Re: zabezpieczenia w bankowosci elektronicznej - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › zabezpieczenia w bankowosci elektronicznej › Re: zabezpieczenia w bankowosci elektronicznej

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!news.icm.edu.pl!agh.edu.pl!news.agh.
edu.pl!news.onet.pl!news.polbox.pl!not-for-mail
From: "Pawel Kierski" <p...@m...com.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: Tue, 9 Jul 2002 09:09:56 +0200
Organization: Polbox On-Line Service Sp. z o.o.
Lines: 50
Message-ID: <age2d6$uvq$1@news.polbox.pl>
References: <agb629$c96$1@news.tpi.pl> <p...@4...com>
<agbg6q$2n6$1@news.tpi.pl> <agbhal$jtd$1@news.polbox.pl>
<3...@i...pl> <agc23t$8ka$1@news.polbox.pl>
<agc33b$n5$1@news.tpi.pl>
NNTP-Posting-Host: mks-30.mks.com.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news.polbox.pl 1026198758 31738 195.117.79.30 (9 Jul 2002 07:12:38 GMT)
X-Complaints-To: n...@p...pl
NNTP-Posting-Date: 9 Jul 2002 07:12:38 GMT
X-Priority: 3
X-MSMail-Priority: Normal
X-Newsreader: Microsoft Outlook Express 5.00.2417.2000
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300
Xref: news-archive.icm.edu.pl pl.biznes.banki:192220
[ ukryj nagłówki ]
Użytkownik Piotr W <t...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agc33b$n5$...@n...tpi.pl...
>
> Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
[...]
> > Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
> > Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
> > też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
> > rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
> > (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
> > żeby jednak powiedział 8-), podstawienie komuś trojana logującego
> > naciśnięcia klawisza) są tańsze i szybsze.
> > Paweł Kierski
>
> No dobrze, dobrze . . .
> To jak wygląda tak głośny ostatnio podpis elektroniczny ?
> Jeżeli dobrze trybie to przecież to to samo ?

Doczytałem - wygląda to na asymetryczne klucze. Czyli coś takiego,
na czym będzie funkcjonować podpis elektroniczny.

> Jeszcze jedno :
> mamy tu do czynienia z zahasłowanym kluczem elektronicznym
> trojan przechwyci hasło do klucza a co z samym kluczem ?

Jak jest w praktyce przechowywany? Jeśli gdzieś w pliku, i to
jeszcze o w miarę dobrze ustalonych parametrach, to do "wyłuskania"
żaden problem...
Ideałem jest zewnętrzne urządzenie, które od strony komputera
można jedynie poprosić o podpisanie/zaszyfrowanie ciągu danych.
Dodatkowo takie urządzenie w momencie przyjęcia żądania powinno
prosić o PIN, albo jakoś inaczej weryfikować osobę "podpisującą".

> Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie
> tylko 1 raz.
> Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały
> klucz a jedynie jego sciśle określony ciąg przez niego generowany
> na dany moment , połączenie . . . etc.

W przypadku kluczy asymetrycznych - faktycznie na podstawie jednej
transakcji nie da się nic sensownego uzyskać. Poprzednio pisałem
o sytuacji, gdy hasło służy do autoryzacji (nawet, jeśli przesyłane
jest nie hasło, ale np. losowany przez serwer ciąg szyfrowany
przy użyciu hasła). Ale jak widać system InvestBanku ma dużo słabszy
punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
przechwycić.

Paweł Kierski
p...@m...com.pl