On Wed, 16 Jul 2025 17:04:14 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>> On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
>>> "J.F" <j...@p...onet.pl> writes:
>>>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>>> [...]
>>>>>>>>
>>>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>>>
>>>>>>> A jakieś źródło tej rewelacji?
>>>>>>
>>>>>> np
>>>>>>
>>>>>> https://www.chargebackgurus.com/blog/cvv2
>>>>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>>>>
>>>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>>>
>>>> I myśliśz, że bank za każdą kartą zmienia?
>>>> Czy raczej raz na parę lat, albo wcale?
>>>
>>> Ja myślę, że spokojnie może być inny klucz per transakcja.
>>
>> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?
>
> Co to znaczy losoowy?

losowy, czy pseudolosowy - tak czy inaczej na jedną transakcję.

> [...]
>>>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>>>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>>>
>>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>>
>> To chyba było z jakiejs innej strony - że issuer dostaje od "payment"
>>
>>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>>> wysyłany do Visy - spełnia to.
>>
>> Tylko jaki miałoby to sens, przy zwykłych kartach?
>> CVV2 jest jeden, się nie zmienia.
>
> Cała dyskusja zaczęła się od tego że SIĘ ZMIENIA.

Się zmienia, i to jest nowa technologia, i nowe programy.

Bo dyskusja w tej gałęzi zdryfowała na "stały CVV na karcie to żadne
zabezpieczenie".

>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>
> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
> kluczem.

Patrząc na "a key that is known only to the issuer and to Visa"
to Visa chyba klucz zna.
I na dobrą sprawę jest w stanie zweryfikować CVV2 z karty - jeśli bank
się trzyma zadanego algorytmu.

Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
zmiennych, które muszą być jakoś inaczej sprawdzane.

Aczkolwiek ... wątpię, aby Visa weryfikowała/autoryzowała,
bo jak trzeba sprawdzić czy karta nie zastrzeżona, czy pieniądze są na
koncie/limit nie przekroczony - to i tak trzeba spytać bank/wydawcę,
i najprościej przekazać mu ten CVV2 do sprawdzenia.
A jednak ... tak to jakoś wymyślili/opisali.

>> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
>> to by Visa musiała sprawdzić losowy kod przydzielony przez
>> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...
>
> Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
> kryptograficznego?

Ale co masz na myśli? Że ktoś po drodze mógłby ten CVV2
podejrzeć/podsłuchać?
Pewnie mógłby, podobnie jak inne dane - najsensowniej całą komunikację
szyfrować.

J.