Data: 2011-03-19 19:37:09 | |
Autor: Krzysztof Halasa | |
Uwaga na tokeny soprzętowe RSA. | |
"wiatrak" <wiatrak@yahoo.pl> writes:
KtĂłre banki to majÄ…? Na pewno Lukas, w Eurobanku tez jest taka Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA - to jest baza danych (lub cos podobnego, np. algorytm generowania) seedow w polaczeniu z numerami tokenow. Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc przechowywane przez producenta). Zaden taki algorytm oczywiscie takze nie powinien istniec. Jesli takie rzeczy istnieja, to pomijajac calkowita utrate zaufania do firmy (jesli ktos im w ogole ufal, w bezpieczenstwie nie powinno sie ufac producentowi tokenow) to jest to IMHO kryminal. Algorytmy generowania wynikow tokenow sa znane od dawna, jedyna tajemnica sa (byly?) seedy, rozne dla poszczegolnych tokenow. I to jest akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora kupila token) zna seedy. Nawet producent nie powinien ich znac. Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich zdrad nie moglo byc. -- Krzysztof Halasa |
|
Data: 2011-03-19 19:15:26 | |
Autor: xbartx | |
Uwaga na tokeny soprzętowe RSA. | |
Dnia Sat, 19 Mar 2011 19:37:09 +0100, Krzysztof Halasa napisał(a):
Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA No ciekawe jak się ta sprawa zakończy i czy RSA w pełni ujawni jak się włamano i co zostało skradzione. Jeżeli rzeczywiście posiadali bazę seedów to można powiedzieć, że czar prysł a co za tym idzie także reputacja firmy, której to utrata może w efekcie wpędzić firmę w poważne tarapaty. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2011-03-20 18:57:35 | |
Autor: zg | |
Uwaga na tokeny soprzętowe RSA. | |
Przepraszam, ze sie wtrace, ale czy tokeny stosowane w BGZ tez sa podatne na takie ataki? Czy mozliwe jest w ogole zlamanie takiego zabezpieczenia?
-- zg |
|
Data: 2011-03-21 08:42:34 | |
Autor: witrak() | |
Uwaga na tokeny soprzętowe RSA. | |
Krzysztof Halasa wrote:
"wiatrak" <wiatrak@yahoo.pl> writes:.... I to jest To jest (niestety) pobożne życzenie - przynajmniej na razie: skoro token jest zamkniętym mechanicznie urz±dzonkiem bez żadnych zewnętrznych kontaktów, to użytkownik (np. bank) nie może wprowadzić żadnych danych, w szczególno¶ci seed-u. Znaj±c bowiem chęć producentów do wydawania dodatkowych pieniędzy nie wierzę, żeby token zawierał układ bezprzewodowego wprowadzania danych. A to oznacza, że bazę danych zawieraj±c± pary "nr tokena - seed" producent musi doł±czać do każdej partii tokenów wysyłanych do odbiorcy. Potwierdza to zreszt± procedura aktywacji w co najmniej jednym banku (znana mi z autopsji): bank wysyła token, user telefonuje do banku i po weryfikacji podaje numer tokena, po czym token zostaje aktywowany. witrak() |