On Thu, 23 Mar 2023 19:02:49 +0100, Krzysztof Halasa wrote:
> Dawid Rutkowski <d...@w...pl> writes:
>> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.
>
> Oczywiście każdy bank może to robić inaczej, ale generalnie CVC2,
> podobnie jak wszelkie inne tego typu kody, powinny być po prostu
> losowane.
> Teoretycznie można np. tajnym kluczem zaszyfrować numer karty i datę
> ważności, i część wyniku potraktować jako CVC2 - nie powinno się tego
> jednak robić, ponieważ istnienie takiego klucza jest bardziej
> niebezpieczne niż wersji z losowanymi kodami:
> - np. pracownik banku z odpowiednimi uprawnieniami może go ukraść (całą
> bazę kart wraz z kodami nieco trudniej jednak ukraść, nie wystarczy do
> tego kartka i długopis)

pendrive mniejszy od kartki i długopisu.
Ale film Firewall pamietasz? Mozna i bez USB :-)

> - po "kompromitacji" klucza musimy unieważnić wszystkie karty, które
> z niego korzystały - oznacza to konieczność częstej zmiany klucza
> (np. codziennej), pamiętania wszystkich kluczy "dziennych", itd.

System był w miare bezpieczny i bez tych kluczy.
Moze wcale nie tak łatwo oszukac ...

> - zaletą takiego klucza mogłaby być możliwość trzymania go w bezpiecznej
> czarnej skrzynce (a la Trusted Platform Module). Aczkolwiek
> szyfrowanie całej bazy danych (wszystkich dostępów) przez taką czarną
> skrzynkę rozwiązuje więcej problemów (jest jednak trudniejsze
> sprzętowo).
>
> Oczywiście "tajny algorytm" w literalnym rozumieniu nie wchodzi
> w rachubę - nie istnieją algorytmy wystarczająco tajne.

No - na początku sa tajne.
A kiedys przestają ... albo i nie ...

Tylko jak ma byc mnogość kluczy - bo okresowo zmieniane, i kazdy bank
ma swoje - to czemu nie zrobic od razu losowych?

P.S. Paszporty z chipem - jest to jakos zabezpieczone?
Odczytac sie daje bez hackerki.
Ale jakąs weryfikację prawdziwości bym dał ... i co - każdy kraj co
roku klucz zmienia i część jawną publikuje?



J.