On Mon, 8 Jul 2002 18:58:02 +0200, "Piotr W" <t...@p...onet.pl>
wrote:
>> Dopiero podpis elektorniczny na pozadnie zrealizowanej karcie chipowej
>> powinien byc odporny na take sztuczki (czyli np podpis w rozumienu
>> ustawy o podpisie elektronicznym).
>
>ale tego w bankach ja bynajmniej nie słyszałem

Ustawa dopiero staruje.
A czytniki kart chipowych sa stosowane obecbie np, w internetowych
biurach maklerskich.

>
>ale tutaj, czyli w IB jest instalowany "jakiś" certyfikat IB
>+ klucz w pliku ( zahasłowany )
>piszę jakiś bo nie do końca kumam
>
>Jak tu się mają zabezpieczenia ?

logowanie nr klienta i numrycznym haslem
Przelew w inecie "podpisuje" sie kluczem -po prostu wskazuje sie na
dysku/dyskietce plik i podaje haslo klucza.
--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/

do góry

Wojtek Frabinski wrote:
>

> Teoretycznie wydaje sie, ze nie powinno byc wiekszego problemu, zeby
> trojan oprocz przechwytywania klawiatury (w tym rowniez hasla do
> klucza) zgral i przeslalal dalej caly plik klucza. O takim programie
> jeszcze nie slyszalem ale nie znaczy to ze go nie ma :-).

a to dziwne bo trojanow uzywalem wlasnie po to by miec dostep do dyskow

--
Sława, pieniądze i kobiety - Medżik DiscoPolo Mejker
Odwiedź już dziś: http://www.mdpm.bzi.pl !!!
(zanim zrobi to Twoja konkurencja!)

do góry

"Piotr W" <t...@p...onet.pl> wrote in message
news:agb629$c96$1@news.tpi.pl...
> Coraz bardziej powszechne są dostępy do konta przez i-net
> Jak to wygląda pod względem bezpieczeństwa dla tzw podpisów
> elektronicznych np oferowany obecnie system SBE w InvestBanku
> Nie jest to jakikolwiek token lub lista haseł jakie są oferowane przez
inne
> banki
> ( tokena używam od roku i jest OK )

Co do tokenow, list hasel jedno i wielorazowych : wszelkie tego typu
narzedzia sa oparte na zasadach takich, że bank jest w posiadaniu tych
samych informacji (sluzacych do autoryzacji) co uzytkownik. W efekcie
rozmywa sie odpowiedzialnosc - w razie udanego ataku na bank (czy tez raczej
na konto klienta) nie wiadomo czy dokonal to cwany klient i sie wypiera
transakcji, jego znajomy (tesciowa ?) - czy tez dokonal to jakis pracownik
banku podszywajac sie pod tozsamosc klienta. Ten aspekt sprawy z oczywistych
wzgledow nie jest to zbytnio naglosniony przez bankow .
W przypadku prawidlowo zrealizowanego systemu opartego o podpis cyfrowy
roznica jest taka, ze
1. bank nigdy nie byl i nie jest w posiadaniu tej "tajemnicy" co klientowu
sluzy do autoryzacji (Bank jest w posiadaniu tylko danych służacych do
weryfikacji podpisu, ale nie danych służacych do ich sporzadzania)
2. bank do kazdej transakcji posiada autoryzowany przez klienta dokument.
Dokument którego autentyczność można bez kłopotów sprawdzić.
W razie udanego ataku na bank(na konto klienta) sprawa jest jasna
- jest dokument : "atak" dokonał klient, niech szuka winowajce u siebie (w
firmie)
- nie ma dokumentu : przepraszamy klienta, "zle zaksiegowana operacja",
idzie w straty, dochodzenie jest wewnetrzne.

Bynajmniej nie wynika z tego, że klient jest bardziej bezpieczny. To znaczy
jest całkowicie bezpieczny od manipulacji ze strony pracownikow banku. Bank
też jest bezpieczny - nawet cien podejrzenia nie może paść na pracownikow
banku - oni fizycznie nie sa w stanie podrobic podpisu klienta. Nawet
wszyscy najbardziej uprawnieni informatycy bankowi na kupie.

> Jaka jest szansa na złamanie klucza elektronicznego ?

