Re: BPH - czy warto ? - Grupy dyskusyjne w eGospodarka.pl

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.astercity.net!news.aster.pl!not
-for-mail
From: Kamil Jonca <k...@p...onet.pl>
Newsgroups: pl.biznes.banki
Subject: Re: BPH - czy warto ?
Date: Thu, 16 Jun 2005 07:20:28 +0000 (UTC)
Organization: A poorly-installed InterNetNews site
Message-ID: <s...@k...kjonca.bogus>
References: <d8288l$im8$1@news.dialog.net.pl> <s...@p...ani>
<42a5b12c$1@news.home.net.pl> <d87er7$i61$1@nemesis.news.tpi.pl>
<d87g2l$2fa$1@inews.gazeta.pl> <d87p49$qs2$2@nemesis.news.tpi.pl>
<d87pk1$jgl$1@inews.gazeta.pl> <d87ru7$oms$1@nemesis.news.tpi.pl>
<d87s60$s9c$1@inews.gazeta.pl> <d88qah$fjj$2@news.dialog.net.pl>
<d88vvd$mtf$1@inews.gazeta.pl> <d8906i$ec2$4@news.dialog.net.pl>
<d890sv$qod$1@inews.gazeta.pl> <d892t4$ji4$1@news.dialog.net.pl>
<b...@4...com>
<d8a5kg$fi5$1@news.dialog.net.pl> <s...@p...ani>
<d...@b...kjonca.bogus> <s...@j...home>
<s...@k...kjonca.bogus>
<s...@p...ani> <d...@b...kjonca.bogus>
<s...@j...home> <d...@b...kjonca.bogus>
<s...@p...ani>
Reply-To: k...@p...onet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Geek: GIT d s+:- a-- C++ UL P+ L++ E W N+ w- PS+ PE++ PGP t-- X-- R- tv- b+ D+ G e
h-- r- z?
User-Agent: slrn/0.9.8.1 (Debian)
Lines: 31
NNTP-Posting-Date: 16 Jun 2005 07:17:26 GMT
NNTP-Posting-Host: 82.210.185.235
X-Trace: 1118906246 mamut2.aster.pl 2126 82.210.185.235:3924
Xref: news-archive.icm.edu.pl pl.biznes.banki:353054
[ ukryj nagłówki ]
Dnia Thu, 16 Jun 2005 06:44:35 +0000 (UTC),
osoba podpisana: Jacek Osiecki <j...@c...pl>
napisała:
> Dnia Wed, 15 Jun 2005 23:08:37 +0200, Kamil Jońca napisał(a):
[...]
> Ale to że token ma wszyty DES i "tajny klucz" - już trochę mówi.
>
No tak ale nie wiemy jak jest weryfikowana odpowiedź tokena.
[...]
>
> Otóż mówi tyle, że generalnie to żaden pracownik banku nie musi mieć
> możliwości dostępu do kodu przypisanego klientowi - wszystko odbywa się
A gdzie to wyczytałeś ? Moze tak jest ale wcale nie musi.
Jeszcze raz: Jeśli bank u siebie "symuluje" token i sprawdza porównuje
wynik swojej symulacji z tym co dostał od klienta, to mamy dziurę.
Jeżeli "tylko" weryfikuje (trochę tak jak z kluczem publiczbny-prywatny)
to nawet tu dziury nie ma i mamy rozwiązanie idealne :-)

[...]
> Większe bezpieczeństwo by było, gdybyśmy w takim tokenie mieli algorytm
O to,to. I
> niesymetryczny i bank by posiadał tylko klucz publiczny. Tylko że... i tak
> przecież bank będzie generował tę parę kluczy :)
W tokenie ? Wątpię.
KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/aster.xhtml#f4y
People who make no mistakes do not usually make anything.