Re: zabezpieczenia w bankowosci elektronicznej - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › zabezpieczenia w bankowosci elektronicznej › Re: zabezpieczenia w bankowosci elektronicznej

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!warszawa.rmf.pl!newsfeed.tpinternet.
pl!news.logonet.pl!lizard!not-for-mail
From: Maciek Pasternacki <j...@h...org.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: Tue, 09 Jul 2002 10:56:28 +0200
Organization: Logonet
Lines: 52
Message-ID: <8...@l...localdomain>
References: <agb629$c96$1@news.tpi.pl> <p...@4...com>
<agbg6q$2n6$1@news.tpi.pl> <agbhal$jtd$1@news.polbox.pl>
<3...@i...pl> <agc23t$8ka$1@news.polbox.pl>
<agc33b$n5$1@news.tpi.pl>
NNTP-Posting-Host: moo.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: pola.logonet.pl 1026373866 2172 213.76.184.18 (11 Jul 2002 07:51:06 GMT)
X-Complaints-To: a...@l...pl
NNTP-Posting-Date: Thu, 11 Jul 2002 07:51:06 +0000 (UTC)
X-Favourite-Drink: Cherry-Coke
User-Agent: Gnus/5.090005 (Oort Gnus v0.05) Emacs/21.2 (i386-redhat-linux-gnu)
Xref: news-archive.icm.edu.pl pl.biznes.banki:192691
[ ukryj nagłówki ]
"Piotr W" <t...@p...onet.pl> writes:

> To jak wygląda tak głośny ostatnio podpis elektroniczny ?
> Jeżeli dobrze trybie to przecież to to samo ?

W podpisie elektronicznym masz do czynienia z tzw. kluczem prywatnym i
publicznym. Klucz prywatny masz tylko ty, klucz publiczny zna cały
świat. Jednego klucza nie da się (w sensownym czasie) otrzymać z
drugiego. Dane zaszefrowane kluczem publicznym da się odszyfrować
tylko odpowiednim kluczem prywatnym (szyfrowanie) i na odwrót
(podpis). W przypadku podpisu szyfruje się nie całą wiadomość, ale
wartość jednokierunkowej funkcji skrótu tej wiadomości. W oryginalnym
algorytmie nie ma żadnych haseł.

Hasło do klucza polega na tym, że plik z kluczem prywatnym masz
dodatkowo zaszyfrowany ,,na hasło''. Dopiero po podaniu hasła możesz
(czy ty, czy ten pan, który przegrał plik z Twoim kluczem na
dyskietkę, kiedy ,,coś sprawdzał w sieci'') odczytać swój klucz
prywatny i zaszyfrować nim coś (tzn. podpisać) bądź odszyfrować
(odczytać wiadomość przeznaczoną tylko dla ciebie).

W przypadku podpisu elektronicznego hasło, ani żadna inna wrażliwa
wiadomość, nie jest przesyłana przez sieć przy każdej transakcji (ani
w postaci czystej, ani w zaszyfrowanej), bo autoryzacja nie opiera się
na znajomości wspólnego sekretu (hasła), tylko na posiadaniu
odpowiednich połówek sekretu (klucza publicznego i prywatnego).

Jak w poście niżej, odsyłam do ,,Kryptografii dla praktyków'' Bruce'a
Schneiera.

> mamy tu do czynienia z zahasłowanym kluczem elektronicznym
> trojan przechwyci hasło do klucza a co z samym kluczem ?
> Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie tylko 1
> raz.
> Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały klucz
> a jedynie jego sciśle określony ciąg przez niego generowany
> na dany moment , połączenie . . . etc.

Trojan nie przechwyci hasła z sieci (to robią sniffery), bo ono nie
jest przesyłane. Trojan jest programem uruchomionym na twoim
komputerze. On przechwyci hasło po drodze między klawiaturą a
programem (przeglądarką czy czym tam innym). A plik z kluczem po
prostu odczyta z dysku. Ani jedno, ani drugie nie stanowi problemu, o
ile twoj komputer nie jest dośc mocno pozabezpieczany.

--japhy

--
__ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...Boże Ciało. Pół rynku, albo trzy czwarte rynku,
,|{-}|}| }\/ oblepione wiernymi. Czemuś jestem wierny,
\/ |____/ więc czuję się u siebie... } ( M. Świetlicki ) -><-