PENTAX@PL Strona Główna » Gdzie... » Hyde Park
 

emigrant  Dołączył: 20 Wrz 2006
Złamanie PINu do kart z chipem (bankowych, e-podpis?)
Wczoraj dowiedziałem się o spektakularnym doświadczeniu naukowców z Cambridge, którzy za pomocą prostego sprzętu i oprogramowania pokonali zabezpieczenie PINem i autoryzowali transakcje kartami bakowymi z chipem, do których nie znali PINów.
W ten sam sposób zostały pokonane wszystkie testowane karty z największych brytyjskich banków.
Trik polegał na tym, że oryginalne karty były wkładane do przejściówki składającej się z typowego czytnika kart chipowych, laptopa z Linuksem oraz podłączonej do niego imitacji karty, którą wsuwało się do oryginalnego terminala kartowego. Przejściówka przekazywała całą wymianę iformacji pomiędzy kartą, a terminalem, za jednym wyjątkiem. Podczas sprawdzania kodu PIN, podawana była dowolna kombinacja 4 cyfr, a kiedy karta odpowiadała, że PIN jest niezgodny, skrypt zainstalowany na laptopie odpowiadał systemowi bankowemu, że jest OK. Transakcja przebiegała normalnie dalej, tak jakby autoryzacja była prawidłową.
Jest to ewidentny dowód na to, że protokół EMV zastosowany w komunikacji kart z chipem a bankiem (niezależnie od systemu - Visa, Mastercard) jest wadliwy i posiada dyskwalifikujący go błąd. Tego błędu nie ma w przypadku kart z paskiem magnetycznym, bo sprawdzenie PIN odbywa się na serwerze banku.

I tu moje pytanie do osób znających się na tych protokołach i kwestiach kryptograficznych używanych w podpisie elektronicznym.
Do podpisu elektronicznego a także autoryzacji operacji bankowych w bakowości elektronicznej, używa się kart kryptograficznych z chipem (smartcard), do których należy podać PIN. Czy protokół stosowany w takiej autentykacji jest tak samo podatny na ominięcie PINu za pomocą ww. metody, czy też jest bardziej wyrafinowany i nie pozwala na to?
 

Benek  Dołączył: 18 Wrz 2008
Karta z paskiem bardziej bezpieczna niż z chipem? No to by była rewolucja w bankowości...

Nie jestem kompetentny, żeby brać udział w tej dyskusji, ale może pomogą ci te dwie książki:
1. Rudolf Kippenhahn, Tajemne przekazy. Szyfry, enigma i karty chipowe, Wa-wa 2000 (zwłaszcza rozdz. Karty chipowe, funkcje jednokierunkowe i pułapki na myszy, s.276-307.)
2. Simon Singh, Księga szyfrów, Wa-wa 2003.

O ile już oczywiście nie masz ich na półce. :-D
 

emigrant  Dołączył: 20 Wrz 2006
Benek napisał/a:
Karta z paskiem bardziej bezpieczna niż z chipem? No to by była rewolucja w bankowości...
To nie jest ułomność samej karty, ale protokołu. Dla uzupełnienia: ww. metody nie da się zastosować w bankomatach do wypłaty gotówki, bo tu w każdym przypadku sprawdzenie PINu odbywa się na serwerze banku.
No i jedna ciekawostka. W Polsce najczęściej występują karty z paskiem lub hybrydowe (chip + pasek). Zwróciłem wczoraj uwagę, jak takiej karty użyto w sklepie. Oczywiście przeciągnięto pasek ;-)
 

szczypiorrr  Dołączył: 10 Sie 2007
emigrant napisał/a:
Zwróciłem wczoraj uwagę, jak takiej karty użyto w sklepie. Oczywiście przeciągnięto pasek

Nie wiem jak to wygląda z technicznego punktu widzenia, ale od kiedy mam hybrydową kartę, najczęściej kiedy sprzedawca próbuje przeciągnąć kartę paskiem, terminal nie reaguje, trzeba użyć czipowej części. Oczywiście to te terminale, które mają obie możliwości.
 

opiszon  Dołączył: 29 Sty 2008
emigrant napisał/a:
Zwróciłem wczoraj uwagę, jak takiej karty użyto w sklepie. Oczywiście przeciągnięto pasek ;-)

to zależy od banku i terminala
np u mojego pracodawcy (BZ WBK), jeżeli posiadasz kartę z chipem i paskiem, a terminal ma możliwość odczytu chipa, to bank nie autoryzuje takiej karty - sprzedawca musi użyć autoryzacji chipem

nie wiem jak w innych bankach

możliwe że ten konkretny terminal miał tylko czytnik paska magnetycznego (jakaś stara kasa fiskalna w supermarkecie - typu Real, Auchan)

