On Wed, Jan 23, 2002 at 09:53:45AM +0100, Wojtek Piecek wrote:

> > WHAT ?! Polcard nie sprawdza czy karta nie jest zastrzezona przy
> > transkacjach off-line ?!
> > Podawane bylo, ze nie ma juz papierowej stop listy dla zelazek.
> > Ale jakos nie wyobrazam sobie, zeby POS nie mial takiej listy w formie
> > elektronicznej.
>
> Kurde, znaczy mam skleroze. Szukam w ogloszeniach polcardu.

Poniewaz znalesc nie moge zakladam ze masz racje. Wycofuje sie
raczkiem i przepraszam ;-(

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

On Wed, Jan 23, 2002 at 01:05:04AM +0100, Krzysztof Halasa wrote:

> > No, ale nieznacznie inaczej jest. Generalnie online jest jest odczyt
> > paska magnetycznego jest po rollbacku. PIN na icc generalnie jest
> > online (nie wiem czy w przypadku rollbacku tez - nie pamietam).

Jesli mnie jeszcze nie zlinczowales to gratuluje. Albo jakies straszne
herezje napisalem, albo ktos tak to poskladal ;-)

PIN na chipie jest generalnie onffline, acz by tak bylo musi byc
spelnionych muchos warunkow - generalnie TVR o tym decyduje.

> Ech, musze chyba cos poczytac, nie jestem na biezaco zupelnie.
> Ale bez sensu by bylo, gdyby PIN elektroniczny byl online z bankiem
> - z karta to oczywiscie tak.

Oczywiscie masz racje ;-)

> W ogole bank musi znac PIN karty chipowej (bez paska)?

Szczerze powiem ze nie do konca wiem jak wyglada obsluga paska w
przypadku karty hybrydowej, tzn. jakie informacje sa dublowane ze
strony banku, ale podejrzewam ze dla banku sa to niejako dwie karty o
tych samych numerach.

> Tyle ze nie wiemy ktorego. I czy ktos nam pinu nie odczyta, a potem w leb
> i historia z kart Maestro.

Widzisz, masz troche racji, tylko ze nie cala. W przypadku karty
chipowej obsluge ryzyka robi nie pinpad i nie terminal, ale wlasnie
chip.

Tzn. terminal przekazuje pewne informacje n/t ryzyka transakcji (tvr)
i jeszcze pare innych parametrow, ale cala reszte robi karta! I ona
zwraca rozne ARQC czy inne AAC do terminala. Jesli karta zada online -
to terminal zestawia, jesli razem z misiem (klientem) zamyka
transakcje offline - to terminal moze sobie tylko wynik zapisac.

> Ale jak ostatnio patrzylem, to wszystko to byly grosze. Oczywiscie przy
> odpowiedniej wielkosci zamowienia, bo przeciez karty musza miec odpowiednie
> logo itd.

O ile dobrze pamietam ceny to 30zl za karte DDA, jakies nascie (12) za
SDA i pojedyncze zlotowki za paskowana.

Czy to drogo? Nie wiem.

> > No, blokada moze jeszcze byc skuteczne zastrzezenie u issuera.
>
> Ciekawe jak z PINami...

No, przeciez online leci.

> Jakiej stoplisty? Takiej elektronicznej, czy w formie grubej ksiazki?
> Bo jesli elektronicznej, to nie do konca rozumiem jak mieliby
> wykrywac zastrzezone karty przy malych sumach.

Elektronicznej.

> Takie rzeczy to tylko dodatek, to co jest istotne to kryptografia.

E tam, przeciez na chipie prawie nie masz kryptografi ;-)

Oczywiscie mowie o SDA.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Uzytkownik "Krzysztof Halasa" <k...@d...pm.waw.pl> napisal w wiadomosci
news:
> Ech, musze chyba cos poczytac, nie jestem na biezaco zupelnie.
> Ale bez sensu by bylo, gdyby PIN elektroniczny byl online z bankiem
> - z karta to oczywiscie tak.
> W ogole bank musi znac PIN karty chipowej (bez paska)?
>
> > Jest _mozliwa_ co nie znaczy ze zawsze zapewniona ;-)
> >

Nie wiem jak jest w tych kartach ale jesli PIN jest przypisany do karty i
znany jedynie posiadaczowi a transmisja z terminalem oparta na podobnej
zasadzie jak w tokenach (losowe pytanie, odpowiedz obliczona wg
odpowiedniego algorytmu) to takie rozwiazanie jest bezpieczne.

> > Wbrew pozorom w przypadku icc dosc latwo zapewnic autentykacje
> > terminala.
>
> Tyle ze nie wiemy ktorego. I czy ktos nam pinu nie odczyta, a potem w leb
> i historia z kart Maestro.
>

PIN juz zawsze bedzie mozna poznac przez wymuszenie, porwanie itp...

LIBIDO

do góry

On Wed, Jan 23, 2002 at 11:15:12AM +0100, Libido wrote:

> Nie wiem jak jest w tych kartach ale jesli PIN jest przypisany do karty i
> znany jedynie posiadaczowi a transmisja z terminalem oparta na podobnej
> zasadzie jak w tokenach (losowe pytanie, odpowiedz obliczona wg
> odpowiedniego algorytmu) to takie rozwiazanie jest bezpieczne.

Nie rozumiem porownania - jakie losowe zapytanie? Przeciez transakcja
chipowa jest jak najbardziej zdefiniowanym zestawem
pytanie-odpowiedz. Jedyna przypadkowa rzecza jaka tam wystepuje jest
liczba losowa (dwa bajty).

> PIN juz zawsze bedzie mozna poznac przez wymuszenie, porwanie itp...

No, niestety ;-(

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Uzytkownik "Wojtek Piecek" <w...@p...waw.pl> napisal w wiadomosci news:

> > Nie wiem jak jest w tych kartach ale jesli PIN jest przypisany do karty
i
> > znany jedynie posiadaczowi a transmisja z terminalem oparta na podobnej
> > zasadzie jak w tokenach (losowe pytanie, odpowiedz obliczona wg
> > odpowiedniego algorytmu) to takie rozwiazanie jest bezpieczne.
>
> Nie rozumiem porownania - jakie losowe zapytanie? Przeciez transakcja
> chipowa jest jak najbardziej zdefiniowanym zestawem
> pytanie-odpowiedz. Jedyna przypadkowa rzecza jaka tam wystepuje jest
> liczba losowa (dwa bajty).

Zmierzam do tego, ze PINu nie da sie podejrzec jakims trefnym czytnikiem.
LIBIDO

do góry

On Wed, Jan 23, 2002 at 11:49:12AM +0100, Libido wrote:

> Zmierzam do tego, ze PINu nie da sie podejrzec jakims trefnym czytnikiem.
> LIBIDO

Uwierz - da sie. I nie ma to znaczenia czy uzywasz karty chipowej czy
tylko pinujesz maestro.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Użytkownik "Libido" <l...@p...onet.pl> napisał w wiadomości news:
> Zmierzam do tego, ze PINu nie da sie podejrzec jakims trefnym czytnikiem.

Sorry, nie przemyslalem sprawy.
LIBIDO

do góry

Uzytkownik "Wojtek Piecek" <w...@p...waw.pl> napisal w wiadomosci news:

> > Zmierzam do tego, ze PINu nie da sie podejrzec jakims trefnym
czytnikiem.

> Uwierz - da sie. I nie ma to znaczenia czy uzywasz karty chipowej czy
> tylko pinujesz maestro.

Fakt, nie przemyslalem tego dokladnie. Jednak spostrzezenia klienta +
informacje z karty (ktora np. nie dogadala sie z czytnikiem) moga wystarczyc
do wykrycia przekretu.
LIBIDO

do góry

Witam po dluzszej przerwie - ale wlasnie mam dwa projekty EMV i troszke
pomarudzilem w roznych egzotycznych zakatkach globu:)))

> PIN na chipie jest generalnie onffline, acz by tak bylo musi byc
> spelnionych muchos warunkow - generalnie TVR o tym
decyduje.

To miala byc podstawowa zaleta EMV - off-line PIN. Decyduje o tym na pewno
nie TVR, ale CVM+dodatkowo mozliwosci terminala do wykonywania sprawdzen
opisanych w CVM. Nie bez znaczenia jest tez bit 5, 1 bajtu AIP. Natomiast
TVR zbiera tylko dane o tym, co w czasie transakcji zostalo zrobione i z
jakim skutkiem.
>
> > W ogole bank musi znac PIN karty chipowej (bez paska)?
>
> Szczerze powiem ze nie do konca wiem jak wyglada obsluga paska w
> przypadku karty hybrydowej, tzn. jakie informacje sa dublowane ze
> strony banku, ale podejrzewam ze dla banku sa to niejako dwie karty o
> tych samych numerach.

Nie zapominaj, ze w danych na chipie sa powtorzone 1 i 2 sciezka - natomiast
moga byc powtorzone bez PVV. Teoretycznie bank nie powinien znac PINu do
chipa i nie powinien miec mozliwosci jakiejkolwiek jego weryfikacji. Z
punktu widzenia systemu to ta sama karta, dla ktorej zdefiniowana jest
wiecej niz jedna metoda weryfikacji klienta.

> Widzisz, masz troche racji, tylko ze nie cala. W przypadku karty
> chipowej obsluge ryzyka robi nie pinpad i nie terminal, ale wlasnie
> chip.

Nie badz taki pozwol terminalowi na przeprowadzenie wlasnego Terminal Risk
Managmentu - przynajmniej w zakresie floor limitow. VISA przeniosla cale
Velocity Checking do karty, ale zdaje sie, ze u Europaya troche tez w tej
materii ma do powiedzenia terminal.


