s...@g...com writes:

> Napisalem ci, token rsa to 200pln. za tyle kupie tradycyjnego fona bez
> androida i moge na niego wladowac apke do tokena. To nie bedzie
> drozsze. Bedzie mialo inne niewielkie wady ale drozsze nie bedzie.

Zrozum że to o czym piszesz jest możliwe w zastosowaniach
"akademickich", ale nie da się tego użyć "przemysłowo".
Cena telefonu jest tu mało istotna, główne koszty będą w innych
miejscach (chyba że chcesz tego mieć 500 tysięcy, to wtedy sprawa
wygląda inaczej, ale tak czy owak telefon nie będzie wtedy sensownym
wyjściem).

BTW:
https://pl.wikipedia.org/wiki/Security_through_obscu
rity

Główną wadą tokena RSA nie jest cena (byłaby ona istotna, gdyby nie inne
problemy).
--
Krzysztof Hałasa

do góry

Dnia Sat, 16 Feb 2019 12:43:20 +0100, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>> Tylko musza miec narzedzia do programowania tokena.
>> A jesli on nie ma komunikacja, bo maszynka to robi to dotykajac
>> plytki, po czym skleja obudowe ?
>
> Nie widzę najmniejszego problemu - wystarczy procedura typu "wciśnij
> przycisk przez 30 sekund i przepisz kod z tokena" (każde naciśnięcie
> przycisku przewija kod do następnej części). Musi być przycisk, ale
> samym przyciskiem chyba nikt się nie włamie?

Cena rosnie :-)

Ale co ci da 1 przycisk ?
Chcemy, zeby bank sobie wpisal odpowiednie seedy/kody sam.

Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
do komputera ?

>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
> Historia pokazuje, że nie było to niemożliwe.

Albo tylko urban legend.

>> Przy czym pomijajac patenty i troche wiedzy, to taki token nie jest
>> zbyt skomplikowany i bank/Iran moze go zrobic samemu ...
>
> Są firmy, które tak robią. Nie żeby to było łatwe i przyjemne, lub
> całkowicie pozbawione ryzyka.

Patrz chocby telewizje kodowane.
Ile czasu im zajelo zrobienie bezpiecznego systemu ?

J.

do góry

"J.F." <j...@p...onet.pl> writes:

> Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
> do komputera ?

To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
ma być automatycznie.

>>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
>> Historia pokazuje, że nie było to niemożliwe.
>
> Albo tylko urban legend.

To jest raczej dość dobrze zweryfikowane.
Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.

> Patrz chocby telewizje kodowane.
> Ile czasu im zajelo zrobienie bezpiecznego systemu ?

A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
W przypadku bankowego tokena nie należy zakładać, że user będzie aktywnie
starał się go złamać. Natomiast stawka jest większa niż przy jakiejś
telewizji.
--
Krzysztof Hałasa

do góry

Dnia Sun, 17 Feb 2019 23:19:30 +0100, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>
>> Chcesz, zeby token sam sobie seeda generowal, ktory obsluga przepisze
>> do komputera ?
>
> To najprostsza metoda. Można np. wymrugać diodą (wyświetlaczem), jeśli
> ma być automatycznie.

Porzadny generator losowy ... cena dalej rosnie ..

>>>> Myslisz, ze tek latwo dociec nr tokenow, ktore posiadaja ?
>>> Historia pokazuje, że nie było to niemożliwe.
>>
>> Albo tylko urban legend.
>
> To jest raczej dość dobrze zweryfikowane.
> Poza tym, coś, co jest nadrukowane na obudowie, nie może być tajne.

Nadrukowany jest numer, seed trzeba wykrasc.
Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
Iranie ...

>> Patrz chocby telewizje kodowane.
>> Ile czasu im zajelo zrobienie bezpiecznego systemu ?
>
> A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?

Chyba tak - teraz modne wspoldzielenie kart.

J.

do góry

"J.F." <j...@p...onet.pl> writes:

> Porzadny generator losowy ... cena dalej rosnie ..

Bez przesady, generator losowy "mierzący" szumy termiczne praktycznie
nic nie kosztuje. Kiedyś były takie w scalakach pecetowych - ciekawe
czemu je wycofano i zastąpiono np. "bezpiecznymi" PRNG (następnie
wymaganymi np. przez FIPS-140)?

> Nadrukowany jest numer, seed trzeba wykrasc.
> Wykradzenie moze i udokumentowane, ale jak znalezc numery tokenow w
> Iranie ...

Jeszcze raz - są nadrukowane na obudowach tokenów - nie mogą być
traktowane jako poufne (niezależnie od tego, co wymyślił jakiś czas temu
producent).
Listy numerów mają m.in. dostawcy.
Zależnie od zastosowania, często można próbować wiele razy.

>>> Patrz chocby telewizje kodowane.
>>> Ile czasu im zajelo zrobienie bezpiecznego systemu ?
>>
>> A to jest akurat inna sprawa. W ogóle zrobili bezpieczny system?
>
> Chyba tak - teraz modne wspoldzielenie kart.

To gdzie to bezpieczeństwo, jeśli można współdzielić karty?
Aczkolwiek takie rzeczy są z góry skazane na niepowodzenie, jeśli ktoś
może wyświetlić np. film, to równie dobrze może z nim zrobić co mu się
podoba. Jedyna nadzieja w tym, że mu się nie będzie chciało (abonament
to nie jest wielki koszt), że będzie to uciążliwe, i że nie sprzeda tego
zbyt łatwo (policja itp), a w końcu, że nie sprzeda tego masowo, tak by
przestało się opłacać działać nadawcy.
--
Krzysztof Hałasa

do góry