[ Dodano: 2010-02-14, 10:05 ]
o, widzę że szczypiorrr mnie uprzedził

nie mogę nic więcej o protokole kartowym napisać, ponieważ nie pracuję w obszarze kartowym i się kompletnie nie znam na tym zagadnieniu :roll:
 

emigrant  Dołączył: 20 Wrz 2006
opiszon napisał/a:
możliwe że ten konkretny terminal miał tylko czytnik paska magnetycznego
Miał i to i to, a karta miała chip, ale głowy nie daję, bo przyuważyłem to u innego klienta.
 

opiszon  Dołączył: 29 Sty 2008
emigrant, więc możliwe jest, że jest to zależne od obsługującego kartę banku :roll: ale tak jak napisałem, to nie moja działka, więc szczegółów nie znam
 

emigrant  Dołączył: 20 Wrz 2006
opiszon, zauważyłem, że procedury są różne w różnych sklepach. Np. tę samą kartę (z paskiem) w jednym sklepie autoryzuję PINem, a w innym - zwykłym podpisem. Zależy chyba od banku, firmy obsługującej system terminala.
 

opiszon  Dołączył: 29 Sty 2008
emigrant napisał/a:
w jednym sklepie autoryzuję PINem, a w innym - zwykłym podpisem. Zależy chyba od banku, firmy obsługującej system terminala.

no jeżeli chodzi o sam pasek, to jest kwestia banku który obsługuje konkretny terminal

kiedyś pamiętam było tak, że jak terminal był z Pekao to musiałem zawsze podpisywać, ale ostatnio już bardzo rzadko spotykam się z tym, żeby sklep miał terminal bez czytnika czipowego (więc i problem podpisywania odpada, bo jak mówiłem, mój bank wymusza użycie czipa ;-) )
 

SeizeThePicture  Dołączył: 07 Lis 2009
A według bankowców (a raczej sprzedawców usług bankowych) podpisanie odręczne transakcji jest dużo bezpieczniejsze niż autoryzacja PINem. Tak przynajmniej przekonywano mnie w starym banku, kiedy zmieniałem rachunek na taki gdzie miałem możliwość wybrania karty z autoryzacją PINem. Obecnie mam kartę z CHIPem i jak tylko płatność jest realizowana za pomocą terminala gdzie jest możliwość wsunięcia chipu do slotu, to tak się dzieje - użycie paska gdzie terminal może obsłużyć CHIP kończy się i tak w czytniku.
 

PiotrR  Dołączył: 03 Maj 2006
SeizeThePicture napisał/a:
A według bankowców (a raczej sprzedawców usług bankowych) podpisanie odręczne transakcji jest dużo bezpieczniejsze niż autoryzacja PINem.

Coś w tym jest. Jak ktoś podkradnie Ci PIN, ciężko udowodnić, że to nie Ty go wstukałeś. Jak ktoś się za Ciebie podpisze, prosisz bank o okazanie kwitku z podpisem i o opinię grafologa.
To w teorii. W praktyce nie korzystałem z żadnej z tych opcji.
 

emigrant  Dołączył: 20 Wrz 2006
SeizeThePicture napisał/a:
podpisanie odręczne transakcji jest dużo bezpieczniejsze niż autoryzacja PINem
W jaki sposób sprzedawca stwierdza, ze podpis złożony na rachunku jest podpisem legalnego użytkownika karty?
Jedynie póżniejsze dowiedzenie fałszywości w przypadku zakwestionowanej transakcji jest tu rzeczywiście łatwiejsze.

[ Dodano: 2010-02-14, 11:59 ]
PiotrR wyprzedził moją myśl. :-)
 

opiszon  Dołączył: 29 Sty 2008
emigrant napisał/a:
W jaki sposób sprzedawca stwierdza, ze podpis złożony na rachunku jest podpisem legalnego użytkownika karty?

ma obowiązek sprawdzić z wzorem na karcie
w 99% przypadków tego nie robi, a nawet jak się nie zgadza, to nie zareaguje

jedyne miejsce gdzie spotkałem się z respektowaniem zgodności podpisów, to w moim banku gdy robię transakcje w kasie

nawet gdy wpłacam pieniądze na konto, muszę złożyć podpis zgodny z tym, co 8 lat temu podałem jako wzorzec podpisu :-P
 

emigrant  Dołączył: 20 Wrz 2006
opiszon napisał/a:
ma obowiązek sprawdzić z wzorem na karcie
w 99% przypadków tego nie robi, a nawet jak się nie zgadza, to nie zareaguje
W praktyce często posługiwałem się własną kartą, która była niepodpisana. W takiej sytuacji sprzedawca prosił o dokument tożsamości ze zdjęciem. Okazuje się więc, że brak podpisu na karcie jeszcze zwiększył moje bezpieczeństwo :-D
 

TLu  Dołączył: 25 Gru 2006
Parę lat temu byłem zaproszony na obiad, za który zapraszający zapłacił kartą swojej żony. Karta została zaakceptowana bez zastrzeżeń. U nas nas imiona jasno określają płeć i jeśli przy stole nie było kobiety, to wydaje mi się, że kelner powinien zakwestionować płatność nie swoją kartą.

[ Dodano: 2010-02-14, 12:10 ]
opiszon napisał/a:
nawet gdy wpłacam pieniądze na konto, muszę złożyć podpis zgodny z tym, co 8 lat temu podałem jako wzorzec podpisu :-P

Jeśli będzie niezgodny to nie przyjmą pieniędzy?
 

emigrant  Dołączył: 20 Wrz 2006
TLu napisał/a:
Jeśli będzie niezgodny to nie przyjmą pieniędzy?
Prawdopodonie przy wpłacie przez inną osobę, niż właściciel konta, pobiorą dodatkową prowizję od wpłaty.
 

TLu  Dołączył: 25 Gru 2006
emigrant napisał/a:
TLu napisał/a:
Jeśli będzie niezgodny to nie przyjmą pieniędzy?
Prawdopodonie przy wpłacie przez inną osobę, niż właściciel konta, pobiorą dodatkową prowizję od wpłaty.

naciągacze :-)
W ING od kilku miesięcy legitymują i spisują każdego petenta przy okienku, nieważne czy wpłaca czy wypłaca. Oficjalnie dla zwiększenia bezpieczeństwa i jakości usług ha ha :-) Choć może dzięki temu nie ma takich uciążliwości jak w BZBK
 

szczypiorrr  Dołączył: 10 Sie 2007
opiszon napisał/a:
ma obowiązek sprawdzić z wzorem na karcie
w 99% przypadków tego nie robi, a nawet jak się nie zgadza, to nie zareaguje

Kilka lat temu dziewczyna wyjeżdżając z Polski na praktyki zostawiła mi kartę. Byłem u znajomych na imprezie nosząc w portfelu tę jej kartę. Skończyło się wino więc chwyciłem kartę i wyszedłem do Intermarche. Dopiero przy kasie zorientowałem się, że to nie moja karta, tylko jej (karty z tego samego banku, tego samego typu). Ale na głupa podałem sprzedawcy a on nawet nie zająknął się. Podpisałem się jej nazwiskiem (kończącym się na "-ska"), wziąłem wino i opuściłem sklep, nie niepokojony przez nikogo.
 

pawcio  Dołączył: 11 Maj 2007
Mnie pani w sklepie poinformowała, że najpierw musi przeciągnąć kartę po pasku a potem włożyć do czytnika chipa (karta hybrydowa).
 

emigrant  Dołączył: 20 Wrz 2006
Wracając do tematu uważam, że podstawowym błędem jest to, że karta komunikuje się z terminalem i dalej z bankiem otwartym kodem. Gdyby przekaz był w jakiś sposób szyfrowany, podsłuchanie komunikacji, czy jakiekolwiek urządzenia i programy wkładane pomiędzy składniki tego systemu nic by tu nie dały.
Ale to moja osobista opinia. Ponieważ nie jestem fachowcem, wolałbym, żeby tu wypowiedział się ktoś, kto zna się na kryptografii i ww. protokołach.

Odpowiedz
[X]
Wyświetl posty z ostatnich:
Skocz do:
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Dodaj temat do Ulubionych
Wersja do druku

Powered by phpBB modified by Przemo © 2003 phpBB Group
Theme created by opiszon, powered with Bootstrap and VanillaJS.
Strona używa plików cookie. Jeśli nie zgadzasz się na to, zablokuj możliwość korzystania z cookie w swojej przeglądarce.
my.pentax.org.pl