W ST jak najbardziej na komputerze, tylko rzeźbienie w ST na telefonie lub nawet na
tablecie to może już lepiej na ryby iść.
Przy czym apka konkretnego banku (nie wiem jak inne) na fonie musi być jako główna na
ekranie, a gdy tylko na coś innego się
przełączysz to apka wylogowuje.
A bank no qrewka blada jak najbardziej emerycki, jak oni to robią :-0


-----
> No, zmienne CVx2 powinno się dać w ST przeglądarkowym wygenerować

do góry

Dezinfolinia twierdzi, że tak było kiedyś, a od jakiegoś czasu losowo powiedzmy co
miesiąc sobie sprawdza, ale kto wie.

PYTANIE:
Jak na jednym numerze telefonu mieć parę apek bankowych z płatnościami mobilnymi?


-----
> ipko potrzebuje sim na czas pierwszej aktywacji .. tylko

do góry

On Fri, 18 Jul 2025 11:05:28 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>>
>> No i tam, gdzie jest CVV2 zmienne, tam miałoby to jakiś sens.
> No wreszcie.

Tylko czy w ogóle jest taka potrzeba, czy się po prostu wysyłało dane
karty do wydawcy do weryfikacji ... i nadal się to robi,
nie przejmując się żadnymi kluczami, ani zmiennością kodu.

>>>>>> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
>>>>>> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.
>>>>>
>>>>> Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
>>>>> kluczem.
>>>>
>>>> Patrząc na "a key that is known only to the issuer and to Visa"
>>>> to Visa chyba klucz zna.
>>> Nie zmieniaj tematu. Najpierw piszesz, że "klucz powinien być stały" a
>>> teraz że "visa go zna".
>>> Jedno z drugim ma niewiele wspólnego.
>>
>> Ok, możliwych rozwiązań jest kilka.
>> Pierwsze, prawie na pewno nieprawdziwe w tym przypadku -
>> sprzedawca/agent rozliczeniowy dostaje przy każdej transacji,
>> od Visy czy wydawcy karty klucz, nazwijmy go publicznym,
>> który w połączeniu z innymi danymi
>> umożliwia weryfikację podanego przez klienta CVV2.
>
> Litości. Z tego co widziałem to przy generowaniu CVV2 jest użyty jeden
> klucz (czy raczej 2 połówki)

No dobra, kod CVV2 klucz został wygenerowany, i wydrukowany na karcie,
i co dalej?
klient coś kupuje, i trzeba zweryfikować.
I jak to jest robione?

>> No ale ponieważ na plastikowej karcie jest ten CVV2 wydrukowany, i
>> jest stały - to najprosciej byłoby wysyłać dla danej karty
>> zawsze taki sam klucz weryfikacyjny. Znalezienie innych kluczy
>> dających pozytywną weryfikację może być trochę trudne, i jakies takie
>> mało celowe się wydaje.
>
> O czym ty bredzisz?

Że, gdyby naprawdę CVV2 był weryfikowany przez sprzedawcę/agenta,
za pomocą danych karty, algorytmu i jakiegoś klucza,
to pewnie musiałby ten klucz dostać od wystawcy przy każdej
transakcji.
I nawet przy stałym CVV2 klucz wcale nie musi być stały !
Skoro CVV2 to tylko 3 cyfry, to prawdopodobnie co tysięczny klucz
szyfrujący da pozytywną weryfikację prawdziwego CVV2.
Wystawca mógłby więc wysyłać sprzedawcy zmienne klucze za każdym razem
... w imię tzw bezpieczeństwa.

> [...]
>>>> Oczywiscie dotyczy to stałego CVV2 na karcie - nie tych nowych,
>>>> zmiennych, które muszą być jakoś inaczej sprawdzane.
>>>
>>> Nie muszą. Wystarczy, że będziemy generować nowe klucze.
>>
>> Ja mam wątpliwości, czy te stałe były/są sprawdzane w taki sposób
>> przez sprzedawcę/agenta.
>>
>> -źródła podają, że jest jakis klucz wystawcy używany do generacji
>> CVV2, zakładam że dla wszystkich jego kart, ewentualnie przez jakis
>> okres, np rok.
>
> A to założenie to skąd? Z poślinionego palca?

że zmieniają co rok, czy że są stałe?

https://developer.visa.com/capabilities/pav/docs-how
-to

"The CVV2 value is calculated using a secure cryptographic process and
a key that is known only to the issuer and to Visa. "

Różnie to można rozumieć, ale wiele z tych rozumień nie ma sensu :-)

>> -rozsyłanie tego klucza to była by głupota,
> Sam podałeś źródło gdzie jest napisane "only visa and issuer" - więc o
> czym znowu pobredzasz?

A jak chcesz weryfikować?
Jeśli sprzedawca/agent ma przesłać komplet danych do wydawcy karty,
to nie trzeba żadnych kluczy - wydawca może przydzielać CVV2 losowo.

Ale jeśli to sprzedawca/agent ma sprawdzać algorytmem ... to musi znac
odpowiedni klucz. I przestaje on być tajny.
Ogólnie rzecz biorąc, to nie musi być ten sam klucz, co użyty do
generacji, tylko algorytm musiałby być cwany.

> [...]
>> podawane dalej klucze ... nie są to klucze używane do szyfrowania
>> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
> Nie są.

A do czego?

Bo wychodzi mi na to, ze w AWS się tworzy klucze w miarę potrzeby
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/create-keys.html

>> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
> Tu obstawiam, że właśnie mają.


Wydaje mi się, że nie, ale może znajdziesz lepszy opis, jak się tego
AWS używa.

J.

do góry

"J.F" <j...@p...onet.pl> writes:

>> A to założenie to skąd? Z poślinionego palca?
>
> że zmieniają co rok, czy że są stałe?
>
> https://developer.visa.com/capabilities/pav/docs-how
-to
>
> "The CVV2 value is calculated using a secure cryptographic process and
> a key that is known only to the issuer and to Visa. "
>
> Różnie to można rozumieć, ale wiele z tych rozumień nie ma sensu :-)

I gdzie tu jest COKOLWIEK o tym że klucz się zmienia/jest stały?
Jest tylko napisane, że CVV2 jest generowane przy użyciu klucza, w
pewnym procesie kryptograficznym.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Do not try this at home.

do góry

"J.F" <j...@p...onet.pl> writes:
[...]

>
>> [...]
>>> podawane dalej klucze ... nie są to klucze używane do szyfrowania
>>> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
>> Nie są.
>
> A do czego?
>
> Bo wychodzi mi na to, ze w AWS się tworzy klucze w miarę potrzeby
> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/create-keys.html

No właśnie do generowania CVV2 :)

>
>>> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
>> Tu obstawiam, że właśnie mają.
>
>
> Wydaje mi się, że nie, ale może znajdziesz lepszy opis, jak się tego
> AWS używa.
Ten opis wydaje się byc wystarczająco czytelny.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Never argue with a man who buys ink by the barrel.

do góry

On Fri, 18 Jul 2025 13:00:14 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
> [...]
>>> [...]
>>>> podawane dalej klucze ... nie są to klucze używane do szyfrowania
>>>> komunikacji na linii sprzedawca-Amazon(serwis AWS) ?
>>> Nie są.
>>
>> A do czego?
>>
>> Bo wychodzi mi na to, ze w AWS się tworzy klucze w miarę potrzeby
>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/create-keys.html
>
> No właśnie do generowania CVV2 :)

Tego zmiennego CVV2, w jakims systemie płatności Amazon?
Być może.
A co ze stałymi CVV2 z kart?

Bo tu zauważ, że ten klucz ma 16 znaków ... tylko małe litery i cyfry,
to nawet nie jest 16 bajtów.


A potem mamy dwa tematy
https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/data-operations.html

generacja danych karty ... w tym i CVV2, oraz weryfikacja.
Nie bardzo rozumiem o co chodzi z tą generacją, musiałbym jakis opis
ogólny przeczytać, a nie widzę.

Tu jest chyba przypadek weryfikacji karty ze stałym CVV2

https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html

i jesli dobrze rozumiem - najpierw generujemy klucz
aws payment-cryptography create-key --exportable --key-attributes
KeyAlgorithm=TDES_2KEY,KeyUsage=TR31_C0_CARD_VERIFIC
ATION_KEY,KeyClass=SYMMETRIC_KEY,KeyModesOfUse='{Gen
erate=true,Verify=true}'
--tags='[{"Key":"KEY_PURPOSE","Value":"CVV2"},{"Key"
:"CARD_BIN","Value":"12345678"}]'

taki losowy? Jednorazowy?

potem używając tego klucza generujemy CVV2 ... ale po co to generować?
i nam wychodzi np
"ValidationData": "321"

a potem weryfikacja używa i klucza, i tej wartości 321

aws payment-cryptography-data verify-card-validation-data
--key-identifier
arn:aws:payment-cryptography:us-east-2:111122223333:
key/7f7g4spf3xcklhzu
--primary-account-number=171234567890123 --verification-attributes
CardVerificationValue2='{CardExpiryDate=1127} --validation-data 321



i byłoby fajniem tylko odpowiedz
{
"KeyArn":"arn:aws:payment-cryptography:us-east-2:111
122223333:key/7f7g4spf3xcklhzu",
"KeyCheckValue": "AEA5CD",
"ValidationData": "801"
}

do czego słuzy 801 ?

