"MG" <n...@s...com> writes:

> Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi
> implikacjami może robić to zarówno karta, jak i wydawca w transakcjach
> online. Są również inne rozwiązania zależne od implementacji służące
> zarządzaniu ryzykiem w karcie.

Ale konkretnie. Po czym karta ma to poznac?

> Autorzy twierdzili, że wydawca nie ma dostępu do informacji, jaka
> metoda uwierzytelnienia została wybrana przez terminal. Jest to
> nieprawda, gdyż jest ona przesyłana.

Przy offline nic nie jest przesylane, wiec maja racje. Nie ma sensu
zastanawiac sie tu nad online, bo to zupelnie inna sytuacja.

> Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
> widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter
> można też przecież podmienić.

Ale terminalowi, karta chyba nie ma schizofrenii przy tym ataku.

> Niestety, konkretniej mogę jedynie wskazać istnienie szczegółowych
> zapisów w specyfikacjach, które nie są publicznie dostępne i nie będę
> ich przytaczał.

To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
zadnego sensu.

> Wypowiadam się z własnego doświadczenia, nie na podstawie cudzych
> informacji prasowych. Sytuacja, o której napisałem jest jak
> najbardziej możliwa. Pewne mechanizmy są stworzone, ale ponieważ
> zależą od platformy i różnią się choćby pomiędzy organizacjami, nie
> można uogólnić.

W pewnych szczegolnych przypadkach zapewne tak jest, wystarczy karta
PIN-only i ten atak nie zadziala. To jest ogolny atak na typowe karty
(i to raczej taki dosc akademicki, choc moze miec ciekawe konsekwencje
pozatechniczne).
--
Krzysztof Halasa