Użytkownik Krzysztof Halasa napisał:
> Algorytm dzialania tych tokenow jest od dosc dawna znany, wiec nie wiem
> co tu jest do rozszyfrowywania. Sa rozne skuteczne metody posluzenia
> sie tokenem, w tym mozna zasymulowac jego dzialanie, jesli posiada sie
> dane bedace normalnie w posiadaniu banku.

Algorytm jest "prywatnym" algorytmem RSA Data Security. Nie wiem, czy
jest znany na szerszym forum (bardzo możliwe, przynajmniej w odmianie
dla tokenów programowych na PC i na PalmOS), ale nie powinno to mieć
większego znaczenia, ponieważ i tak najważniejszy jest klucz zaszyty
indywidualnie w każdym urządzeniu.

> Generalnie taki token chroni przed dzialaniami osob trzecich, ale nie
> chroni przed dzialaniami np. pracownikow banku lub innych osob majacych
> dostep (np. w przeszlosci, podczas zakupu tokenow itd) do tych danych.

Zgoda -- tego typu urządzenie jest oparte o metody symetryczne i nie
może dostarczyć usługi niezaprzeczalności, pozwalającej na arbitraż
strony trzeciej. Każdemu tokenowi towarzyszy pliczek, który jest
ładowany do ACE/Servera. Ten plik zawiera niewątpliwie klucz urządzenia.

Generalnie chodziło mi o to, że jedyną _praktyczną_ metodą użycia tokena
jest jego bezpośrednie, fizyczne użycie -- nie ma realnej metody
sklonowania go dla człowieka z ulicy. To jest jego podstawowa zaleta w
porównaniu z np. kartą kodów jednorazowych z mBanku.

Pozdrawiam

J.