-
Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!wsisiz.edu.pl!newsfeed.tpinternet.pl
!newsfeed.neostrada.pl!atlantis.news.neostrada.pl!news.neostrada.pl!news.tpi.pl
!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: ZBP: "(klienci) Powinni w końcu zaczšć ponosić za to
odpowiedzialno?ć"
Date: Mon, 07 Apr 2008 14:28:46 +0200
Organization: TP - http://www.tp.pl/
Lines: 57
Message-ID: <m...@m...localdomain>
References: <1...@4...net>
<i...@4...com> <ft8jb2$8ml$1@news.onet.pl>
<m...@m...localdomain> <fta1of$ber$1@news.onet.pl>
<m...@m...localdomain>
<2...@e...googlegroups.com>
NNTP-Posting-Host: cqe181.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: nemesis.news.neostrada.pl 1207571727 3661 83.31.236.181 (7 Apr 2008 12:35:27
GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Mon, 7 Apr 2008 12:35:27 +0000 (UTC)
Cancel-Lock: sha1:XuT3Q4kt48S7O5PtjTcz1p2Q2fY=
Xref: news-archive.icm.edu.pl pl.biznes.banki:443436
[ ukryj nagłówki ]Jarek Andrzejewski <p...@g...com> writes:
>> To ostatnie jest nierealne, mozna utrudnic takie cos ale do
>> niemozliwosci troche brakuje.
>
> Bez "rozebrania" dongle'a? Mam wrażenie, że wiesz, jak działa karta
> chipowa (kryptograficzna), więc jestem zdziwiony, że sądzisz, że
> podobnie nie może być zabezpieczony dongle.
Nie ma w tym niczego dziwnego, zreszta z karty takze mozna dane
wyciagnac. "Chciec to moc" (no, brakuje jeszcze kilku warunkow).
> Jeśli komputer
> kryptograficzny i klucz prywatny są w "scalaku", to nie ma powodów,
> aby klucz kiedykolwiek go opuścił.
Powody moga byc. Owszem, jest to zdecydowanie trudniejsze niz "zwykle"
oraz karty moga byc calkowicie odporne na niektore typy atakow.
Ale calkowitej pewnosci nie ma - na przeszkodzie stoja ew. bledy w
implementacji, podatnosc na zmiane warunkow otoczenia, i w koncu
po prostu fizyka.
USB dongle moze dodatkowo skladac sie z elementow dyskretnych, wtedy
sprawa staje sie trywialna.
Potrzeba rozebrania urzadzenia nie jest zadna przeszkoda, uzytkownik
nie musi nic zauwazyc - w koncu nie rozpozna kopii od oryginalu.
Moze inaczej: czy mialbys pewnosc, ze klucza nie bedzie w stanie
wyciagnac np. NSA (agencja, nie sąd), jesli by im bardzo zalezalo?
Nie masz pewnosci? I slusznie.
BTW: roznica w mozliwosciach NSA i upartego nastolatka w takim
przypadku moze byc olbrzymia albo bardzo mala.
>> Tak czy owak, korzystna sytuacja jest generowanie klucza przez
>> uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.
>
> nie, znacznie lepsza to taka jak w kartach: generowanie pary kluczy w
> dongle'u.
Nope. To daje tylko gwarancje, ze legalny user nie ma kopii. Ale
dokladnie taka sama gwarancje moze sobie zapewnic po prostu nie
posiadajac kopii :-)
Natomiast reszta to same wady, w szczegolnosci nie znamy pochodzenia
klucza prywatnego (np. jakosci generatora "losowego") - podatnosc na
atak zwiazany ze "zwykla" slaboscia klucza oraz dodatkowo uzaleznienie
od producenta karty/dongla.
To ostatnie przeczy glownemu zalozeniu, ze klucz prywatny ma byc
prywatny i mamy miec tego 100% gwarancje. Jasne ze przy niewielkich
sumach nie ma to znaczenia, ale jesli dysponujemy juz dobrym systemem,
to nie ma sensu go psuc tylko dlatego ze wiele nie ryzykujemy.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 07.04.08 12:58 Adam Płaszczyca
- 07.04.08 13:00 Adam Płaszczyca
- 07.04.08 13:01 Adam Płaszczyca
- 07.04.08 13:11 Rafał \"SP\" Gil
- 07.04.08 13:26 Kamil Jońca
- 07.04.08 13:26 Jacek Osiecki
- 07.04.08 13:56 Krzysztof Halasa
- 07.04.08 14:01 Krzysztof Halasa
- 07.04.08 14:03 Krzysztof Halasa
- 07.04.08 14:34 Krzysztof Halasa
- 07.04.08 14:55 Z
- 07.04.08 20:55 Jacek Osiecki
- 07.04.08 21:51 Krzysztof Halasa
- 08.04.08 06:32 Adam Płaszczyca
- 08.04.08 20:03 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Promocje w żubrze - i reklamacje.
- Kantor spolecznosciowy w banku
- Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- Oszustwa z Blikiem
- scam na bankomat?
- Płatności pasywną obraczką NFC
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
Najnowsze wątki
- 2024-06-26 Promocje w żubrze - i reklamacje.
- 2024-06-26 Kantor spolecznosciowy w banku
- 2024-06-24 Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- 2024-06-21 Oszustwa z Blikiem
- 2024-06-20 scam na bankomat?
- 2024-06-19 Płatności pasywną obraczką NFC
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego