Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:

>> Zakładamy, że bankowi możemy jednak ufać.
>
> No ale to założenie nie jest niezbędne. Wystarczy przecież, że bank
> opublikuje kody źródłowe aplikacji i (dla uproszczenia) binarki na
> tego tokena. Wówczas klient może sobie tokena kupić w dowolnym miejscu
> i wgrać samemu a klucz publiczny dostarczyć do biura banku z dowodem
> tożsamości.

To nie wystarczy. Przede wszystkim, nie wiadomo czy potrzebujemy w ogóle
kluczy asymetrycznych. Po drugie, "wgrywanie aplikacji" do tokena (bez
jego destrukcji) nie powinno być specjalnie łatwe, gdyż w przeciwnym
razie ktoś mający przez chwilę dostęp do tokena (niekoniecznie po
stronie klienta, może to być pracownik banku) mógłby go przeprogramować.
Jasne jest chyba, że 99%+ klientów nie będzie tam nic instalować.

Podpisywanie zleceń bankowych kluczem prywatnym to oczywiście nie SF
i jest to stosowane od lat, ale raczej nie w przypadku klientów
indywidualnych (poza ew. częścią private).
--
Krzysztof Hałasa