To jest odpowiedz na kolejny post. Coś TPI nie chce mi przyjąć odpowiedz na
crosspost. Nie mam czasu, by dochodzić niuanse serwera tpi, więc próbuję tą
droga.

"Marcin Cenkier" <m...@p...fm> wrote in message
news:3CF10D03.2030506@poczta.fm...
>
> Vizvary II Istvan wrote:
> >> Oki. Odrobiłem zadanie domowe - do karty można _także_ się
> >> połączyć kodowanym kanałem transmisyjnym w trybie exclusive.
> [...]
> > Opieranie bezpieczeństwa na tym raczej bedzie zawodne (trojan po
> > zakończeniu operacji dokonanej w trybie wyłacznym i zwolnieniu
> > karty przez aplikacje) tez sobie zarezerwuje kartę w trybie
> > dowolnym.
>
> W jaki to niby sposób?

Po prostu. Twoja aplikacja zwolni, inna sobie weżmie. Tak to juz jest. Chyba
, że nie zwolnisz. To nie wezmie.

>Abstrachuję od podsluchiwania klawiatury (bo tego
> sie nie da na razie uniknać) - podczas ustanowienia bezpiecznego i
> wyłącznego kanału komunikacyjnego z kartą, mamy do czynienia z sytuacją
> jak w przypadku https - nie jest możliwe śledzenie komunikacji gdzieś
> pomiędzy aplikacją a kartą ani nie jest możliwe "wskoczenie" pomiędzy
> transakcjami i wykonanie jakiegoś evil code'u.
>
> > Dalej może sobie wykonywać dowolne operacje niskopoziomowe czy tez
> > działać przez CAPI . Możesz teraz zaproponować z kolei, by kartę
> > włozyć wtedy gdy aplikacja rząda, aplikacja rezerwuje i nigdy nie
> > zwalnia aż do wyjecia, byłoby to przyporzadkowanie karty do
> > pojedynczych aplikacji i istotne ograniczenie funkcjonalnosci.
>
> Po zakończeniu operacji na karcie można zamknąć kanał komunikacyjny.
> Podejrzewam, że można tak skonfigurować kartę, żeby była dostępna
> _tylko_ w trybie exclusive. _Przy_założeniu_że_trojan_nie_zna_PINu,
> karta jest bezpieczna.

Tu jest duzo różnych mozliwości, jesli chodzi o kartę. Zresztą są one
wykorzystane w znikomym stopniu. Ja sobie zrobiłem kartę z hasłami
jednorazowymi lub DES-em z telefonu komórkowego, która (aplikacja w karcie)
na dodatek opcjonalnie potrzebował cały dokument a nie tylko skrót.
.....Mozna robic rózne rzeczy...

> >> Ja byłbym bardzo zainteresowany, jeśli się zgodzisz to omówiłbym
> >> tę sprawę mailem na priva.
> >
> > Chetnie. Generalnie cały ten wątek jest zbyt technologiczny i
> > należałoby prznieść w dużej mierze na priv.
>
> Myślisz? Ja tych informacji szukałem jak głupi w archiowach grup
> dyskusyjnych i dość mizerne były tego rezultaty (ale nie żadne), i tak
> sobie myślę, że mimo że obecnie nikt pewnie poza nami nie czyta tego
> wątku (może jednak się mylę?), to może się to komuś kiedyś w przyszłości
> przydać... A jako, że nie ma grupy pl.technologia.kartychipowe, to może
> ta grupa jest tak samo dobra jak każda inna? Proponuję follow up to
> pl.comp.security, zgodzisz się? Na razie robie crosspost.
>
> A swoją drogą, zauważyłem, że boom zainteresowanie technologią JavaCard
> był jakieś 2 lata temu - czy ta technologia czasami nie wymiera? A może
> po prostu już nie jest reklamowana, bo toczy się już własnym pędem
> (efekt domina)?

Tak jest. W zasadzie jest to najbardziej dynamiczny segment rynku SC. w 2001
56% wzrostu (ponad 110 mln kart) mimo spadku na GSM o jakies 11% (chociaż
nie wiem ile kart GSM było w technologii Java

> Z tego co obserwowałem na różnych witrynach internetowych producentów
> kart i czytników, to JavaCard jest nadal supportowana. Tylko nie mogę do
> końca dojść jak się ma JavaCard do OpenFramework. Czy to jest to samo?

JacaCard to specyfikacja karty wedle Sun. Obecnie karty są dostepne wedle
specyfikacji 2.1.2, zapowiadana jest specyfikacja 2.2. Karty wedle 2.1.2
istnieja w wersji kompatybilnej z OpenPlatform (obecnie Global Platform)
VISA. OpenCard Framework to z kolei grupa robocza, która pracuje
(pracowała?) nad standardem komunikacji PC-karta w postaci rozbudowanych
klas Java. Powstała z inicjatywy Sun i IBM rok po tym, jak razem z MS
utworzyły wspólną grupę robocza PC/SC. OpenCard Framework jesienia ubiegłego
roku zakończyła działalność (niczym). Podejrzewam, że dlatego, że działała i
tak tylko na platformie Microsoftu.

[...]
> > Jak juz wczesniej wspomniałem wielodostep nie jest warunkiem ataku.
> > Ja tu raczej wceluję w brak jakiejkolwiek sygnalizacji tego, że na
> > kacie cos się dzieje.
>
> Przy moich powyższych założeniach chyba jednak wielodostęp jest
> niezbędną dziurą, przy rodzaju ataku, jaki opisywałeś. Z tego co wiem
> bezpieczny kanał komunikacyjny jest możliwy do ustanowienia, są do tego
> odpowiednie api.

