On Fri, 18 Jul 2025 11:05:28 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>>
>> No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
> No wreszcie.

Tylko czy w ogóle jest taka potrzeba, czy się po prostu wysyłało dane
karty do wydawcy do weryfikacji ... i nadal się to robi,
nie przejmując się żadnymi kluczami, ani zmiennością kodu.

>>>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>>>
>>>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>>>> kluczem.
>>>>
>>>> Patrząc na "a key that is known only to the issuer and to Visa"
>>>> to Visa chyba klucz zna.
>>> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
>>> teraz że "visa go zna".
>>> Jedno z drugim ma niewiele wspólnego.
>>
>> Ok, możliwych rozwiązań jest kilka.
>> Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
>> sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
>> od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
>> który w połączeniu z innymi danymi
>> umożliwia weryfikację podanego przez klienta CVV2.
>
> Litości. Z tego co widziałem to przy generowaniu CVV2 jest użyty jeden
> klucz (czy raczej 2 połówki)

No dobra, kod CVV2 klucz został wygenerowany, i wydrukowany na karcie,
i co dalej?
klient coś kupuje, i trzeba zweryfikować.
I jak to jest robione?

>> No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
>> jest stały - to najprosciej byłoby wysyłać dla danej karty
>> zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
>> dających pozytywną weryfikację może być trochę trudne, i jakies takie
>> mało celowe się wydaje.
>
> O czym ty bredzisz?

Że, gdyby naprawdę CVV2 był weryfikowany przez sprzedawcę/agenta,
za pomocą danych karty, algorytmu i jakiegoś klucza,
to pewnie musiałby ten klucz dostać od wystawcy przy każdej
transakcji.
I nawet przy stałym CVV2 klucz wcale nie musi być stały !
Skoro CVV2 to tylko 3 cyfry, to prawdopodobnie co tysięczny klucz
szyfrujący da pozytywną weryfikację prawdziwego CVV2.
Wystawca mógłby więc wysyłać sprzedawcy zmienne klucze za każdym razem
... w imię tzw bezpieczeństwa.

> [...]
>>>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>>>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>>>
>>> Nie muszą. Wystarczy, że będziemy generować nowe klucze.
>>
>> Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
>> przez sprzedawcę/agenta.
>>
>> -źródła podają, że jest jakis klucz wystawcy używany do generacji
>> CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
>> okres, np rok.
>
> A to założenie to skąd? Z poślinionego palca?

że zmieniają co rok, czy że są stałe?

https://developer.visa.com/capabilities/pav/docs-how
-to

"The CVV2 value is calculated using a secure cryptographic process and
a key that is known only to the issuer and to Visa. "

Różnie to można rozumieć, ale wiele z tych rozumień nie ma sensu :-)

>> -rozsyłanie tego klucza to była by głupota,
> Sam podałeś źródło gdzie jest napisane "only visa and issuer" - więc o
> czym znowu pobredzasz?

A jak chcesz weryfikować?
Jeśli sprzedawca/agent ma przesłać komplet danych do wydawcy karty,
to nie trzeba żadnych kluczy - wydawca może przydzielać CVV2 losowo.

Ale jeśli to sprzedawca/agent ma sprawdzać algorytmem ... to musi znac
odpowiedni klucz. I przestaje on być tajny.
Ogólnie rzecz biorąc, to nie musi być ten sam klucz, co użyty do
generacji, tylko algorytm musiałby być cwany.

> [...]
>> podawane dalej klucze ... nie są to klucze używane do szyfrowania
>> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
> Nie są.

A do czego?

Bo wychodzi mi na to, ze w AWS się tworzy klucze w miarę potrzeby
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/create-keys.html

>> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
> Tu obstawiam, że właśnie mają.


Wydaje mi się, że nie, ale może znajdziesz lepszy opis, jak się tego
AWS używa.

J.