Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3hbhk43gx.fsf@intrepid.localdomain...
>> Jeśli można by tworzyć bezpieczny kanał: klawiaturka-bank to
>> rozwiązywałaby ten podstawowy problem.
>
> No, jasne. Ale bez "przedluzania" byloby dokladnie tak samo.
>
Racja.
Przedłużanie miało być z innego powodu niż ten podstawowy.

>> Musiałby istanieć jeden (lub kilka, ale ustalonych) światowy standard
>> przedłużania, i tworzenia bezpiecznego kanału, aby klawiatura nie
>> musiała akceptować żadnych ładowanych w trakcie sesji procedurek itp,
>> co zabezpieczało by ją przed trojanami itp.
>
> A skad by wiedziala z kim sie laczy?
>
Nie za bardzo rozumiem o co chodzi. A skąd teraz człowiek wie z kim się
łączy.
Ja nie sugeruję, że ona ma nie mieć żadnej pamięci ma tylko nie mieć
możliwości uruchamiania w niej załadowanych programów.
Gdyby można było wpisać jej klucz publiczny tego (tych) z kim ma się łączyć
to powinno chyba wystarczyć do stwierdzenia z kim się łączy.
Gdybym się choć trochę znał na kryptografii asymetrycznej to może
wiedziałbym o co chodzi i jak odpowiedzieć.
>
> Sama klawiatura nie wystarczy. Potrzebny jest takze wyswietlacz, ktory
> zweryfikuje wszelkie potrzebne np. certyfikaty oraz wyswietli szczegoly
> operacji. Po prostu potrzebny jest dedykowany komputer, na ktorym nie
> bedzie zadnych trojanow ani innych np. keyloggerow. Nic nowego.
>
Oczywiście, że nic nowego, ale czasem rzeczy oczywiste też warto powtórzyć,
bo może nie dla wszystkich oczywiste.
Mnie się wydaje (podkreślam wydaje, bo wiem, że za mało wiem), że taka
klawiaturka+zwykły PeCet wystarczy. Nie sądzę aby informacje potrzebne do
ewentualnego włamywania się do konta było trzeba wyświetlać więc połączenie
do monitora mogłoby zostać jak jest - narażone na podglądanie.
Tak samo komputer, gdyby bezpieczny kanał był klawiatura-bank to penetracja
PC nie byłaby groźna.
Być może nadużywam słowa klawiatura, faktycznie byłby to tak jak piszesz
dedykowany komputer skoro ona (ta klawiaturka) miałaby decydować co trzeba
wyświetlić. Mi się po prostu wydaje, że obecnie istniejącą sytuację
najłatwiej byłoby poprawić wprowadzając taki powszechnie dostępny dedykowany
komputer w formie klawiatury współpracującej z każdym PC. Chyba taniej niż
dedykowany komputer wyposażony we wszystko to, co typowy komputer ma.

> Poza tym bezpieczny kanal nie jest potrzebny do ochrony przed
> fraudami itp. - potrzebny jest tylko do zachowania tajemnicy.
>
Tylko, a może aż.
Tematem wątku jest logowanie, a nie fraudy.

>> ale ta moc już obecnie daje się chyba zmieścić w klawiaturce i nie
>> koniecznie bardzo podnosząc jej cenę.
>
> Tyle ze to dokladnie nic nie daje.

Być może.
Mimo to moje poczucie bezpieczeństwa przy logowaniu byłoby znacznie większe
gdybym wiedział, że wpisywane przez mnie hasło nie da się podejrzeć żadnym
programem, a wydłużanie znacznie utrudnia atak słownikowy.
P.G..