Jest API w karcie i możesz w PC robic dowolna rzecz z karta więc taka
komunikacja jest mozliwa. Ale bezpieczny kanał miedzy czym a czym?
Między aplikacja w stacji lokalnej a kartą ?
Czy między hostem gdzieś na serwerze a karta ?
To drugie raczej mi sie nie podoba. Serwer z karta sobie cos uzgadniaja, a
odpowiedzialność jest moja, bo to co sobie wymyslą to mój podpis?
To pierwsze z kolei .. nie wiem. Mi się wydaje , że rozwiazaniem jest
podwyzszenie bezpieczeństwa stacji roboczej, a w publicznych PCtach
(POSach?) kompleksowa obsługa dokumentu i autoryzacja w obrebie
samodzielnego urzadzenia.
Ja bym inaczej ujął, bardziej ogólnie. Inteligencja kart zapewnia różne
mozliwości, by wyeliminować niektóre grożne w skutkach mankamenty obecnych
rozwiązań. Tyle, że jesli zakładamy, że znowu wygoda bedzie wazniejsza niż
bezpieczeństwo, to za chwilę wróci stare.


[...] (patrz wymienianie się
> > przez dwóch prezydentów KARTAMI !!!! po podpisaniu w miejscu publicznym
> > jakiegoś tam aktu).
>
> Hę? To ma niby być gest _zamiast_ wymieniania się teczkami?!?

Nie. Tak jak sie kiedys piórami sie wymieniali.

> > Przepisy wykonawcze dopiero mają niektóre
> > sprawy sprecyzować. Na razie na to wygląda (sądząc po wykładzie p.
> > Popisa na Enigmie), że polskie przepisy (tak jak zresztą ine na
świecie)
> > traktują komputer osobisty jako środowisko w założeniach bezpieczne.
>
> Poza tym wszelkiego rodzaju czytniki będą musiały dostać jakiś
> certyfikat z UOP'u stwierdzający zdatność urządzenia do wykorzystania
> przy bezpiecznym podpisie. Tak więc może się zdarzyć zapewne, że
> wtykając swoją kartę do czytnika przy swoim komputerze będę łamał prawo
> :( (bo przez ustawę będę zobligowany do dbania o to, żeby podpisywać
> bezpiecznie i tylko to, co zamierzam).

To wszystko nie jest takie jednoznaczne. Jesli chodzi o sam czytnik, nie
wiem w jakim stopniu orientujesz się co robi taki czytnik? W najprosztszej
wersji (są takie czytniki) są to dwie diody i dwie bramki logiczne
podłaczone do portu szeregowego. I działaja. Inteligencja czytników (nawet
tych bardziej skomplikowanych) przypomina inteligencje kabla do drukarki.
Ani nie interpretują, ani nie zmieniają ani nawet nie śledzą danych, które
przez nich przechodzą. Certyfikacja więc powinno ograniczyć się do tego, by
stwierdzić że dany czytnik na prawdę nic nie robi. Podejrzewam, że przepisy
zaprzestana na oświadczeniu producenta lub importera. (Akurat my jestesmy w
takiej komfortowej sytuacji, że możemy udostepnić żródła i driverów i
mikrokontrolera czytnika, a mimo tego uważam za bezsensowne certyfikacje
czytników z przyczyn które uprzednio wymieniłem). Oczywiście co innego
dopuszczania danego urzadzenia do obsługi (szyfrowania) dokumentów
państwowych poufnych, tajnych w rozumieniu odpowiedniej ustawy.
Z kolei czytnik współpracuje w warstwie systemu operacyjnego i aplikacji
wieloma serwisami, które juz rzeczywiście informacje przetwarzają, a
certyfikowane nie będą.
Co zaś do tego, że jesteś obligowany by podpisać za pomoca bezpiecznego
urzadzenia - na podstawie dokumentu nie sposób stwierdzić czym podpisałesz.
Domyslnie podpisujesz sie za pomoca urzadzenia bezpiecznego.
Ja mam taki ulubiony przykład. Podpisuje za pomoca PC na Linuxie pozbawionek
wirusów i odłączonej od sieci. Czy jest dziś cos bardziej bezpiecznego ?
Chyba nie ma. Certyfikuje mi ktoś ? Kto ?
Nie jest to wszystko dla mnie jasne.

> >Gorzej, że na tej samej
> > konferencji okazało sie, że są rozbieżne zdania w środowisku co
> > nalezy rozumieć pod takimi pojęciami jak "dokument elektroniczny"
> > (bo to nie to samo jak wszelkie dane elektroniczne, ale wobec tego
> > CO to jest ?) albo co oznacza słowo "weyfikowany" w tym zdaniu KC, w
> > którym zrówna się co do skutków prawnych podpis elektroniczny i
> > odreczny. Jakby nie mozna było zapytac tych, co to zdanie wpisali
> > :-))
>
> Ci kochani prawnicy... ogólnie myślę, że można by przyjąć dość szeroką
> definicję dokumentu - jako DANYCH (w odróżnieniu od PROGRAMU).

A ja mysle , że sprawa nie jest taka jednoznaczna. Program tez mozna
podpisać (nawet wypada czasami). Czy przestał byc programem ?
Czy wszystko może byc podpisane? Zapewnie może. Ale czy sąd ma umieć
nastepnie wszystko zinterpretować? Czy jednak wtedy, gdy dany system ma
działac w oparciu o ustawy o podpisie cyfrowym, nie należałoby przynajmniej
zastrzec, że dane podpisane musz a mieć jednoznaczą wizualna postać, która
ma byc zaprezentowana przed podpisaniem? Więc dane od dokumentu jednak
rózniłyby sie w jakis sposób. Tez nie do końca jest dla mnie jasne.
Pozostanie czekać na przepisy wykonawcze.


Vizvary Istvan