Krzysztof Halasa wrote:
> "wiatrak" <w...@y...pl> writes:
>
>> Które banki to mają? Na pewno Lukas, w Eurobanku tez jest taka
>> opcja.. Które banki jeszcze?
>> http://www.tvn24.pl/-1,1696347,0,1,hakerzy-dobieraja
-sie-do-bankowych-tokenow,wiadomosc.html
>
> Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
> - to jest baza danych (lub cos podobnego, np. algorytm generowania)
> seedow w polaczeniu z numerami tokenow.
>
> Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
> generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
> przechowywane przez producenta).
...
> I to jest
> akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
> kupila token) zna seedy. Nawet producent nie powinien ich znac.
>
> Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
> zdrad nie moglo byc.


To jest (niestety) pobożne życzenie - przynajmniej na razie: skoro
token jest zamkniętym mechanicznie urządzonkiem bez żadnych
zewnętrznych kontaktów, to użytkownik (np. bank) nie może
wprowadzić żadnych danych, w szczególności seed-u.

Znając bowiem chęć producentów do wydawania dodatkowych pieniędzy
nie wierzę, żeby token zawierał układ bezprzewodowego wprowadzania
danych. A to oznacza, że bazę danych zawierającą pary "nr tokena -
seed" producent musi dołączać do każdej partii tokenów wysyłanych
do odbiorcy.

Potwierdza to zresztą procedura aktywacji w co najmniej jednym
banku (znana mi z autopsji): bank wysyła token, user telefonuje do
banku i po weryfikacji podaje numer tokena, po czym token zostaje
aktywowany.

witrak()