eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiHakerzy zaatakowali mobilne aplikacje największych polskich bankówRe: Hakerzy zaatakowali mobilne aplikacje największych polskich banków
« poprzedni post
następny post »
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.nask.pl!news.nask.org.pl!.POSTED!n
    ot-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Hakerzy zaatakowali mobilne aplikacje największych polskich banków
    Date: Tue, 19 Dec 2017 17:14:06 +0100
    Organization: NASK - www.nask.pl
    Lines: 52
    Message-ID: <m...@p...waw.pl>
    References: <p0lvo8$rj9$1@news.icm.edu.pl>
    <5a2eaf75$0$655$65785112@news.neostrada.pl>
    <p0mraa$jgj$1@news.icm.edu.pl> <p0o47d$t4i$1$PiotrGalka@news.chmurka.net>
    <m...@p...waw.pl> <p11a9i$dl8$1$PiotrGalka@news.chmurka.net>
    <m...@p...waw.pl> <p132up$4a9$1$PiotrGalka@news.chmurka.net>
    NNTP-Posting-Host: nat.piap.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit
    X-Trace: pippin.nask.net.pl 1513700047 21523 195.187.100.13 (19 Dec 2017 16:14:07
    GMT)
    X-Complaints-To: abuse ATSIGN nask.pl
    NNTP-Posting-Date: Tue, 19 Dec 2017 16:14:07 +0000 (UTC)
    Cancel-Lock: sha1:bJRPCKuMbvtFsV2TaXFa7cfDzS0=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:634754
    [ ukryj nagłówki ]

    Piotr Gałka <p...@c...pl> writes:

    > Ale odezwałeś, się, gdy napisałem, że karta powinna ujawniać tylko
    > jakiś jeden adres kogoś (banku/organizacji płatniczej) z kim należy
    > się połączyć - czyli według mnie dyskusja jest poza kontekstem
    > "szybko, natychmiast".

    Musi być szybko. Tak czy owak, autoryzacje są coraz szybsze, więc może
    jedno nie wyklucza drugiego. Autoryzacje są także potrzebne ze względu
    na utracone karty itp.

    >> Chce się mieścić i mieści się. Przynajmniej w części kart.
    >
    > W stykowych, czy zbliżeniowych?

    Jednych i drugich.

    > Spośród kart, które stosujemy (do kontroli dostępu) za najbardziej
    > zaawansowane uważam DesFire - ale to jest poziom AES i CMAC.
    > Scalaczek, który liczy ECC wymaga kilkunastu mA podczas tych obliczeń.
    > Nie bardzo go sobie wyobrażam w karcie _zbliżeniowej_.

    Scalaki są coraz szybsze i jedzą coraz mniej prądu. Kwestia także jak
    długo on to ma (może) liczyć. W każdym razie karty Paywave potrafią
    robić bezstykowo kryptografię asymetryczną.

    > Mógłbyś wymienić wady kryptografii symetrycznej, których nie ma
    > asymetryczna?

    Główną zaletą kryptografii asymetrycznej jest tu możliwość potwierdzenia
    przez terminal autentyczności karty i transakcji, bez udziału banku,
    a więc także bez potrzeby zestawiania szyfrowanego kanału karta - bank.

    > Taki AES (do
    > przodu) to tylko 100 linijek kodu, a SHA256 to 65 linijek (sam kod,
    > bez deklaracji z pliku .h) - w sumie malutkie programiki.

    Jasne. Zakładam, że sprawdzasz zgodność wyników z normalnie stosowanymi
    implementacjami (spotkałem się z przypadkiem odmiennym) :-)

    > Jeśli za wadę uznać konieczność przechowywania tajnego klucza to
    > według mnie asymetryczna nie ma tu żadnej przewagi.

    Tak normalnie, jeśli mamy dwie strony (a nie bank i bank w postaci
    własnej karty, czyli praktycznie jedną stronę), to bez kryptografii
    asymetrycznej nie mamy niezaprzeczalności zlecenia operacji. Ale to
    niezupełnie ten przypadek.

    Problem z przechowywaniem to jedno, a kto ten klucz generuje (a więc ma
    do niego dostęp, choćby potencjalnie) to drugie.
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy