Jarek Andrzejewski <j...@d...com.pl> writes:

> jak chcesz skopiować token np. Vasco? Prześwietlić? :-)

Sa rozmaite metody. Mozna skopiowac duzo ciekawsze rzeczy. Naturalnie
nie twierdze ze moze to zrobic majsterkowicz uzywajac narzedzi
kupionych w OBI (choc glowy nie dam ze nie moze).

>>Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
^^^^^^^^^^^^^^^^^^^^^^^^^^
>>wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
>>sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
>>ktore nie zostaly jeszcze wygenerowane.
>
> a niby jak ma poznać nie pracując w banku odpowiedź tokena na
> zapytanie, które wynika z treści przyszłego zlecenia i do tego zależy
> od czasu?

Token to prosty kalkulator, wynik otrzymywany na wyjsciu jest funkcja
kilku parametrow wejsciowych - zwykle czasu oraz znanej obu stronom
- komputerowi banku i tokenowi - tajnej wartosci (seed, shared secret).
Czasem moze to byc challenge-response, gdzie dochodzi dodatkowy parametr
- zapytanie generowane przez bank.
Jesli ktos ma dostep do komputera autoryzujacego operacje z tokenami,
to po prostu moze skopiowac baze seedow (albo w ogole caly program,
ktory sie tym zajmuje). Pozostale rzeczy bedzie znal: zna aktualny
czas (dryft czasu tokena da sie latwo zbadac podsluchujac _jedna_
oryginalna odpowiedz tokena lub metoda brute-force), ew. podslucha
challenge jesli jest to uzywane.

> A co do list: nie ma pewności, że listy są losowe, a jeśli nie są, to
> kryptoanalityk już ma większe szanse.

Dokladnie tak samo jak seedy tokenow, wiec tu nie ma roznic. Ale
zaklada sie, ze jednak obie te rzeczy sa wystarczajaco losowe, inaczej
lamie to podstawowe zalozenia.

> Ależ tokeny używają kryptografię. Może nie jakąś super, bo np.
> DES/3DES, ale jednak kryptografię...

Jasne ze tak. Tyle ze to jest wciaz kryptografia z shared secred,
dokladnie tak samo jak w przypadku list kodow.
--
Krzysztof Halasa, B*FH