W dniu 2011-03-19 12:54, Piotr Gałka pisze:
>
> Użytkownik "Rafał" <a...@m...invalid> napisał w wiadomości
> news:4d8482a0$0$2448$65785112@news.neostrada.pl...
>> W dniu 2011-03-19 10:51, Piotr Gałka pisze:
>>> Przecież u nich jest tylko wiedza o algorytmach, a algorytmy w
>>> kryptologii są jawne.
>>
>> Nie, nie są jawne. Nie chodzi tu o szyfrowanie, tylko o generowanie
>> liczb pseudolosowych. Jak choćby ostatnia wtopa Sony z PS3, gdzie
>> można było łatwo przewidzieć, jaki klucz wygeneruje konsola.
>>
> Nic o tym nie wiem, nie śledzę takich informacji (chyba, że pojawią się
> na p.b.b.).
> Nie ulega dla mnie wątpliwości, że algorytm generowania powinien być
> jawny i oparty na kluczach, ustalanych przez bank i wpisywanych do
> kolejnych tokenów i do jakiegoś urządzenia w banku. Nie powinno z tym
> być żadnego problemu.

Szczerze wątpię aby klucze były wpisywane do tokenów przez bank. Tokeny
są (powinny być) zabezpieczone przed jakąkolwiek ingerencją z zewnątrz.
Od momentu gdy producent tokena zamknie obudowę, jakakolwiek ingerencja
powinna się kończyć zniszczeniem tokena.

Poza tym nie wierzę że wszystkie firmy korzystające z tokenów (banki,
firmowe dostępy vpn itd) posiadają urządzenia pozwalające na modyfikację
kluczy w tokenach. To by dopiero była dziura w bezpieczeństwie. To już
lepiej niech producent tokena zajmie się wszystkim, po czym zabezpieczy
token przed ingerencją, on przynajmniej wie jak to zrobić dobrze.

--
Pozdrawiam
Karol