"tp" <t...@d...net> writes:

> Na karcie moze byc zakodowana pewnego rodzaju
> "suma kontrolna" zmiksowana z danych karty i
> wlasciwego PINu.

Slyszalem, ze _kiedys_ _podobno_ cos takiego bylo, ale szczegolow nie znam.

> Przy transakcji off-line po wklepaniu PINu przez klienta
> bankomat ponownie "miksuje" dane z karty z PINem
> wklepanym wlasnie przez klienta, i jesli w wyniku
> otrzymuje to samo co jest wpisane w polu "suma kontrolna"
> danej karty, to znaczy, ze wklepany PIN jest OK.
>
> Oczywiscie w tym celu bankomat musi znac algorytm
> "miksowania" zastosowany przy kodowaniu karty,
> co w praktyce oznacza, ze transakcje off-line bywaja
> przeprowadzane tylko dla kart wydanych przez ten sam
> bank, ktory jest operatorem danego bankomatu.
>
> BTW, dzieki takiemu podejsciu:
> - na karcie nie ma "czystego" PINu

Co niewiele zmienia.

> - do "miksowania" mozna uzywac algorytmow
> jednokierunkowych (nieodwracalnych) - czyli
> nawet po zczytaniu tej "sumy kontrolnej" z karty
> nadal nie da sie wyliczyc PINu - bo =jednoznaczne
> przeksztalcenie odwrotne= do danego "miksowania"
> po prostu nie istnieje.

Niestety tak nie jest. Mogloby tak byc dla duzej przestrzeni PINow
(rzedu np. 2^100), ale przy 10 tys. mozliwych PINow (4-cyfrowych)
- czyli ok. 2^13 - znalezienie PINu, ktory bedzie dawal odpowiedni
wynik jest trywialne, przy uzyciu "brutalnej sily" - sprawdzajac
po prostu kazdy PIN po kolei.

To mniej-wiecej podobny problem jak CitiDirect + 4-cyfrowe PINy.

Szczerze mowiac mocno watpie, czy jakiekolwiek wydawane wspolczesnie
karty maja cokolwiek zwiazanego z PINem zapisanego na karcie. To, ze
wiekszosc nie ma, to jest pewne - np. nie daloby sie wtedy zmienic
PINu w bankomacie (bankomaty nic na kartach nie zapisuja, glownie po
to, by nie zniszczyc w ogole zapisu).
--
Krzysztof Halasa
Network Administrator