Krzysztof Halasa wrote:
> Bartol Partol <bartolpartol@gazeta.> writes:
>
>> Ale OK. Jesli chodzi o karty bedace gdzies pomiedzy
>> prymitywna portmonetka, a kartami autoryzowanymi zewnetrznie.
>
> Nie wiem co to sa "karty autoryzowane zewnetrznie".

Przez CA.

>> I co
>> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez
>> to kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
>> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.
>
> Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
> 10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
> komputera).

Pod warunkiem ze karta np dopuszcza jedno zapytanie o poprawnosc PIN'u na jakis
czas. Jestes adminem (jesli dobrze kojarze) to wiesz jak to sie robi np. przy
telnecie. Dosc mocno to ogranicza ataki metoda slownikowa.

--

K.

do góry

"K." <k...@w...pl> writes:

>>> I co
>>> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez
>>> to kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
>>> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.
>>
>> Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
>> 10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
>> komputera).
>
> Pod warunkiem ze karta np dopuszcza jedno zapytanie o poprawnosc PIN'u na
> jakis
> czas. Jestes adminem (jesli dobrze kojarze) to wiesz jak to sie robi np. przy
> telnecie. Dosc mocno to ogranicza ataki metoda slownikowa.

1. Przy telnecie to sie nic nie robi, a w kazdym razie zadnych hasel sie
nie przesyla (z poprawka na niektore dziwne urzadzenia, do ktorych nie da
sie inaczej).

2. To i tak nie ma nic do rzeczy, gdyz porownywales PIN clear-text
oraz w formie zakodowanej. Domyslam sie, ze to nie user ma wprowadzac
PIN w formie zakodowanej z klawiatury, a raczej karta ma go miec
w srodku w takiej formie. W tym przypadku ilosc mozliwych prob nie robi
najmniejszej roznicy, gdyz:
- jesli znamy (np. zakodowany) PIN - umiemy go odczytac z karty itp.
- to mozemy go sobie zlamac na wlasnym komputerze, nie musi tego robic
karta, a wiec zrobimy to szybko i nic nam nie ogranicza liczby prob,
- jesli go nie znamy (w sensie: nie umiemy odczytac karty), to sposob
przechowywania PINu nie ma zadnego znaczenia, bo na zewnatrz to i tak
wyglada jednakowo.
--
Krzysztof Halasa, B*FH

do góry

Krzysztof Halasa wrote:
> "K." <k...@w...pl> writes:
>
>> Pod warunkiem ze karta np dopuszcza jedno zapytanie o poprawnosc
>> PIN'u na jakis
>> czas. Jestes adminem (jesli dobrze kojarze) to wiesz jak to sie robi
>> np. przy telnecie. Dosc mocno to ogranicza ataki metoda slownikowa.
>
> 1. Przy telnecie to sie nic nie robi, a w kazdym razie zadnych hasel
> sie nie przesyla

A to sorry - ale skad system do którego sie laczysz ma wiedziec ze Ty to Ty ?
Telepatia. No chyba ze chcesz mi mówic o ssh i uwierzytelnianiu przy pomocy
kluczy.

> 2. To i tak nie ma nic do rzeczy, gdyz porownywales PIN clear-text
[ciach - nieelegancko bo w srodku wypowiedzi]
> na zewnatrz to i tak wyglada jednakowo.

przypomne poczatek

>>>> I co
>>>> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez
>>>> to kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
>>>> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.

i Twoja odpowiedz:

>>> Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
>>> 10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
>>> komputera).

Wydawalo mi sie ze nie rozrózniales sytuacji w której karta zwraca PIN od
sytuacji w której karta tylko informuje (na zadanie autoryzacji PIN + kwota +
moze timestamp) - moge autoryzowac, nie moge autoryzowac i ew. autoryzacja tylko
przez CA. W tym drugim przypadku mozna ograniczyc ilosc prób na jednostke czasu.

--

K.

do góry

"K." <k...@w...pl> writes:

> A to sorry - ale skad system do którego sie laczysz ma wiedziec ze Ty to Ty ?
> Telepatia. No chyba ze chcesz mi mówic o ssh i uwierzytelnianiu przy pomocy
> kluczy.

O popatrz. Nie musza byc nawet klucze, wystarczy haslo w zaszyfrowanym
strumieniu.

> Wydawalo mi sie ze nie rozrózniales sytuacji w której karta zwraca PIN od
> sytuacji w której karta tylko informuje (na zadanie autoryzacji PIN + kwota +
> moze timestamp) - moge autoryzowac, nie moge autoryzowac i ew. autoryzacja
> tylko
> przez CA. W tym drugim przypadku mozna ograniczyc ilosc prób na jednostke
> czasu.

Masz racje - wydawalo Ci sie :-)

Przytaczam interesujacy nas fragment:

> A CA to pies? Ale OK. Jesli chodzi o karty bedace gdzies pomiedzy
> prymitywna portmonetka, a kartami autoryzowanymi zewnetrznie. I co
> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez to
> kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany. To
> tak a propos analogii, o ktorej bylo dalej.

Nikt nie mowi o zwracaniu PINu (czy jakichkolwiek tego typu danych)
na zewnatrz karty, a tylko o formie przechowywania PINu na karcie.
To ostatnie (z dokladnoscia do sensownych mozliwosci) nie ma
specjalnego znaczenia.

Naturalnie nie twierdze, ze PIN koniecznie jest w clear-tekscie.
Moze to byc nawet tak trywialne jak matryca XOR przy dostepach do
pamieci karty. Ale to sie wszystko odbywa w srodku, na zewnatrz tego
nie widac.
--
Krzysztof Halasa, B*FH

do góry

Użytkownik Bartol Partol <bartolpartol@gazeta.> w wiadomości do grup
dyskusyjnych napisał:bplkb2$oug$...@i...gazeta.pl...
| Użytkownik Krzysztof Halasa napisał:
|
| >>Jesli chodzi o karty-portmonetki, to byc moze sie da, bo autoryzacja
| >>odbywa sie calkowicie wg danych z karty. Jesli chodzi o karty bardziej
| >>zaawansowane (autoryzacja wymaga kontaktu z serwerem), to nie wierze
| >>by byl na niej PIN w jakiejkolwiek postaci.
| >
| > Stopien zaawansowania karty nie ma zupelnie nic wspolnego z tym, czy
| > traksakcja wymaga autoryzacji banku czy tez nie.
|
| Eeeee, po co wypuszczac karte z zaawansowanym procesorem do placenia za
| gazete bez autoryzacji?
|
Właśnie po to aby nie było autoryzacji a było bezpiecznie :)


| > Praktycznie wszystkie karty procesorowe (wlasciwie mikrokomputerowe)
| > maja PIN zapisany w srodku.
|
| A po cholere?
J.W. aby nie było autoryzacji w Centrum.
Karty pamięciowe też mają.

Tomasz

do góry