On Fri, 18 Jul 2025 09:42:27 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>
>>>> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?
>>>
>>> Co to znaczy losoowy?
>>
>> losowy, czy pseudolosowy - tak czy inaczej na jedną transakcję.
>
> No i? Do czego właściwie zmierzasz. Cały czas (od momentu pokazania
> algorytmu) mówię, że jesli będziemy zmieniać ten klucz (np. losowo) to
> będziemy zmieniać CVV2 do weryfikacji.

No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
Ale jak jest stałe na karcie?

>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>
>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>> kluczem.
>>
>> Patrząc na "a key that is known only to the issuer and to Visa"
>> to Visa chyba klucz zna.
> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
> teraz że "visa go zna".
> Jedno z drugim ma niewiele wspólnego.

Ok, możliwych rozwiązań jest kilka.
Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
który w połączeniu z innymi danymi
umożliwia weryfikację podanego przez klienta CVV2.

No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
jest stały - to najprosciej byłoby wysyłać dla danej karty
zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
dających pozytywną weryfikację może być trochę trudne, i jakies takie
mało celowe się wydaje.
A i sama weryfikacja przez sprzedawcę/agenta, wydaje się mało
sensowna.

>> I na dobrą sprawę jest w stanie zweryfikować CVV2 z karty - jeśli bank
>> się trzyma zadanego algorytmu.
>
> Właśnie odkryłeś że jeśli mamy te same dane i ten sam algorytm, to
> otrzymamy ten sam wynik. Gratuluję.

Tylko:
-wymaga to znajomości przez Visę klucza banku/wydawcy,
-i ze źrodeł wynika, że Visa istotnie ten klucz zna,

-pozwala to zweryfikować CVV2 przez Visę, bez potrzeby angażowania
komputerów wystawcy. Co w nielicznych przypadkach wydaje się miec sens
... np masz swoją platynową kartę, kupujesz cos przez internet, twój
bank ma akurat ważną aktualizację i nic nie autoryzuje, ale w
zastępstwie Visa odsyła "tak, tą transackję autoryzujemy".

>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>
> Nie muszą. Wystarczy, że będziemy generować nowe klucze.

Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
przez sprzedawcę/agenta.

-źródła podają, że jest jakis klucz wystawcy używany do generacji
CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
okres, np rok.
-rozsyłanie tego klucza to była by głupota,
-być może rozsyłany jest jakiś inny klucz "publiczny" ... ale akurat
3DES nie należy to takich szyfrów.
I choć wydaje mi się, że można jakiś inny klucz do celów
weryfikacyjnych przygotować, zmienny, to sensu w tym widzę niewiele.
Najprościej to niech sprzedawca/agent wyśle wszystkie dane do
wystawcy, a ten potwierdzi.

>> Aczkolwiek ... wątpię, aby Visa weryfikowała/autoryzowała,
>> bo jak trzeba sprawdzić czy karta nie zastrzeżona, czy pieniądze są na
>> koncie/limit nie przekroczony - to i tak trzeba spytać bank/wydawcę,
>> i najprościej przekazać mu ten CVV2 do sprawdzenia.
>> A jednak ... tak to jakoś wymyślili/opisali.
>
> Znowu zmieniasz temat. Co ma wspólnego CVV2 ze sprawdzaniem pozostałych
> rzeczy?

Skoro inne rzeczy i tak trzeba sprawdzić, i tak trzeba sie
skomunikować z serwerem wystawcy, to czemu mu przy okazji nie wysłać
CVV2 do sprawdzenia?

>>>> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
>>>> to by Visa musiała sprawdzić losowy kod przydzielony przez
>>>> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...
>>>
>>> Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
>>> kryptograficznego?
>>
>> Ale co masz na myśli? Że ktoś po drodze mógłby ten CVV2
>> podejrzeć/podsłuchać?
>> Pewnie mógłby, podobnie jak inne dane - najsensowniej całą komunikację
>> szyfrować.
>
> Nie. Po prostu mam wrażenie, że Ty tego algorytmu, który tu podałeś -
> nie rozumiesz i zaczynasz pobredzać.

te podawane algorytmy, np
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html

to się teraz zastawiam, do czego słuzą.

https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/what-is.html

"AWS Payment Cryptography is a managed AWS service that provides
access to cryptographic functions and key management used in payment
processing in accordance with payment card industry (PCI) standards
without the need for you to procure dedicated payment HSM instances.
AWS Payment Cryptography provides customers performing payment
functions such as acquirers, payment facilitators, networks, switches,
processors, and banks with the ability to move their payment
cryptographic operations closer to applications in the cloud and
minimize dependencies on auxiliary data centers or colocation
facilities containing dedicated payment HSMs. "

podawane dalej klucze ... nie są to klucze używane do szyfrowania
komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?

J.