-
Data: 2016-03-22 08:43:43
Temat: Re: Ciekawe orzeczenie - bank ma oddać kasę
Od: Rafal Jankowski <j...@o...wsisiz.edu.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On Tue, 22 Mar 2016, Krzysztof Halasa wrote:
> Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:
>
>> "Bank wysyła urządzenie do klienta z już wygenerowanym kluczem
>> prywatnym (którego nigdy nie opuszcza scalaka), sobie zostawia
>> publiczny. Wszystkie operacje są podpisywane (w urządzeniu) przez
>> klucz prywatny. Aplikacja bamnkowa jest podpisana żeby było wiadomo,
>> że żaden malware nie prosi o podpis."
>>
>> To jeden z możliwych scenariuszy. Wyśmiałeś go i OK, ale sam nie
>> podałeś lepszego.
>
> Nie jest najlepszy, bo zawsze można wtedy bankowi zarzucić, że sam sobie
> podpisał zlecenie. Jeśli już się w ogóle bawimy w kryptografię
> asymetryczną, to klucz prywatny powinien być generowany w tokenie,
> a bank dostawałby tylko część publiczną, w obecności klienta.
>
> Ale to trudniejsze w użyciu niż wersja z challenge & response.
Zakładamy, że transakcja została podpisana kluczem z TPMa, który go nie
opuścił, więc tak czy inaczej musiałby ją podpisać użytkownik jedynie na
podstawie tego co wyświetla mu aplikacja (też podpisana). Wówczas
teoretycznie można zweryfikować czy taka aplikacja mogła wyświetlić
userowi coś innego a co innego podpisać. Może jeszcze coś przeoczyłem. To
oczywiście nie jest takie proste ale to najlepszy scenarusz który w danej
chwili przyszedł mi do głowy i (zwróć uwagę) to w dodatku nie jako
kandydadat do wdrożenia tylko punkt wyścia do mojej uwagi że sam TPM nie
jest rozwiązaniem problemu nieautoryzowanych transakcji. Problem w tym, że
mój przedpiśca mnie wyśmiał, a sam poza zapodaniem hasła TPM nic lepszego
w sumie nie zaproponował.
Następne wpisy z tego wątku
- 22.03.16 08:46 Rafal Jankowski
- 22.03.16 09:18 Rafal Jankowski
- 22.03.16 10:10 Piotr Gałka
- 22.03.16 11:12 Marek
- 22.03.16 14:17 Kris
- 22.03.16 14:41 Piotr Gałka
- 22.03.16 17:06 Kris
- 22.03.16 17:26 Krzysztof Halasa
- 22.03.16 17:32 Krzysztof Halasa
- 22.03.16 17:33 Krzysztof Halasa
- 22.03.16 17:46 Kamil Jońca
- 22.03.16 19:24 Rafal Jankowski
- 23.03.16 00:26 MarcinF
- 23.03.16 00:40 MarcinF
- 23.03.16 08:14 Rafal Jankowski
Najnowsze wątki z tej grupy
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
Najnowsze wątki
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...