"K." <k...@w...pl> writes:

> A to sorry - ale skad system do którego sie laczysz ma wiedziec ze Ty to Ty ?
> Telepatia. No chyba ze chcesz mi mówic o ssh i uwierzytelnianiu przy pomocy
> kluczy.

O popatrz. Nie musza byc nawet klucze, wystarczy haslo w zaszyfrowanym
strumieniu.

> Wydawalo mi sie ze nie rozrózniales sytuacji w której karta zwraca PIN od
> sytuacji w której karta tylko informuje (na zadanie autoryzacji PIN + kwota +
> moze timestamp) - moge autoryzowac, nie moge autoryzowac i ew. autoryzacja
> tylko
> przez CA. W tym drugim przypadku mozna ograniczyc ilosc prób na jednostke
> czasu.

Masz racje - wydawalo Ci sie :-)

Przytaczam interesujacy nas fragment:

> A CA to pies? Ale OK. Jesli chodzi o karty bedace gdzies pomiedzy
> prymitywna portmonetka, a kartami autoryzowanymi zewnetrznie. I co
> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez to
> kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany. To
> tak a propos analogii, o ktorej bylo dalej.

Nikt nie mowi o zwracaniu PINu (czy jakichkolwiek tego typu danych)
na zewnatrz karty, a tylko o formie przechowywania PINu na karcie.
To ostatnie (z dokladnoscia do sensownych mozliwosci) nie ma
specjalnego znaczenia.

Naturalnie nie twierdze, ze PIN koniecznie jest w clear-tekscie.
Moze to byc nawet tak trywialne jak matryca XOR przy dostepach do
pamieci karty. Ale to sie wszystko odbywa w srodku, na zewnatrz tego
nie widac.
--
Krzysztof Halasa, B*FH