"J.F" <j...@p...onet.pl> writes:

[...]
>
> No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
No wreszcie.

> Ale jak jest stałe na karcie?

To wtedy nie zmieniamy kluczy. Proste.

>
>>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>>
>>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>>> kluczem.
>>>
>>> Patrząc na "a key that is known only to the issuer and to Visa"
>>> to Visa chyba klucz zna.
>> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
>> teraz że "visa go zna".
>> Jedno z drugim ma niewiele wspólnego.
>
> Ok, możliwych rozwiązań jest kilka.
> Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
> sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
> od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
> który w połączeniu z innymi danymi
> umożliwia weryfikację podanego przez klienta CVV2.

Litości. Z tego co widziałem to przy generowaniu CVV2 jest użyty jeden
klucz (czy raczej 2 połówki)

>
> No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
> jest stały - to najprosciej byłoby wysyłać dla danej karty
> zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
> dających pozytywną weryfikację może być trochę trudne, i jakies takie
> mało celowe się wydaje.

O czym ty bredzisz?

[...]
>>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>>
>> Nie muszą. Wystarczy, że będziemy generować nowe klucze.
>
> Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
> przez sprzedawcę/agenta.
>
> -źródła podają, że jest jakis klucz wystawcy używany do generacji
> CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
> okres, np rok.

A to założenie to skąd? Z poślinionego palca?

> -rozsyłanie tego klucza to była by głupota,

Sam podałeś źródło gdzie jest napisane "only visa and issuer" - więc o
czym znowu pobredzasz?

[...]
Ja wysiadam. Szkoda tylko, że inni mogą wziąć na serio to co piszesz.


>
> to się teraz zastawiam, do czego słuzą.
>
[...]
>
> podawane dalej klucze ... nie są to klucze używane do szyfrowania
> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
Nie są.

> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
Tu obstawiam, że właśnie mają.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Guns don't kill people. It's those damn bullets. Guns just make them go
really really fast.
-- Jake Johanson