Dnia Thu, 16 Jun 2005 07:20:28 +0000 (UTC), Kamil Jonca napisał(a):
> Dnia Thu, 16 Jun 2005 06:44:35 +0000 (UTC),
> osoba podpisana: Jacek Osiecki <j...@c...pl>
> napisała:
>> Dnia Wed, 15 Jun 2005 23:08:37 +0200, Kamil Jońca napisał(a):
> [...]
>> Ale to że token ma wszyty DES i "tajny klucz" - już trochę mówi.
> No tak ale nie wiemy jak jest weryfikowana odpowiedź tokena.

> [...]

>> Otóż mówi tyle, że generalnie to żaden pracownik banku nie musi mieć
>> możliwości dostępu do kodu przypisanego klientowi - wszystko odbywa się

> A gdzie to wyczytałeś ? Moze tak jest ale wcale nie musi.
> Jeszcze raz: Jeśli bank u siebie "symuluje" token i sprawdza porównuje
> wynik swojej symulacji z tym co dostał od klienta, to mamy dziurę.
> Jeżeli "tylko" weryfikuje (trochę tak jak z kluczem publiczbny-prywatny)
> to nawet tu dziury nie ma i mamy rozwiązanie idealne :-)

Nie bardzo rozumiem gdzie tu widzisz rozróżnienie... Sprawa jset prosta:
ponieważ mamy tu DES, to nie jest to algorytm asymetryczny. Czyli - bank ma
możliwość sfałszowania naszego podpisu. Przed czymś takim zabezpieczy TYLKO
szyfr asymetryczny, w dodatku generowany u klienta a nie w banku.

> [...]

>> Większe bezpieczeństwo by było, gdybyśmy w takim tokenie mieli algorytm
>> niesymetryczny i bank by posiadał tylko klucz publiczny. Tylko że... i tak
>> przecież bank będzie generował tę parę kluczy :)
> W tokenie ? Wątpię.

Myślisz że klucze generuje producent? Tak czy siak - ktoś może mieć do tego
dostęp ;)
Jedynie gdybyśmy generowali klucz u siebie, możemy być pewni że nikt nie
wciśnie nam że dana transakcja była zrobiona przez nas a nie przez bank...
Inna sprawa, że bank może np. stwierdzić: "oho, pięknie - ktoś od nas
sfałszował dane, kradnie pieniądze klientów, trzeba to zataić" i po prostu
iść w zaparte że wszystko jest podpisane jak należy...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004