"MG" <n...@s...com> writes:

> Atak jest nieco wyimaginowany i atakujacy musi liczyc na szczescie
> podczas jego przeprowadzania.

W sensie autoryzacji on-line?

> Mozliwy jest przy zalozeniu, ze wydawca nie potrafi skorzystac z
> istniejacych mechanizmów bezpieczenstwa,

Jakich konkretnie?

> a wtedy mozna równie dobrze
> powiedziec, ze EMV jest niebezpieczne, bo wydawca moze nie weryfikowac
> kryptogramów albo PINu online, kiedy wystepuje.

Ten akurat atak dziala tylko w jednym przypadku (transakcji offline przy
chip & PIN), i polega na tym, ze nie trzeba znac PINu.

Jasne ze w mBanku to nie zadziala (jesli prawda jest, ze wszystkie
transakcje sa online).

Nie jest to koniec swiata dla EMV, nie ma watpliwosci, choc moze to byc
przynajmniej drobny problem dla PINu.

>> W skrocie:
>> - na etapie negocjacji karta-terminal mozna doprowadzic do sytuacji
>> gdzie karta "mysli" ze transakcja jest zatwierdzana podpisem a
>> terminal ze PINem
>> - zlodziej moze zatem wpisac dowolny PIN i transakcja "przejdzie"
>
> Dobrze spersonalizowana karta ma mozliwosc odróznienia takich sytuacji
> od normalnej transakcji i odrzucenia ich offline na podstawie analizy
> CVR.

A cos konkretniej?

> Nawet jesli karta nie odrzuci transakcji w
> offline,

W zacytowanym przez Ciebie linku nie twierdza, ze moze sie to zdazyc,
IOW biorac pod uwage charakter informacji, jest to wykluczone albo
przynajmniej oni tak uwazaja :-)

> to CVR wyslany do wydawcy jasno mówi, ze do weryfikacji PIN
> offline nie doszlo. Rozbieznosc pomiedzy informacja z karty i z
> terminala zakonczy sie odmowa i taka wlasnie informacja pojawi sie na
> slipie.

Tyle ze tak bedzie przy online, a od poczatku wiemy, ze ten atak dziala
tylko offline.

Oczywiscie informacja z linku, typowo dla takich, to minimalizacja
strat. Osobiscie nie twierdze ze pominiecie PINu, zwlaszcza przy tylko
niektorych transakcjach, to jakies wielkie zlamanie EMV, zreszta sam
wiele razy pisalem, ze PIN to tylko dodatkowe, slabe zabezpieczenie.

Ale tezy tam postawione sa smieszne: co kogo obchodzi, ze atak jest
"highly complex to implement"? Zostal zaimplementowany, to wystarczy.
Albo "transposition outside the laboratory conditions is complex" - dla
kogo, dla autora tekstu? :-)
To, ze atak wymaga oryginalnej karty (najslabszy punkt ataku BTW) oraz
transakcji offline to zalozenia.

BTW oni chyba nie wiedza ze transakcje kartami chipowymi niekoniecznie
polegaja na przekazaniu karty sprzedawcy.
--
Krzysztof Halasa