Re: zabezpieczenia w bankowosci elektronicznej - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › zabezpieczenia w bankowosci elektronicznej › Re: zabezpieczenia w bankowosci elektronicznej

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
ews.man.poznan.pl!news.ipartners.pl!newsfeed.tpinternet.pl!news.tpi.pl!not-for-
mail
From: "Vizvary II Istvan" <v...@p...onet.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: Tue, 23 Jul 2002 23:37:38 +0200
Organization: tp.internet - http://www.tpi.pl/
Lines: 62
Message-ID: <ahki94$2ig$1@news.tpi.pl>
References: <agb629$c96$1@news.tpi.pl> <p...@4...com>
<agbg6q$2n6$1@news.tpi.pl> <agbhal$jtd$1@news.polbox.pl>
<3...@i...pl> <agc23t$8ka$1@news.polbox.pl>
<agc33b$n5$1@news.tpi.pl> <8...@l...localdomain>
<agjflp$nb5$1@news.tpi.pl> <8...@l...localdomain>
<agu2b5$bdi$1@news.onet.pl> <8...@l...localdomain>
NNTP-Posting-Host: qa70.lodz.cvx.ppp.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news.tpi.pl 1027460197 2640 213.77.250.70 (23 Jul 2002 21:36:37 GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Tue, 23 Jul 2002 21:36:37 +0000 (UTC)
X-Priority: 3
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Newsreader: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.biznes.banki:195375
[ ukryj nagłówki ]

"Maciek Pasternacki" <j...@h...org.pl> wrote in message
news:874reyr4pj.fsf@lizard.localdomain...

> > I co z nim robi ? A tak na prawde klucz publiczny wysyla sie w postaci
> > standardowego zadania certyfikatu w postaci podpisanej kluczem
prywatnym.
> > Mozna jeszcze szyfrowac kluczem publicznym serwera certyfikatow.
>
> Zachowa dla siebie. A bankowi przedstawi swój klucz publiczny
> (podpisany swoim kluczem prywatnym) jako Twój.

A może dlatego banki nie powinne certyfikowac kluczy klientów ?
Chociaż i tak caly atak kuleje.
Potencjalny intruz od samego początku musiałby kontrolować i to w czasie
rzeczywistym korespondencje elektroniczną klienta z centrum certyfikacji.
Nie jest to łatwe, a nawet jesli sie uda, to atak padnie w momencie
osobistej wizyty klienta w celu kontroli tozsamości. Trzeba by wybudować
lipny oddział banku lub lipny punk rejestracji CA.
Według mnie PKI i certyfikacja kluczy ma kilka słabych punktów (wynikają one
z tak a nie inaczej przyjetych komromisów pomiedzy wygoda a bezpieczenstwem,
mozna inaczej, ja bym preferował generowanie zadania off line) ale nie jest
tak prosto oszukac jak sugerujesz.
Niebezpieczenstwo lezy zupelnie gdzie indziej.

zas dalej .... wybacz od tego jest grupa pl.comp.os.advocacy by podyskutowac
sobie w kregu ekspertów (przepraszam za wyrazenie) nad wyzszoscia Linuxa nad
Windowsami i odwrotnie.
Ja po prostu twierdze, że jesli system operacyjny nie rozwiązał sprawę
sprzętowego wspomagania kryptografii, tylko odpuszcza sprawe aplikacjom, to
po prostu jest mało ambitny. Dobrze robi programistom. Czy klientom
też...nie wiem.

> Wybacz, ale o ile rozumiem, sugerujesz
> oddanie kontroli nad podpisami cyfrowymi jednej firmie prywatnej. Nie
> bałbyś się?

SUNowi bym się bal.
AOLowi ? sprzedałbym szybciej komputer.
MS - tu bym się zastanawiał. Przynajmniej pozwala klucze trzymac na kartach
i nie narzuca własnej kryptografii. Zreszta żaden system nie narzuca.

> > zauwaz ile firm na tym zarobi (od TP S.A poczawszy)!
>
> Na tym -- czyli czym i w jaki sposób?

O to chodzi, że jak sam zauważyłesz SSL jako zabezpieczenie (szczególnie
jesli każdy może zmienić wygląd swojej przegladarki) to iluzja. Obrazek
kłodki, napis https i wiara, że to działa.
Jesli zakładamy , że użytkownik potrafi sie podpisać, to również może
szyfrować dane. SAME DANE i bezpieczniej niż robi to SSL. Tak do banku jak
do klienta.
A tak to obrazki i cała reszta idzie szyfrowany, złotówki leca, bo zegar
tyka. Chociaż może i to nie jest taka istotna sprawa...

Vizvary