Już podpisany dokument jest pewny. Kradziez klucza tez można wykluczyć (gdy
jest w karcie kryptograficznej). Inne ataki nie sa jeszcze znane, ale
teoretycznie sa mozliwe (wyłudzenie podpisu)
Generalnie jest taka zasada - podpis cyfrowy nie uwalnia od dbania o
bezpieczenstwo komputera. Wprost przeciwnie. Stacja robocza, która służy do
tego by na nim dokonac poważne operacje finansowe, niezaleznie od rodzaju
stosowanej autoryzacji, powinno być maksymalnie bezpieczna.


Vizvary Istvan

do góry

Użytkownik "Vizvary II Istvan" <v...@p...onet.pl> napisał w wiadomości
news:agcmgm$2ls$1@news2.tpi.pl...
> na konto klienta) nie wiadomo czy dokonal to cwany klient i sie wypiera
> transakcji, jego znajomy (tesciowa ?) - czy tez dokonal to jakis pracownik
> banku podszywajac sie pod tozsamosc klienta. Ten aspekt sprawy z
oczywistych
> //...//
Właśnie w skrócie wyjasniłeś różnice między zabezpieczeniami-kryptografią
symetryczną i asymetryczną.
W symetrycznej dwie strony mają ten sam klucz, w asymetrycznje tylko jedna
:-).

> Już podpisany dokument jest pewny. Kradziez klucza tez można wykluczyć
(gdy
> jest w karcie kryptograficznej). Inne ataki nie sa jeszcze znane, ale
> teoretycznie sa mozliwe (wyłudzenie podpisu)
//...//
A tu podstawowy problem - podpisał Kowalski, czy ktoś kto akurat był w
posiadaniu kluczy Kowalskiego, dlatego trzeba chronić klucze. Kopia zapasowa
kluczy może się jeszcze znajdować w instytucji je generującej na wypadek np.
odtworzenia w przypadku zagubienia ...

Pozdrawiam
Robert Wicik

do góry

Użytkownik Robert Wicik <R...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agdt5i$55t$...@n...onet.pl...
> Użytkownik "Vizvary II Istvan" <v...@p...onet.pl> napisał w wiadomości
> news:agcmgm$2ls$1@news2.tpi.pl...
[...]
> > Już podpisany dokument jest pewny. Kradziez klucza tez można wykluczyć
> (gdy
> > jest w karcie kryptograficznej). Inne ataki nie sa jeszcze znane, ale
> > teoretycznie sa mozliwe (wyłudzenie podpisu)
> //...//
> A tu podstawowy problem - podpisał Kowalski, czy ktoś kto akurat był w
> posiadaniu kluczy Kowalskiego, dlatego trzeba chronić klucze.

Albo dodatkowo zabezpieczać urządzenia/procedury PIN-em lub
identyfikacją biometryczną.

> Kopia zapasowa
> kluczy może się jeszcze znajdować w instytucji je generującej na wypadek np.
> odtworzenia w przypadku zagubienia ...

To chyba nawet w ustawie zostało przewidziane.

Paweł Kierski
p...@m...com.pl

do góry

Użytkownik Piotr W <t...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agc33b$n5$...@n...tpi.pl...
>
> Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
[...]
> > Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
> > Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
> > też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
> > rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
> > (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
> > żeby jednak powiedział 8-), podstawienie komuś trojana logującego
> > naciśnięcia klawisza) są tańsze i szybsze.
> > Paweł Kierski
>
> No dobrze, dobrze . . .
> To jak wygląda tak głośny ostatnio podpis elektroniczny ?
> Jeżeli dobrze trybie to przecież to to samo ?

Doczytałem - wygląda to na asymetryczne klucze. Czyli coś takiego,
na czym będzie funkcjonować podpis elektroniczny.

> Jeszcze jedno :
> mamy tu do czynienia z zahasłowanym kluczem elektronicznym
> trojan przechwyci hasło do klucza a co z samym kluczem ?

Jak jest w praktyce przechowywany? Jeśli gdzieś w pliku, i to
jeszcze o w miarę dobrze ustalonych parametrach, to do "wyłuskania"
żaden problem...
Ideałem jest zewnętrzne urządzenie, które od strony komputera
można jedynie poprosić o podpisanie/zaszyfrowanie ciągu danych.
Dodatkowo takie urządzenie w momencie przyjęcia żądania powinno
prosić o PIN, albo jakoś inaczej weryfikować osobę "podpisującą".

> Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie
> tylko 1 raz.
> Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały
> klucz a jedynie jego sciśle określony ciąg przez niego generowany
> na dany moment , połączenie . . . etc.

W przypadku kluczy asymetrycznych - faktycznie na podstawie jednej
transakcji nie da się nic sensownego uzyskać. Poprzednio pisałem
o sytuacji, gdy hasło służy do autoryzacji (nawet, jeśli przesyłane
jest nie hasło, ale np. losowany przez serwer ciąg szyfrowany
przy użyciu hasła). Ale jak widać system InvestBanku ma dużo słabszy
punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
przechwycić.

Paweł Kierski
p...@m...com.pl

do góry

Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
dyskusyjnych napisał:age2d6$uvq$...@n...polbox.pl...
> Ale jak widać system InvestBanku ma dużo słabszy
> punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
> przechwycić.
> Paweł Kierski

no dobrze
przechwycić po łączach w trakcie przyznawania ?
czy też już u petenta,
zakładam że klucz jest na nośniku wyjmowalnym
całość (także komp) zbezpieczona przed dostępem osób trzecich
łącze do i-netu przez kochaną TePSę?

--
Piotr W
t...@p...onet.pl

do góry

Użytkownik "Piotr W" <t...@p...onet.pl> napisał w wiadomości
news:age463$5ss$1@news.tpi.pl...
> przechwycić po łączach w trakcie przyznawania ?
> czy też już u petenta,
> zakładam że klucz jest na nośniku wyjmowalnym
> całość (także komp) zbezpieczona przed dostępem osób trzecich
> łącze do i-netu przez kochaną TePSę?

Na tym się nie znam.
Ale najlepiej jak klucz się sam broni np. w karcie, z której nie można
(przynajmniej teoretycznie) go wyczytać.

Pozdrawiam
Robert Wicik

do góry

On Tue, 9 Jul 2002 09:42:28 +0200, "Piotr W" <t...@p...onet.pl>
wrote:

>
>no dobrze
>przechwycić po łączach w trakcie przyznawania ?
>czy też już u petenta,

na komputerze klienta

>zakładam że klucz jest na nośniku wyjmowalnym
>całość (także komp) zbezpieczona przed dostępem osób trzecich
>łącze do i-netu przez kochaną TePSę?

Jesli komp jest zabezpieczony przed dzialaniem osob trzecich zarowno
bezposrednio jak i przez siec to ok. Ale ile kompow tak na prawde
zabezpieczonych ?
U przecietnego usera zainstalowanie trojana to nie problem.
--
Wojtek Frabinski ICQ 50443653
w...@a...net.pl
Moja strona Meat Loafa http://www.meatloaf.3a.pl/
galeria kart bankowych http://www.karty.3a.pl/

do góry

Użytkownik Piotr W <t...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:age463$5ss$...@n...tpi.pl...
> Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
> dyskusyjnych napisał:age2d6$uvq$...@n...polbox.pl...
> > Ale jak widać system InvestBanku ma dużo słabszy
> > punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
> > przechwycić.
> > Paweł Kierski
>
> no dobrze
> przechwycić po łączach w trakcie przyznawania ?

Jeśli jest tak przesyłany - można.

> czy też już u petenta,
> zakładam że klucz jest na nośniku wyjmowalnym

... który raz na jakiś czas musi się znaleźć w kompie...

> całość (także komp) zbezpieczona przed dostępem osób trzecich

OK.

> łącze do i-netu przez kochaną TePSę?

Dynamiczny IP trochę utrudni pracę trojanowi. Ale wystarczy
napisać takiego, który wychwytuje pojawienie się pliku klucza
w systemie plików (włożenie nośnika), zapisuje go sobie i zaczyna
logować naciśnięcia klawiszy. Potem to wszystko mailem (po wykryciu
aktywnego połącznia) na darmowe konto i już...
A dobrze zabezpieczona karta/czytnik po prostu nie da szany.

Paweł Kierski
p...@m...com.pl

do góry