> Tzn. terminal przekazuje pewne informacje n/t ryzyka transakcji (tvr)
> i jeszcze pare innych parametrow, ale cala reszte robi karta! I ona
> zwraca rozne ARQC czy inne AAC do terminala. Jesli karta zada online -
> to terminal zestawia, jesli razem z misiem (klientem) zamyka
> transakcje offline - to terminal moze sobie tylko wynik zapisac.

Nie do konca tak - wybierana jest bardziej rygorystyczna metoda. Do
generacji pierwszego kryptogramu terminal musi poinformaowac karte czego
zada (TC, AAC, ARQC), a robi to rzeczywiscie na podstawie anlizy TVR (ale
robi to terminal!!!) i porownania z maskami Terminal Action Codes.

> O ile dobrze pamietam ceny to 30zl za karte DDA, jakies nascie (12) za
> SDA i pojedyncze zlotowki za paskowana.
Mysle, ze paski w hurcie kosztuja max fafdziesiat groszy.

>
> E tam, przeciez na chipie prawie nie masz kryptografi ;-)
>
> Oczywiscie mowie o SDA.

A stary dobry DES - na karcie jest kilka DESowych kluczy issuera,
zdywersyfikowanych numerem seryjnym karty. Jakos trzeba obsluzyc secure
messaging i generacje wzmiankowanych juz kryptogramow:)

Pozdrawiam
Jacek

do góry

On Thu, Jan 24, 2002 at 12:25:55PM +0100, Jacek Olbrys wrote:

> Witam po dluzszej przerwie - ale wlasnie mam dwa projekty EMV i troszke
> pomarudzilem w roznych egzotycznych zakatkach globu:)))

Witamy speca ;-)

Czy to znaczy ze w polszcze sie chipy nie przyjely i trzeba je
promowac w bardziej zacofanych krajach? ;-))

> To miala byc podstawowa zaleta EMV - off-line PIN. Decyduje o tym na pewno
> nie TVR, ale CVM+dodatkowo mozliwosci terminala do wykonywania sprawdzen
> opisanych w CVM. Nie bez znaczenia jest tez bit 5, 1 bajtu AIP. Natomiast
> TVR zbiera tylko dane o tym, co w czasie transakcji zostalo zrobione i z
> jakim skutkiem.

Mowisz oczywiscie o TVRe generowanym w chipie, bo ten terminalowy to
raczej jeszcze nic nie wie o transakcji ;-)

> Nie zapominaj, ze w danych na chipie sa powtorzone 1 i 2 sciezka - natomiast

Ale przeciez nie musza (nie chce mi sie grzebac, ale w chipie nie
musisz miec wcale drugiej sciezki - nawet ekwiwalentu). O tym co tam
jest mowia pewne tagi, ale ze sie wlasnie ratuje po czesciowym padzie
dysku to nie moge sie na nie powolac.

> moga byc powtorzone bez PVV. Teoretycznie bank nie powinien znac PINu do
> chipa i nie powinien miec mozliwosci jakiejkolwiek jego weryfikacji. Z

To akurat dotyczy chyba kazdego przypadku PINa - ciekawia mnie wtedy
pozycje w niektorych TOiP pewnych bankow - 'odzyskanie pinu' ;-)

I chcialbym troche popolimeryzowac z tym 'niemoznoscia weryfikacji
pinu przez bank' - nie pamietam a sprawdzic nie moge, ale mam wrazenie
ze karta moze zazadac online i wtedy do banku idzie
m.in. pinblok. Sugerujesz ze nie jest on sprawdzany?

> punktu widzenia systemu to ta sama karta, dla ktorej zdefiniowana jest
> wiecej niz jedna metoda weryfikacji klienta.

No niby fakt.

> Nie badz taki pozwol terminalowi na przeprowadzenie wlasnego Terminal Risk
> Managmentu - przynajmniej w zakresie floor limitow. VISA przeniosla cale
> Velocity Checking do karty, ale zdaje sie, ze u Europaya troche tez w tej
> materii ma do powiedzenia terminal.

Ale terminal tylko wystawia co mu sie nie podoba, jakien ev. on line
reason code, ale np. wymuszenie online robi karta. I teoretycznie
karta moze byc tak zrobiona ze nawet wtedy online nie pojdzie ;-)

> Nie do konca tak - wybierana jest bardziej rygorystyczna metoda. Do
> generacji pierwszego kryptogramu terminal musi poinformaowac karte czego
> zada (TC, AAC, ARQC), a robi to rzeczywiscie na podstawie anlizy TVR (ale
> robi to terminal!!!) i porownania z maskami Terminal Action Codes.

Siem nie zgadzam nieco.

Transakcje robi karta - terminal nie moze od niej zadac. Terminal
sugerowac stopien ryzyka.

> A stary dobry DES - na karcie jest kilka DESowych kluczy issuera,
> zdywersyfikowanych numerem seryjnym karty. Jakos trzeba obsluzyc secure
> messaging i generacje wzmiankowanych juz kryptogramow:)

To ma byc kryptografia? ;-)

Mam nadzieje ze szykuje sie dluzsza dyskusja.

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry