eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankidziura w EMV - chip & PIN to porazka?Re: dziura w EMV - chip & PIN to porazka?
  • Data: 2010-02-13 12:49:24
    Temat: Re: dziura w EMV - chip & PIN to porazka?
    Od: "MG" <n...@s...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Uzytkownik "Herr Moher" napisal:
    > Witam
    >
    > Pojawila sie dzis i wczoraj w kilku serwisach interesujaca informacja
    > o problemach jakie rodzic moze wykorzystanie standardu EMV (a
    > wlasciwie jego nieodpowiednia implementacja). Zainteresowanym polecam
    > http://www.lightbluetouchpaper.org/2010/02/11/chip-a
    nd-pin-is-broken/

    Znam opracowanie zespolu z Cambridge i postawili oni zbyt daleko idace tezy.
    Zostalo to rozdmuchane przez malo nierzetelne media, które nie zadaly sobie
    trudu zapytania, ile z tej teorii mozna rzeczywisci wykorzystac w praktyce.
    Gdyby ktos byl zainteresowany, to oficjalne stanowiska na ten temat wydaly
    rózne organizacje zajmujace sie systemami platniczymi, np:
    http://skocz.pl/dbrny

    Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie podczas
    jego przeprowadzania.
    Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
    istniejacych mechanizmów bezpieczenstwa, a wtedy mozna równie dobrze
    powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
    kryptogramów albo PINu online, kiedy wystepuje.

    > W skrocie:
    > - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
    > gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
    > terminal ze PINem
    > - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"

    Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji od
    normalnej transakcji i odrzucenia ich offline na podstawie analizy CVR.

    > - dziala to zarowno podczas transakcji offline, ale rowniez online
    > - na slipie bedzie widniala informacja ze transakcja zostala
    > zatwierdzona PINem

    Nie dziala dla online. Nawet jesli karta nie odrzuci transakcji w offline,
    to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN offline nie
    doszlo. Rozbieznosc pomiedzy informacja z karty i z terminala zakonczy sie
    odmowa i taka wlasnie informacja pojawi sie na slipie.

    --
    MG

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1