie po to,
by nie zniszczyc w ogole zapisu".
Co do zapisywania danych przez bankomaty na kartach,
patrz wyzej.
Co do wspolczesnego istnienia takich bankomatow...
No coz, jak napisalem, ja =wiem=, ze bankomaty off-line
sa wspolczesnie uzywane. Napisalem juz swoje na ten temat
i nie chce mi sie tego powtarzac. Jesli nie przekonalem
- trudno, plakal nie bede. (Ale przynajmniej p. Krzysztof nie
kwestionuje juz istnienia scalakow zdolnych do samo-
destrukcji...)
Moze tylko jeszcze dodam aspekt, ktorego p. Krzysztof
nie bierze chyba pod uwage: ze podstawowym zadaniem
bankomatow jest zastapienie kas i kasjerek. I w kontekscie
tego wlasnie zadania naprawde nie ma znaczenia, czy karta
jest Visa, MC,czy po prostu lokalna karta bankomatowa.
Kazda umozliwia wyplate gotowki z okreslonej sieci
bankomatow.
Acha, zdaje sobie sprawe, ze w przypadku kart z logo Visa
czy MC siec dostepnych bankomatow jest nieporownanie
wieksza, niz dla karty lokalnej. Ale istnieja klienci (i jest ich
bynajmniej niemalo), ktorzy korzystaja z karty tylko w tym
zakresie, w jakim korzystaliby z uslug kasy banku:
do wyplaty gotowki w miejscowosci zamieszkania.
I dla nich taka karta lokalna jest calkowicie wystarczajaca.
A fakt, ze taka karta *nie moze* byc uzyta do zakupow
w sklepie, co niektorzy traktuja jako duzy plus...
Ale, oczywiscie, nie zamierzam udowadniac nikomu,
ze bankomaty off-line'owe sa lepsze od on-line'owych.
Pozwole sobie przypomniec, ze nigdy tak nie twierdzilem
(chociaz z tonu wypowiedzi p. Krzysztofa mogloby wynikac
cos innego).
Pozdrowionka
Tadeusz
======
P.S.
Przy okazji scalakow: jeszcze jedna uwaga
nomenklaturowa:
P. Krzysztof pisze: [cyt.] "Wedlug powszechnie
uzywanej nomenklatury, scalak (uklad scalony,
integrated circuit) jest ukladem monolitycznym,
zwykle krzemowym."
No coz, mnie uczono inaczej: ze uklad scalony
jest to wydzielona czesc obwodu elektrycznego,
=o scisle okreslonych funkcjach=, zamknieta
w obudowie (najczesciej z tworzywa sztucznego)
i z wyprowadzonymi koncowkami umozliwiajacymi
jej latwy montaz w obwodzie zewnetrznym.
Taki scalak moze byc w srodku zarowno cyfrowy,
jak i analogowy lub hybrydowy. Oczywiscie, jako
komputerowcy, najczesciej spotykamy sie ze
ukladami cyfrowymi. Ale utozsamianie pojecia
"scalak" =wylacznie= z krzemowa struktura cyfrowa
to chyba troche za silne ograniczenie.
Pozdrowionka raz jeszcze
Tadeusz
-
23. Data: 2002-02-11 16:22:55
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: Krzysztof Halasa <k...@d...pm.waw.pl>
"tp" <t...@d...net> writes:
> Otoz zgodnie ze znanymi mi konwencjami stosowanymi
> w literaturze kryptograficznej, termin "szyfrowanie" oznacza
> dla mnie wykonanie kodowania *tekstu* poprzez zastosowanie
> elementarnie prostego kodowania jednopodstawieniowego
> (litera za litere). Poniewaz w przypadku bankomatu taka sytuacja
> (litera za litere) nie zachodzi, dla opisu operacji zmierzajacych
> do weryfikacji kart, jak i zabezpieczania danych do transmisji
> uzywam nazwy "kodowanie".
> Oczywiste dla mnie jest przy tym (ze wzgledu na kontekst
> wypowiedzi), ze mowimy o kodowaniu kryptograficznym.
W takim razie...
Wedlug nomenklatury, z ktora ja sie spotkalem, szyfrowanie jest
szczegolnym przypadkiem kodowania, posiadajacym wszystkie cechy kodowania
nie bedacego szyfrowaniem, oraz wykorzystujacym algorytmy kryptograficzne
w ten sposob, by osoba nie posiadajaca odpowiedniego klucza (moze to byc
"shared secret", albo "private key", lub tez inny wynalazek), albo nie
znajaca algorytmu (stosowane dawniej), nie mogla odczytac oryginalnej
wiadomosci.
Kodowanie (a wiec takze szyfrowanie, bedace przeciez kodowaniem) jest
odwracalne, tj. mozna bez trudu uzyskac oryginal (w przypadku
szyfrowania potrzebna jest w praktyce znajomosc klucza). Funkcje
jednokierunkowe (funkcje skrotu, hash) nie sa kodowaniami, gdyz ten
warunek nie jest dla nich spelniony. Takie funkcje moga jednak uzywac
kodowania (i szyfrowania) wewnetrznie. Moga one byc oczywiscie funkcjami
kryptograficznymi (choc nie sa kodowaniem).
- szyfrowanie nie musi byc "litera za litere". W ogole zestaw symboli
wyjsciowych moze byc zupelnie inny niz wejsciowych (i czesto jest).
> Oczywiscie wiem, iz w polskim jezyku potocznym aby wyrazic
> pojecie "kodowanie kryptograficzne" uzywa sie terminu
> "szyfrowanie", ale mysle, ze jezyk potoczny chyba nie powinien
> byc traktowany jako wzorzec w dyskusji technicznej.
Zapewne. Tak sie jednak sklada, ze "kodowanie kryptograficzne" i
"szyfrowanie" to synonimy (przynajmniej w znanej mi nomenklaturze).
Z tego wlasnie powodu na poczatku uzylem, zapewne nie najszczesliwszej,
nazwy "szyfrowanie" (na okreslenie w ogole jakichkolwiek operacji
kryptograficznych), co pozniej nieco uscislilem.
Oczywiscie, niezaleznie od tego, czy uwazamy funkcje jednokierunkowe
za kodowanie czy tez nie, nie zmienia to faktu, ze np. DES (Data
Encryption Standard) jest algorytmem _szyfrujacym_. Stwierdzenie
o braku szyfrowania oznaczalo dla mnie, ze niczego takiego jak DES
sie nie uzywa, co - jak rozumiem - okazalo sie niespecjalnie prawdziwe.
> Moze tylko jeszcze dodam aspekt, ktorego p. Krzysztof
> nie bierze chyba pod uwage: ze podstawowym zadaniem
> bankomatow jest zastapienie kas i kasjerek. I w kontekscie
> tego wlasnie zadania naprawde nie ma znaczenia, czy karta
> jest Visa, MC,czy po prostu lokalna karta bankomatowa.
> Kazda umozliwia wyplate gotowki z okreslonej sieci
> bankomatow.
Tak jak napisalem, nie watpie ze jest to mozliwe. Praktyka (moja)
jest taka ze czegos takiego od dawna nie widzialem (bankomatu, ktory
nie akceptowalby VISA lub MC itp).
Nie jest tu istotne, czy mamy _karte_ VISA czy jakas lokalna, i ze tej
lokalnej nie da sie nigdzie poza naszym bankomatem uzyc. Istotne jest,
ze ten "nasz" bankomat nie bedzie w stanie obsluzyc kart VISA itp.
> P. Krzysztof pisze: [cyt.] "Wedlug powszechnie
> uzywanej nomenklatury, scalak (uklad scalony,
> integrated circuit) jest ukladem monolitycznym,
> zwykle krzemowym."
>
> No coz, mnie uczono inaczej: ze uklad scalony
> jest to wydzielona czesc obwodu elektrycznego,
> =o scisle okreslonych funkcjach=, zamknieta
> w obudowie (najczesciej z tworzywa sztucznego)
> i z wyprowadzonymi koncowkami umozliwiajacymi
> jej latwy montaz w obwodzie zewnetrznym.
No coz, widocznie inaczej nas uczono.
> Taki scalak moze byc w srodku zarowno cyfrowy,
> jak i analogowy lub hybrydowy.
Generalnie nazwa scalak jest nazwa potoczna, jesli mamy stosowac scisle
techniczne terminy, lepiej uzywac nazwy "uklad scalony".
Piszac "hybrydowy", mialem na mysli najczesciej stosowana definicje,
nie majaca zwiazku z cyfrowoscia lub nie ukladu, a raczej z jego
niemonolitycznoscia.
> Oczywiscie, jako
> komputerowcy, najczesciej spotykamy sie ze
> ukladami cyfrowymi. Ale utozsamianie pojecia
> "scalak" =wylacznie= z krzemowa struktura cyfrowa
> to chyba troche za silne ograniczenie.
Owszem, dlatego tez tak nigdy nie napisalem. Napisalem "zwykle krzemowy",
bo zwykle (> 99%) jest wlasnie krzemowy, ale zdazaja sie takze uklady
oparte o np. arsenek galu. O cyfrowosci nie pisalem w ogole, poniewaz
oczywiste jest, ze "scalaki" moga byc takze analogowe i analogowo-cyfrowe.
--
Krzysztof Halasa
Network Administrator
-
24. Data: 2002-02-12 15:34:38
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: "Syriusz" <s...@i...net.pl>
> >nie majac samej karty w garsci nawet znajac PIN!..
> >
> skiming. Po prostu zrobili kopie karty. Ale jesli to byla kredytowa i
> nie byla nigdy uzywana z PINem (tak jak tutaj wieskszoc ludzi wogole
> nie zna swojego PINu od kredytowki) to bardzo dziwne.
> Pewnoie jednak zdarzylo sie tej osobie wyplacac z pechowego bankomatu.
Albo ktos podsluchal jej rozmowe telefoniczna przy aktywacji karty. Takie
procedury (oczywiscie aktywacji, a nie podsluchiwania) ma chociazby
Citibank. Po otrzymaniu nieaktywnej karty nalezy zadzwonic na infolinie i
wstukac wymyslony przez siebie PIN do karty. Wystarczy taka rozmowe
podsluchac prostym urzadzeniem - http://republika.pl/dtmf2/1odbdtmf.htm - do
detekcji tonów DTMF (jakby ktos nie wiedzial: takie "piszczenie" w sluchawce
po wcisnieciu klawisza w trakcie rozmowy). Nastepnie przy "okazji"
zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line i
zadluzyc pechowca na drobne 100 000. I niech sie martwi - przeciez Klient
odpowiada za transakcje z uzyciem PIN'u.
Tak przy okazji - przy aktywacji mojej karty, gdy zapytalem o bezpieczenstwo
wstukiwania PIN'u przez telefon to Pani z infolinii powiedziala: "nie ma
takiej mozliwosci". A ja twierdze, ze jest i co wy na to?
Pozdrawiam
Tomek
PS
Co do zabezpieczen laczy telefonicznych (a raczej ich braku), mam nadzieje,
ze nie musze nikogo przekonywac.
-
25. Data: 2002-02-12 20:58:26
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: Wojtek Frabinski <w...@a...net.pl>
On Tue, 12 Feb 2002 16:34:38 +0100, "Syriusz" <s...@i...net.pl>
wrote:
Nastepnie przy "okazji"
>zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line
^^^^^^^^
To mozna dluuugo szkuac :-)
--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/
-
26. Data: 2002-02-12 22:12:46
Temat: Re: Kradziez z karty - jak to sie stalo?
Od: Krzysztof Halasa <k...@d...pm.waw.pl>
"Syriusz" <s...@i...net.pl> writes:
> Albo ktos podsluchal jej rozmowe telefoniczna przy aktywacji karty. Takie
> procedury (oczywiscie aktywacji, a nie podsluchiwania) ma chociazby
> Citibank. Po otrzymaniu nieaktywnej karty nalezy zadzwonic na infolinie i
> wstukac wymyslony przez siebie PIN do karty. Wystarczy taka rozmowe
> podsluchac prostym urzadzeniem - http://republika.pl/dtmf2/1odbdtmf.htm - do
> detekcji tonów DTMF (jakby ktos nie wiedzial: takie "piszczenie" w sluchawce
> po wcisnieciu klawisza w trakcie rozmowy). Nastepnie przy "okazji"
> zeskanowac karte - zrobic pare kopii, poszukac bankomatów OFF-line i
> zadluzyc pechowca na drobne 100 000. I niech sie martwi - przeciez Klient
> odpowiada za transakcje z uzyciem PIN'u.
Tak na marginesie ostatniej dyskusji o offlinowych bankomatach
- nie da sie tego tu zrobic, bankomat obslugujac karte Citi musi
byc online.
--
Krzysztof Halasa
Network Administrator