I po co było generować to 321?
To klient powinien wpisać ... tak mi się przynajmniej wydaje ..

>>>> I nie maja nic wspólnego ustalaniem CVV2 przez Visa/wydawców kart?
>>> Tu obstawiam, że właśnie mają.
>>
>> Wydaje mi się, że nie, ale może znajdziesz lepszy opis, jak się tego
>> AWS używa.
> Ten opis wydaje się byc wystarczająco czytelny.

To powiedz do czego to służy, lub jak tego używać, jeśli jestem małym
sklepikiem/firemką, która by chciała przyjmować płatności kartami ...

J.

do góry

On Fri, 18 Jul 2025 12:57:28 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>>> A to założenie to skąd? Z poślinionego palca?
>>
>> że zmieniają co rok, czy że są stałe?
>>
>> https://developer.visa.com/capabilities/pav/docs-how
-to
>>
>> "The CVV2 value is calculated using a secure cryptographic process and
>> a key that is known only to the issuer and to Visa. "
>>
>> Różnie to można rozumieć, ale wiele z tych rozumień nie ma sensu :-)
>
> I gdzie tu jest COKOLWIEK o tym że klucz się zmienia/jest stały?
> Jest tylko napisane, że CVV2 jest generowane przy użyciu klucza, w
> pewnym procesie kryptograficznym.

O tym, że się zmienia, to nie ma słowa, to sam wymyśliłem, że może
dobrze było by zmienić, np co rok.
Po co ryzykować, że stary jakoś wypłynie ?

Skomplikowanie przy tym nieduże.

A bardzo zmienny klucz przy stałych CVV2, to nie widzę sensu.

A przy zmiennym CVV2 ... czemu nie po prostu losowo generowany?


No chyba że ... nie wiem - dzienny klucz, znany Visie i wydawcy,
wydawca dzienne CVV2 wygeneruje i klient będzie mógł w apce zobaczyć,
a Visa będzie mogła zweryfikować, bez potrzeby banku ...

J.

do góry

On Fri, 18 Jul 2025 12:37:55 +0200, ąćęłńóśźż wrote:
> Dezinfolinia twierdzi, że tak było kiedyś, a od jakiegoś czasu losowo powiedzmy co
miesiąc sobie sprawdza, ale kto wie.

Zabezpieczenie :-)

> PYTANIE:
> Jak na jednym numerze telefonu mieć parę apek bankowych z płatnościami mobilnymi?

Normalnie - instalujesz kilka, tylko muszą to być inne banki,
a nie inne konta.
Uruchomiona współdziała z NFC.

J.

> -----
>> ipko potrzebuje sim na czas pierwszej aktywacji .. tylko

do góry

On Fri, 18 Jul 2025 12:34:34 +0200, ąćęłńóśźż wrote:
> W ST jak najbardziej na komputerze, tylko rzeźbienie w ST na telefonie lub nawet na
tablecie to może już lepiej na ryby iść.

Niekoniecznie.

> Przy czym apka konkretnego banku (nie wiem jak inne) na fonie musi być jako główna
na ekranie, a gdy tylko na coś innego się
> przełączysz to apka wylogowuje.

Inne grzeczniejsze, i wylogowują później.

Być może to jeszcze jakoś np od pamięci zależy, przeglądarka może być
pamięciożerna i zmuszać inne apki do zamknięcia ..

> A bank no qrewka blada jak najbardziej emerycki, jak oni to robią :-0

a) emeryci lubią przychodzic do banku,
b) emeryci w sieci nie kupują,
c) wk* klienci jeszcze powiedzą bankowi co o tym myślą ..
...
d) przecież oni to testowali, to powinno się używać względnie wygodnie
...

J.

> -----
>> No, zmienne CVx2 powinno się dać w ST przeglądarkowym wygenerować

do góry

No nie, odmowa: "ten numer telefoniczny jest wykorzystywany przez inny bank" czy
jakoś tak.
W sensie ze jak masz apkę z płatnościami mobilnymi, to nie wiadomo, do którego z tych
banków na jeden i ten sam numer telefonu
miałyby przychodzące środki pójść.


-----
> Normalnie - instalujesz kilka, tylko muszą to być inne banki, a nie inne konta.

do góry