Kamil Jońca <k...@p...onet.pl> writes:

> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
> wysyłany do Visy - spełnia to.

Ciekawe co to w ogóle znaczy "wysyłany do Visy"?
Do ew. partnerów w Visie, to pewnie tak.
--
Krzysztof Hałasa

do góry

Krzysztof Hałasa <k...@p...waw.pl> writes:

> Kamil Jońca <k...@p...onet.pl> writes:
>
>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>> wysyłany do Visy - spełnia to.
>
> Ciekawe co to w ogóle znaczy "wysyłany do Visy"?
> Do ew. partnerów w Visie, to pewnie tak.

Nie chce mi się wnikać co znaczy "Visa" w tym kontekście.
Tak naprawdę chodziło mi o zdanie "CVV2 zależy tylko od danych na
karcie". No więc nie. I tyle.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
If your life was a horse, you'd have to shoot it.

do góry

On Thu, 17 Jul 2025 16:38:08 +0200, Kamil Jońca wrote:
> Krzysztof Hałasa <k...@p...waw.pl> writes:
>
>> Kamil Jońca <k...@p...onet.pl> writes:
>>
>>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>>> wysyłany do Visy - spełnia to.
>>
>> Ciekawe co to w ogóle znaczy "wysyłany do Visy"?
>> Do ew. partnerów w Visie, to pewnie tak.
>
> Nie chce mi się wnikać co znaczy "Visa" w tym kontekście.
> Tak naprawdę chodziło mi o zdanie "CVV2 zależy tylko od danych na
> karcie". No więc nie. I tyle.

Wychodzi jednak na to, że dla jednego banku zależy.

J.

do góry

"J.F" <j...@p...onet.pl> writes:

> On Thu, 17 Jul 2025 16:38:08 +0200, Kamil Jońca wrote:
>> Krzysztof Hałasa <k...@p...waw.pl> writes:
>>
>>> Kamil Jońca <k...@p...onet.pl> writes:
>>>
>>>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>>>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>>>> wysyłany do Visy - spełnia to.
>>>
>>> Ciekawe co to w ogóle znaczy "wysyłany do Visy"?
>>> Do ew. partnerów w Visie, to pewnie tak.
>>
>> Nie chce mi się wnikać co znaczy "Visa" w tym kontekście.
>> Tak naprawdę chodziło mi o zdanie "CVV2 zależy tylko od danych na
>> karcie". No więc nie. I tyle.
>
> Wychodzi jednak na to, że dla jednego banku zależy.

Niby w jaki sposób skoro potrzebujemy klucza, który jest poza kartą?

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
kondensator - kondensatorych - kondensatoremu
(odmiana słowa "kondensator" według MS Word 6.0)

do góry

On Thu, 17 Jul 2025 16:16:40 +0200, Krzysztof Hałasa wrote:
> Kamil Jońca <k...@p...onet.pl> writes:
>
>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>> wysyłany do Visy - spełnia to.
>
> Ciekawe co to w ogóle znaczy "wysyłany do Visy"?
> Do ew. partnerów w Visie, to pewnie tak.

Ja tam nie wiem, ale mam podejrzenie, że jak polską kartą Visa płacę w
polskim sklepie, to Visa nic o tym nie wie.
Jakoś się tam chyba polskie banki/wydawcy dogadali z poslskim agentami
rozliczeniowymi, i sprawdzają w ramach własnej sieci.

No ale jak wyjezdzam np do Meksyku, czy Cniczyk przyjeżdza do Polski,
to Visa chyba pośredniczy przy płatnościach ?

Visa i MC sie nie obraziły na Rosję?
Podobno tak, a karty w Rosji nadal działają ... tzn mam na myśli te
wydane przez rosyjskie banki, ale obce chyba też ...


J.

do góry

On Thu, 17 Jul 2025 16:04:41 +0200, Krzysztof Hałasa wrote:
> "J.F" <j...@p...onet.pl> writes:
>> Google ma podobno scianę "Lava lamp" do generacji kluczy.
> Tzn?

Taki tam generator liczb losowych
https://en.wikipedia.org/wiki/Lavarand


>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>> karcie. Więc żadne zabezpieczenie.
>
> A jakiś dowód lub coś w tym kierunku? No wiem, czepiam się :-)

wyszło w międzyczasie
https://developer.visa.com/capabilities/pav/docs-how
-to

Każdy bank/wydawca ma indywidualny klucz do generacji.

