eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankidziura w EMV - chip & PIN to porazka?Re: dziura w EMV - chip & PIN to porazka?
« poprzedni post
następny post »
  • Data: 2010-02-14 13:47:25
    Temat: Re: dziura w EMV - chip & PIN to porazka?
    Od: "MG" <n...@s...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Użytkownik "Krzysztof Halasa" napisał:
    >> Można np. przeprowadzać analizę CVR zawartego w IAD. Z różnymi
    >> implikacjami może robić to zarówno karta, jak i wydawca w transakcjach
    >> online. Są również inne rozwiązania zależne od implementacji służące
    >> zarządzaniu ryzykiem w karcie.
    >
    > Ale konkretnie. Po czym karta ma to poznac?

    Po CVMR, którego może żądać w CDOL1. Podczas zarządzania ryzykiem sytuacja
    rozbieżności wartości CVMR i wewnętrznego stanu karty może (przy
    odpowiedniej parametryzacji) zakończyć transakcję odmową offline.

    >> Debetówki wydawane były z PINem offline, tylko zablokowanym. Z punktu
    >> widzenia atakującego nie stanowiłoby to problemu, bo PIN try counter
    >> można też przecież podmienić.
    >
    > Ale terminalowi, karta chyba nie ma schizofrenii przy tym ataku.

    Atak niespecjalnie przejmuje się kartą i polega na tym, by terminal sądził,
    że wykonał PIN offline.
    Jeśli jest on na liście to terminal odpytuje o PIN try counter. Dla
    mBankowych debetówek na razie wynosi 0 (choć podobno miało się to zmienić),
    ale na potrzeby przeprowadzenia ataku wystarczy to przechwycić i zwrócić
    cokolwiek innego (w granicach 1-15). Wtedy terminal wykona PIN offline, na
    który atakujący odpowie SW 90 00. Zablokowanie PINu offline niewiele zatem
    zmienia poza jeszcze innymi flagami, które karta ustawi w CVR.

    > To przynajmniej napisz o ktore konkretnie zapisy (nie ich tresc)
    > w jakich specyfikacjach chodzi, bo inaczej taki "argument" nie ma
    > zadnego sensu.

    Zgadzam się. U mnie w pracy wisi jednak taki obrazek:
    http://www.prl.cba.pl/max/plakaty/tajemnic.jpg
    W specyfikacji aplikacji kartowej jest rozdział poświęcony analizie ryzyka
    podczas operacji generacji kryptogramu. Jest tam wyraźne odniesienie do
    sytuacji, w której terminal uznaje, że PIN offline był sprawdzony, gdy do
    tego nie doszło lub był błędny. Specyfikacja ma już kilka ładnych lat.

    > To jest ogolny atak na typowe karty
    > (i to raczej taki dosc akademicki, choc moze miec ciekawe konsekwencje
    > pozatechniczne).

    Ciężko niestety zdefiniować taki twór, jak typowa karta.

    --
    MG

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy