Re: Debetówka bez pay pass - gdzie? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Debetówka bez pay pass - gdzie? › Re: Debetówka bez pay pass - gdzie?

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!news.chmurka.net!.POSTED!not-for-mail
From: Piotr Gałka <p...@c...pl>
Newsgroups: pl.biznes.banki
Subject: Re: Debetówka bez pay pass - gdzie?
Date: Fri, 31 May 2013 13:06:08 +0200
Organization: news.chmurka.net
Lines: 55
Message-ID: <koa075$jt7$1@somewhere.invalid>
References: <iythceork3gx$.1uzlhv0kpgoiq$.dlg@40tude.net><05195ae2-923b-4de4-bff9-dc3
80c34cf78@googlegroups.com><s...@t...ceti.pl><m338tt92ec
.fsf@intrepid.localdomain>
<kmleh7$hoq$1@somewhere.invalid><m...@i...localdomain>
<kmq9iu$4gm$1@somewhere.invalid><m...@i...localdomain>
<kmttih$bhr$1@somewhere.invalid><m...@i...localdomain>
<kmve9f$9qd$1@somewhere.invalid><m...@i...localdomain>
<kncngp$iff$1@somewhere.invalid><m...@i...localdomain>
<kndrm5$854$1@somewhere.invalid><m...@i...localdomain>
<knhs6j$oe2$1@somewhere.invalid> <m...@i...localdomain>
NNTP-Posting-Host: 213.192.88.238
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="utf-8"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Trace: somewhere.invalid 1369998373 20391 213.192.88.238 (31 May 2013 11:06:13 GMT)
X-Complaints-To: abuse-news.(at).chmurka.net
NNTP-Posting-Date: Fri, 31 May 2013 11:06:13 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
X-Priority: 3
X-Authenticated-User: PiotrGalka
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:591660
[ ukryj nagłówki ]

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3mwrc3cv0.fsf@intrepid.localdomain...
> Piotr Gałka <p...@c...pl> writes:
>
>> W przypadku stosowania klucza publicznego w karcie nie ma chyba żadnej
>> tajemnicy.
>
> Oprócz klucza prywatnego karty, różnego w każdej karcie.
>
Znów czegoś nie rozumiem.
Jeśli klucz prywatny jest w karcie to znaczy, że klucz publiczny jest
publicznie dostępny i każdy może sobie z kartą pogadać w trybie szyfrowanym
?

>> W przypadku stosowania kodowania symetrycznego w karcie jest
>> tajemnica.
>
> Niekoniecznie, może być ale nie musi. Np. może być tak, że obie strony
> ustalają szyfrowanie losowymi kluczami. To jest podatne na atak MITM, ma
> zabezpieczać tylko przed pasywnym podsłuchem, innymi słowy możemy
> pominąć wtedy istnienie szyfrowania.

Może użyłem złego słowa. Pisząc o kodowaniu symetrycznym miałem na myśli
szyfrowanie symetryczne.
Nie wyobrażam sobie szyfrowania symetrycznego bez przechowywania klucza
(tajemnicy) w karcie.
Nie wiem o jakim szyfrowaniu losowymi kluczami piszesz. Aby się rozumieć
muszą te klucze wymienić. Jeśli w karcie na ma żadnej tajemnicy (i nie
mówimy o kluczu publicznym/prywatnym) to jawna wymiana kluczy powoduje, że w
zasadzie nie można mówić o szyfrowania (ale z kodowaniem (w sensie sposobu
zapisu informacji) faktycznie zawsze mamy do czynienia).
Nadal uważam że:
W przypadku _szyfrowania_ symetrycznego w karcie jest tajemnica.
>
> Generalnie karty bez DDA również mają dane podpisane kluczem
> asymetrycznym - tyle że tego klucza nie ma na karcie, jest tylko gotowy
> podpis, który można wykorzystać do kolejnych transakcji.

Znów czegoś tu nie rozumiem.
Czyli z tego wynika, że dla takich kart można podsłuchać podpis i potem już
się za nią dowolnie wiele razy podpisywać ?
To gdzie tu jakieś bezpieczeństwo.

> Karty z DDA za
> każdym razem generują nowy podpis, poprzedni nie pasuje.

Tak ja to (na podstawie Twoich wypowiedzi) na tę chwilę "po łebkach"
ogarniam to tylko karty DDA muszą radzić sobie z obliczeniami związanymi z
kluczami asymetrycznymi.
Ciekawe, czy te z DDA to standard, czy jakieś pojedyncze okazy w takiej
cenie, że bank wybierający dla siebie kartę wybiera tę bez DDA.
P.G.