eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiHakerzy zaatakowali mobilne aplikacje największych polskich bankówRe: Hakerzy zaatakowali mobilne aplikacje największych polskich banków
« poprzedni post
następny post »
  • Data: 2017-12-23 01:38:33
    Temat: Re: Hakerzy zaatakowali mobilne aplikacje największych polskich banków
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Piotr Gałka <p...@c...pl> writes:

    > Jeżeli klucz publiczny organizacji jest też z karty to według mnie
    > terminal może jedynie stwierdzić, że wszystkie klucze i podpisy na
    > karcie są spójne ze sobą.

    Jasne. Klucz (klucze) organizacji - także w terminalu.

    > W krypto jak się cokolwiek pomyli to wychodzi totalna kaszana.

    Właśnie.

    > Błąd
    > był we fragmencie kodu który nie był wykonywany przy żadnym z
    > wektorów. Tego jestem pewien. Natomiast nie jestem na 100% pewien czy
    > to było w HMac.

    Dziwne jest to, że typowo nie ma takiego kodu, który nie byłby
    wykonywany przy żadnym z (np. kilku) wektorów.

    > Niedawno widziałem gdzieś informację, że jakiś scalak od lat używany
    > chyba do RSA generował średnio 50% kluczy słabych (nie wiem na czym
    > polegają słabe klucze jak mają z góry narzuconą długość, ale nie znam
    > się).

    Np. na przewidywalnym rozkładzie, albo mogą być łatwe do faktoryzacji.
    Normalnie sprawdza się klucze pod tym kątem.

    > Tylko trzeba ufać, że:
    > - jest faktycznie niszczony,
    > - jak w datasheet IC piszą, że nie ma funkcji do odczytania
    > wygenerowanego klucza prywatnego to jej faktycznie nie ma.

    Owszem, przy czym ja generalnie bym temu nie ufał, oraz znane są
    "wysokoprofilowe" przypadki, w których rzekomo niszczone klucze po
    pewnym czasie znalazły się w niewłaściwych rękach (właściwe = m.in.
    służb). Ale to wszystko kwestia wartości zabezpieczanych - jeśli
    ryzykujemy np. sumami typu setek czy tysięcy zł, to te klucze zapewne
    się nie znajdą - informacja o tym, że nie są niszczone jest cenniejsza
    (choć w gruncie rzeczy każdy powinien to założyć).

    > Tylko, że wszystkie klucze były generowane przez nich i wszystko się
    > opierało na "Ale my, jak ktoś wykupuje zestaw kart master, to
    > zapominamy o tych kluczach".

    W nieco poważniejszych zastosowaniach o takich rzeczach często nie ma
    mowy. Aczkolwiek różnie może być.

    > Był bardzo zdziwiony, że nie wykazujemy zainteresowania, bo inne firmy
    > to wzięły chociaż próbki scalaków i kart.

    Próbki zawsze można wziąć. Nawet gdyby miały leżeć na półce przez rok :-)
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy