eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiSimplyCity jednak nie dla mnie :(Re: SimplyCity jednak nie dla mnie :(
« poprzedni post
następny post »
  • Data: 2017-06-26 16:15:27
    Temat: Re: SimplyCity jednak nie dla mnie :(
    Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    W dniu 2017-06-26 o 14:15, Dawid Rutkowski pisze:
    >>>
    >> Racja. Kiedyś nie zdarzały mi się takie błędy logiczne :(
    >
    > To nie błąd, bo trudno zakładać, że podczas zbliżenia da się nawiązać łączność z
    bankiem, nie tylko przez GSM, ale i przez stałe łącze.
    > Z resztą PIN offline da się wgrać tylko przez styki.

    Używasz określenia 'da się' tam gdzie to jest wynik jakiejś decyzji a
    nie ograniczeń technicznych. Brakuje wtedy słów aby określić prawdziwe
    'da się' technicznie.

    > - tak samo, jak z niego korzystać, pikaczowo PIN jest zawsze on-line.
    > Myślę, że to jest w miarę rozsądny kompromis - choć oczywiście możliwe są również
    inne rozwiązania, jak np. karty mifare, które są odczytywane i programowane
    bezprzewodowo (a do tego tak sprytnie zrobione, że są już kompletnie skompromitowane,
    atak pozwalający na poznanie klucza trwa pół sekundy)

    Czytając książkę Fergusona i Schneiera z 2003 już uznałem, że Mifare
    (Classic) jest nie pewne. Nie wiem, czy jednoznacznie o Mifare to
    napisali, czy tylko pisali aby nie wierzyć w żadne tajne algorytmy, co
    ja sobie na Mifare sam przełożyłem.
    Widziałem pierwsze opisy łamania mifare i autorzy uzyskiwali z dużym
    prawdopodobieństwem (chyba coś koło 50%) jeden z kilku stanów generatora
    losowego (znaczy kilka w tych 50%, reszta poza tym).
    Jak kilka lat później zaczęliśmy próby z odczytem Mifare Classic to u
    nas z 95% była zawsze ta sama liczba losowa, ale wynikało to zapewne z
    tego, że oni zbliżali kartę do czytnika a u nas karta leżała cały czas
    na czytniku. Ale nie dochodziliśmy do tego jak to się łamie.

    W nowych Mifare (Plus, Desfire) stosują już jawne algorytmy więc nie
    powinno być chyba z nimi problemu.

    - i choć uważam wprowadzenie pikacza za genialną sprawę, pozwalającą
    nazwać codzienną płatność kartą naprawdę wygodą (a stykowe z PINem
    off-line można zostawić na specjalne okazje, czyli zakupy na pokładzie
    samolotu czy statku), to dobrze, że jednak pewne ograniczenia zostały.

    Ja akurat czułbym się lepiej jakby:
    - każda transakcja wymagała PINu,
    - mógłbym sobie dowolnie poustawiać limity i one byłyby zawsze
    sprawdzane (czyli każda on-line).

    Z biegiem informatyzacji kraju zapewnienie szybkiego on-line powinno byc
    coraz mniejszym problemem.
    P.G.


Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy