witek <w...@g...pl.invalid> writes:

>> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
>> ciebie w bankomacie czy sklepie sie zgadza?
>
> do tego pin mu nie jest potrzebny.

Potrzebne jest coś, co pozwoli na jego sprawdzenie. Nawet 6 cyfr to dla
zwykłego komputerka czas grubo poniżej sekundy.

Jakąś możliwością jest taka, w której sprawdzenie każdej kombinacji
byłoby bardzo kosztowne obliczeniowo. Wtedy oczywiście atak na
pojedynczą kartę wciąż byłby możliwy (i łatwy - komputery w banku nie
mogą być nieograniczone), ale już atak na np. wszystkie karty byłby
nieopłacalny. Tyle że to nie rozwiązuje żadnego praktycznego problemu.

>> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
>> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
>> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
>> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
>
> jeszcze musisz wiedziec jak zaszyfrowanej.
>
> zapisz sie na jakis kurs kryptografii.

Przecież ma rację, no może poza tym, że to aż tak długo nie trwa.

Nie myślisz też chyba że łatwiej ukryć algorytm niż bazę PINów?
BTW zawartość bazy wygeneruje (z dużym prawdopodobieństwem) w sposób
sensowny bezduszny prosty program typu cat /dev/random. Zrób to samo
z algorytmem, i nie zdziw się później, gdy okaże się trywialnie łamalny.
BTW znakomita większość "autorskich" algorytmów szyfrujących jest
trywialnie łamalna, nawet jeśli teoretyczne założenia umożliwiają
napisanie dobrego algorytmu (tu tego nie mamy).

W tej chwili praktycznie dowolne algorytmy tego typu operujące na
powiedzmy 48-bitowych kluczach są łatwe do złamania nawet amatorskimi
sposobami. 4-cyfrowy PIN to jest tylko (prawie) 14 bitów, w kontekście
kryptografii to nawet nie jest śmieszne.
--
Krzysztof Halasa