> BTW każdy bank może po swojemu generować kody CVV*.
> To oznacza, że w ogólnym przypadku nie da się stwierdzić (twierdzenie
> nie miałoby sensu), czy w danym przypadku to jest PRNG, czy "prawdziwy"
> RNG, czy rzeczywiście coś wyjątkowo wadliwie zaprojektowanego.
>
> Poza tym, istnieją zmienne CVV2 :-)

Istnieją, ale to chyba jakaś nowa technologia. Postęp.

>> -czyli cykliczne obciążenia się robi bez CVV2 ...
> No raczej.

Ale ciekawe na jakiej zasadzie. Banki pamiętają komu raz autoryzowały,
mają listę zaufanych kontrahentów ?
Umowa pewnie zakłada, że klient zawsze może wycofać transakcję,
ale kontrahent musi być na tyle stabilny, aby oddać.
Chyba, że to taki drobny margines, że banki/ubezpieczenie biorą to na
siebie ...

J.

do góry

On Wed, 16 Jul 2025 17:04:14 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>> On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
>>> "J.F" <j...@p...onet.pl> writes:
>>>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>>> [...]
>>>>>>>>
>>>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>>>
>>>>>>> A jakieś źródło tej rewelacji?
>>>>>>
>>>>>> np
>>>>>>
>>>>>> https://www.chargebackgurus.com/blog/cvv2
>>>>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>>>>
>>>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>>>
>>>> I myśliśz, że bank za każdą kartą zmienia?
>>>> Czy raczej raz na parę lat, albo wcale?
>>>
>>> Ja myślę, że spokojnie może być inny klucz per transakcja.
>>
>> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?
>
> Co to znaczy losoowy?

losowy, czy pseudolosowy - tak czy inaczej na jedną transakcję.

> [...]
>>>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>>>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>>>
>>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>>
>> To chyba było z jakiejs innej strony - że issuer dostaje od "payment"
>>
>>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>>> wysyłany do Visy - spełnia to.
>>
>> Tylko jaki miałoby to sens, przy zwykłych kartach?
>> CVV2 jest jeden, się nie zmienia.
>
> Cała dyskusja zaczęła się od tego że SIĘ ZMIENIA.

Się zmienia, i to jest nowa technologia, i nowe programy.

Bo dyskusja w tej gałęzi zdryfowała na "stały CVV na karcie to żadne
zabezpieczenie".

>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>
> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
> kluczem.

Patrząc na "a key that is known only to the issuer and to Visa"
to Visa chyba klucz zna.
I na dobrą sprawę jest w stanie zweryfikować CVV2 z karty - jeśli bank
się trzyma zadanego algorytmu.

Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
zmiennych, które muszą być jakoś inaczej sprawdzane.

Aczkolwiek ... wątpię, aby Visa weryfikowała/autoryzowała,
bo jak trzeba sprawdzić czy karta nie zastrzeżona, czy pieniądze są na
koncie/limit nie przekroczony - to i tak trzeba spytać bank/wydawcę,
i najprościej przekazać mu ten CVV2 do sprawdzenia.
A jednak ... tak to jakoś wymyślili/opisali.

>> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
>> to by Visa musiała sprawdzić losowy kod przydzielony przez
>> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...
>
> Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
> kryptograficznego?

Ale co masz na myśli? Że ktoś po drodze mógłby ten CVV2
podejrzeć/podsłuchać?
Pewnie mógłby, podobnie jak inne dane - najsensowniej całą komunikację
szyfrować.

J.

do góry

"J.F" <j...@p...onet.pl> writes:


[...]

>>> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?
>>
>> Co to znaczy losoowy?
>
> losowy, czy pseudolosowy - tak czy inaczej na jedną transakcję.

No i? Do czego właściwie zmierzasz. Cały czas (od momentu pokazania
algorytmu) mówię, że jesli będziemy zmieniać ten klucz (np. losowo) to
będziemy zmieniać CVV2 do weryfikacji.


>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>
>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>> kluczem.
>
> Patrząc na "a key that is known only to the issuer and to Visa"
> to Visa chyba klucz zna.
Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
teraz że "visa go zna".
Jedno z drugim ma niewiele wspólnego.

