Dnia Sat, 19 Mar 2011 19:37:09 +0100, Krzysztof Halasa napisał(a):

> Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
> - to jest baza danych (lub cos podobnego, np. algorytm generowania)
> seedow w polaczeniu z numerami tokenow.
>
> Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
> generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
> przechowywane przez producenta). Zaden taki algorytm oczywiscie takze
> nie powinien istniec. Jesli takie rzeczy istnieja, to pomijajac
> calkowita utrate zaufania do firmy (jesli ktos im w ogole ufal, w
> bezpieczenstwie nie powinno sie ufac producentowi tokenow) to jest to
> IMHO kryminal.
>
> Algorytmy generowania wynikow tokenow sa znane od dawna, jedyna
> tajemnica sa (byly?) seedy, rozne dla poszczegolnych tokenow. I to jest
> akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
> kupila token) zna seedy. Nawet producent nie powinien ich znac.
>
> Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
> zdrad nie moglo byc.

No ciekawe jak się ta sprawa zakończy i czy RSA w pełni ujawni jak się
włamano i co zostało skradzione. Jeżeli rzeczywiście posiadali bazę seedów
to można powiedzieć, że czar prysł a co za tym idzie także reputacja
firmy, której to utrata może w efekcie wpędzić firmę w poważne tarapaty.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide