Vlákno názorů k článku Jsou čipové karty bezpečné? od anonym - ja vyrobci verim /nemam jinou moznost/ neverim ze...
-
anonymníja vyrobci verim /nemam jinou moznost/ neverim ze se dostanu do trecich ploch NSA, CIA, FBI i kdyz vcera jsem delal posklebky na bublana tak si me treba lidi z MVCR proklepnou :0
jde o to, ze vir tezko precte neco s lcd disp pripadne se to bude ptat jinak treba 3 barevne diody nekolika stupnove treba 3 barvy 3 po sobe a kdyz se netrefi nepodepise.
samozrejme bude nastavitelne uzivatelem co vyzaduje a jinak podle barvy led max pozna ze je token aktivni, kdy podepisuje.
od veci by nebyle obycejna /ne bezpecna/ pamet k stavajicim par kilum kde by byl k dispozici pro sw nejakej zurnal a mohlo by se na to divat.
pripadne by nebylo od veci doplnit bezpecnostni mechanismy o nejakej ITERIZATOR kde by se dalo poznat ktera je to transakce/podpis a tim padem by clovek mohl primo do dokumentu nechat zanest/podepsat kolikata iterace (blbej vyraz kolikata operace v poradi to byla) -
Majkl (neregistrovaný)Už dneska se to dělá tak, že slušnější čtečky čipových karet mají numerickou klávesnici pro zadání PINu na sobě. Při konfiguraci tak, že není možno předat PIN jinak, než z tohoto lokálního numpadu (a vylučme zatím chybu v této čtečce), tak software v počítači pro odposlech PINu je vyřízen.
Ale ouha, realita je taková, že uživatel namlátí ten PIN kdykoliv, kdy na něj ta čtečka pípne, aniž by v té chvíli dělal něco, co by mělo mít důvod k použití karty (chytřejší záškodnické programy to dělají tak, že s operací na kartu počkají na chvíli, kdy sám uživatel chce něco udělat, třeba podepsat email, pak pošlou svůj požaedavek, takže z pohledu nepozorného uživatele to vypadá tak, že zadal asi PIN špatně a chce ho to hned po něm znova).
Realita je krutá, ale na tohle je řešení snad jen občasná preventivní vražda uživatele... -
Petr (neregistrovaný)Jak presne tohle resi "grand chessmaster problem"? Ja si povidam s podvrzenym "bankomatem" a zaroven s tim si nekde v pozadi povida utocnik s bankou. V poslednim okamziku mi podvrzeny "bankomat" nahlasi chybu (nejakou nenapadnou, treba "selhalo spojeni") a utocnik na pozadi dokonci vyber penez do sve kapsy.
-
Já bych třeba chtěl po výrobci, abych musel kromě PINu (sopinu, etc) zadat ještě kód který klíčenka/karta zobrazí na sobě. Pak teprve transakci provede.
Dál bych zavedl krátké pubkey aplikací které bych si musel AKIVNĚ právě tímto procesem přidat do seznamu důvěryhodných.
Toto řešení je bez fyzického útoku na kartu/token prakticky neprolomitelné. -
Zdenek (neregistrovaný)Tak nevim co tim chtel autor rict. Snad to, ze u bankomatu, kdyz zadavam PIN, tak by u me nemel nikdo stat? A to se jednalo o mnohem sofistikovenejsi utok, kdy bylo nutno zkopirovat cizi kartu, byt ne cipovou. A misto keylogeru se pouzivali oci ci kamera. Nabouraly tyto pripady v minulych letech nejak negativne bussines bankomatu?
A ze prenaset zodpovednost za vlastni pocitac na uzivatele je neunosne? A na kohopak chcete tu zodpovednost prevest? Na vyrobce OS? Nebo na provozovatele systemu ktery potrebuje k pouziti uzivatelovu kartu? Nenechte se vysmat. Za blbost se bude platit vzdycky.
S odbornosti to na lupe jde z kopce. Priste muzete rovnou psat jak zneuzit klicky v zapalovani u auta beziciho na neutral, kdyz si ridic odskocil. -
Zdenek (neregistrovaný)To neni dostatecne. Pokud plne ovladam komunikacni system s kartou, mohu vzdy podstrcit sva data k podepsani/pridani pubkey. Uzivatel si toho sice vsimne, ale vzdyt chybovost pocitacu je preci znama. Proste to zkusi znova. Jedina zarucena moznost je mit duveryhodny cely system. Ale lidsky faktor z toho nevyjmeme, takze i do takoveho systemu si opravneny blbec klidne nainstaluje trojana.
-
Petr (neregistrovaný)Jak presne tohle resi "grand chessmaster problem"? Ja si povidam s podvrzenym "bankomatem" a zaroven s tim si nekde v pozadi povida utocnik s bankou. V poslednim okamziku mi podvrzeny "bankomat" nahlasi chybu (nejakou nenapadnou, treba "selhalo spojeni") a utocnik na pozadi dokonci vyber penez do sve kapsy.