> I na dobrą sprawę jest w stanie zweryfikować CVV2 z karty - jeśli bank
> się trzyma zadanego algorytmu.

Właśnie odkryłeś że jeśli mamy te same dane i ten sam algorytm, to
otrzymamy ten sam wynik. Gratuluję.

>
> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
> zmiennych, które muszą być jakoś inaczej sprawdzane.

Nie muszą. Wystarczy, że będziemy generować nowe klucze.

>
> Aczkolwiek ... wątpię, aby Visa weryfikowała/autoryzowała,
> bo jak trzeba sprawdzić czy karta nie zastrzeżona, czy pieniądze są na
> koncie/limit nie przekroczony - to i tak trzeba spytać bank/wydawcę,
> i najprościej przekazać mu ten CVV2 do sprawdzenia.
> A jednak ... tak to jakoś wymyślili/opisali.

Znowu zmieniasz temat. Co ma wspólnego CVV2 ze sprawdzaniem pozostałych
rzeczy?

>>> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
>>> to by Visa musiała sprawdzić losowy kod przydzielony przez
>>> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...
>>
>> Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
>> kryptograficznego?
>
> Ale co masz na myśli? Że ktoś po drodze mógłby ten CVV2
> podejrzeć/podsłuchać?
> Pewnie mógłby, podobnie jak inne dane - najsensowniej całą komunikację
> szyfrować.

Nie. Po prostu mam wrażenie, że Ty tego algorytmu, który tu podałeś -
nie rozumiesz i zaczynasz pobredzać.


KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Give them RADAR-GUIDED SKEE-BALL LANES and VELVEETA BURRITOS!!

do góry

On Fri, 18 Jul 2025 09:42:27 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>
>>>> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?
>>>
>>> Co to znaczy losoowy?
>>
>> losowy, czy pseudolosowy - tak czy inaczej na jedną transakcję.
>
> No i? Do czego właściwie zmierzasz. Cały czas (od momentu pokazania
> algorytmu) mówię, że jesli będziemy zmieniać ten klucz (np. losowo) to
> będziemy zmieniać CVV2 do weryfikacji.

No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
Ale jak jest stałe na karcie?

>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>
>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>> kluczem.
>>
>> Patrząc na "a key that is known only to the issuer and to Visa"
>> to Visa chyba klucz zna.
> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
> teraz że "visa go zna".
> Jedno z drugim ma niewiele wspólnego.

Ok, możliwych rozwiązań jest kilka.
Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
który w połączeniu z innymi danymi
umożliwia weryfikację podanego przez klienta CVV2.

No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
jest stały - to najprosciej byłoby wysyłać dla danej karty
zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
dających pozytywną weryfikację może być trochę trudne, i jakies takie
mało celowe się wydaje.
A i sama weryfikacja przez sprzedawcę/agenta, wydaje się mało
sensowna.

>> I na dobrą sprawę jest w stanie zweryfikować CVV2 z karty - jeśli bank
>> się trzyma zadanego algorytmu.
>
> Właśnie odkryłeś że jeśli mamy te same dane i ten sam algorytm, to
> otrzymamy ten sam wynik. Gratuluję.

Tylko:
-wymaga to znajomości przez Visę klucza banku/wydawcy,
-i ze źrodeł wynika, że Visa istotnie ten klucz zna,

-pozwala to zweryfikować CVV2 przez Visę, bez potrzeby angażowania
komputerów wystawcy. Co w nielicznych przypadkach wydaje się miec sens
... np masz swoją platynową kartę, kupujesz cos przez internet, twój
bank ma akurat ważną aktualizację i nic nie autoryzuje, ale w
zastępstwie Visa odsyła "tak, tą transackję autoryzujemy".

>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>
> Nie muszą. Wystarczy, że będziemy generować nowe klucze.

Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
przez sprzedawcę/agenta.

-źródła podają, że jest jakis klucz wystawcy używany do generacji
CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
okres, np rok.
-rozsyłanie tego klucza to była by głupota,
-być może rozsyłany jest jakiś inny klucz "publiczny" ... ale akurat
3DES nie należy to takich szyfrów.
I choć wydaje mi się, że można jakiś inny klucz do celów
weryfikacyjnych przygotować, zmienny, to sensu w tym widzę niewiele.
Najprościej to niech sprzedawca/agent wyśle wszystkie dane do
wystawcy, a ten potwierdzi.

>> Aczkolwiek ... wątpię, aby Visa weryfikowała/autoryzowała,
>> bo jak trzeba sprawdzić czy karta nie zastrzeżona, czy pieniądze są na
>> koncie/limit nie przekroczony - to i tak trzeba spytać bank/wydawcę,
>> i najprościej przekazać mu ten CVV2 do sprawdzenia.
>> A jednak ... tak to jakoś wymyślili/opisali.
>
> Znowu zmieniasz temat. Co ma wspólnego CVV2 ze sprawdzaniem pozostałych
> rzeczy?

Skoro inne rzeczy i tak trzeba sprawdzić, i tak trzeba sie
skomunikować z serwerem wystawcy, to czemu mu przy okazji nie wysłać
CVV2 do sprawdzenia?

>>>> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
>>>> to by Visa musiała sprawdzić losowy kod przydzielony przez
>>>> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...
>>>
>>> Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
>>> kryptograficznego?
>>
>> Ale co masz na myśli? Że ktoś po drodze mógłby ten CVV2
>> podejrzeć/podsłuchać?
>> Pewnie mógłby, podobnie jak inne dane - najsensowniej całą komunikację
>> szyfrować.
>
> Nie. Po prostu mam wrażenie, że Ty tego algorytmu, który tu podałeś -
> nie rozumiesz i zaczynasz pobredzać.

te podawane algorytmy, np
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html

to się teraz zastawiam, do czego słuzą.

https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/what-is.html

"AWS Payment Cryptography is a managed AWS service that provides
access to cryptographic functions and key management used in payment
processing in accordance with payment card industry (PCI) standards
without the need for you to procure dedicated payment HSM instances.
AWS Payment Cryptography provides customers performing payment
functions such as acquirers, payment facilitators, networks, switches,
processors, and banks with the ability to move their payment
cryptographic operations closer to applications in the cloud and
minimize dependencies on auxiliary data centers or colocation
facilities containing dedicated payment HSMs. "

podawane dalej klucze ... nie są to klucze używane do szyfrowania
komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?

J.

do góry

"J.F" <j...@p...onet.pl> writes:

[...]
>
> No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
No wreszcie.

> Ale jak jest stałe na karcie?

To wtedy nie zmieniamy kluczy. Proste.

>
>>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>>
>>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>>> kluczem.
>>>
>>> Patrząc na "a key that is known only to the issuer and to Visa"
>>> to Visa chyba klucz zna.
>> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
>> teraz że "visa go zna".
>> Jedno z drugim ma niewiele wspólnego.
>
> Ok, możliwych rozwiązań jest kilka.
> Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
> sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
> od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
> który w połączeniu z innymi danymi
> umożliwia weryfikację podanego przez klienta CVV2.

Litości. Z tego co widziałem to przy generowaniu CVV2 jest użyty jeden
klucz (czy raczej 2 połówki)

>
> No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
> jest stały - to najprosciej byłoby wysyłać dla danej karty
> zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
> dających pozytywną weryfikację może być trochę trudne, i jakies takie
> mało celowe się wydaje.

O czym ty bredzisz?

[...]
>>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>>
>> Nie muszą. Wystarczy, że będziemy generować nowe klucze.
>
> Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
> przez sprzedawcę/agenta.
>
> -źródła podają, że jest jakis klucz wystawcy używany do generacji
> CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
> okres, np rok.

A to założenie to skąd? Z poślinionego palca?

> -rozsyłanie tego klucza to była by głupota,

Sam podałeś źródło gdzie jest napisane "only visa and issuer" - więc o
czym znowu pobredzasz?

[...]
Ja wysiadam. Szkoda tylko, że inni mogą wziąć na serio to co piszesz.


>
> to się teraz zastawiam, do czego słuzą.
>
[...]
>
> podawane dalej klucze ... nie są to klucze używane do szyfrowania
> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
Nie są.

> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
Tu obstawiam, że właśnie mają.
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Guns don't kill people. It's those damn bullets. Guns just make them go
really really fast.
-- Jake Johanson

do góry