-
Data: 2010-07-27 20:46:09
Temat: Re: Płatność kartą powyżej (...)zł
Od: Robert Jaroszuk <z...@n...iq.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 07/27/2010 09:14 PM, Olgierd wrote:
> Mianowicie co jest nie tak z transakcjami offline w kontekście ich
> bezpieczeństwa?
To że protokół EMV w założeniach miał służyć przeniesieniu
odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
i/lub cardholdera.
Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.
W telegraficznym skrócie:
W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
architektura z założenia będzie mniej bezpieczna niż transakcje
online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
udowodnić że jest to mniej bezpieczne, prawda?
Karty z SDA nie mają wygenerowanych kluczy RSA, służących do
podpisywania komunikatów przesyłanych pomiędzy kartą, terminalem a
centrum autoryzacyjnym.
Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
zapytanie o poprawność PINu.
W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
kradzionej karty.
Jest jeszcze kilka innych ataków na protokół EMV.
Wszystkie zostały one dosyć dobrze udokumentowane, a opracowania na ten
temat są dostępne w sieci, tak więc jeśli interesuje Ciebie ten temat,
pogooglaj.
Pozdrawiam,
--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3
Następne wpisy z tego wątku
- 27.07.10 21:45 witek
- 27.07.10 21:46 witek
- 28.07.10 07:07 Olgierd
- 28.07.10 07:10 Tomasz Kaczanowski
- 28.07.10 07:34 Herald
- 28.07.10 07:41 Herald
- 28.07.10 07:56 Konrad
- 28.07.10 08:09 Robert Jaroszuk
- 28.07.10 08:14 Robert Jaroszuk
- 28.07.10 08:16 Tomasz Kaczanowski
- 28.07.10 08:23 Robert Jaroszuk
- 28.07.10 08:29 Tomasz Kaczanowski
- 28.07.10 08:59 Robert Jaroszuk
- 28.07.10 09:02 Tomasz Kaczanowski
- 28.07.10 09:13 Robert Jaroszuk
Najnowsze wątki z tej grupy
- Rozkręcają się
- 13. Raport Totaliztyczny: Powszechna Deklaracja Praw Człowieka Nie Chroni Przed Wyzyskiem Ani Przed Eksploatacją
- [OT] nowe osoby w grupach?
- OT Do Trybuna
- Prosto z Tuskistanu: Czy Domański (minister finansów) "da" czy nie trzy lata grożą :-) [dotacja dla PiS]
- Przypomnienie: Mini Netykieta polskich grup dyskusyjnych wer. 3.2.2
- Odpowiedzialność w spółce z oo
- znowu wroclaw
- urodziny hitlera
- Sędzia Dorota Lenarczyk z Żywca skazała na 6 mies. pozbawienia wolności
- Dyplomaci a alkomaty
- Zmiana kary
- Poseł Ryszard Petru w Biedronce
- Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- Precedensy politycznie motywowanego nie wydawania w UE
Najnowsze wątki
- 2025-01-05 Rozkręcają się
- 2025-01-04 13. Raport Totaliztyczny: Powszechna Deklaracja Praw Człowieka Nie Chroni Przed Wyzyskiem Ani Przed Eksploatacją
- 2025-01-03 [OT] nowe osoby w grupach?
- 2025-01-02 OT Do Trybuna
- 2025-01-02 Prosto z Tuskistanu: Czy Domański (minister finansów) "da" czy nie trzy lata grożą :-) [dotacja dla PiS]
- 2025-01-01 Przypomnienie: Mini Netykieta polskich grup dyskusyjnych wer. 3.2.2
- 2024-12-31 Odpowiedzialność w spółce z oo
- 2024-12-31 znowu wroclaw
- 2024-12-30 urodziny hitlera
- 2024-12-30 Sędzia Dorota Lenarczyk z Żywca skazała na 6 mies. pozbawienia wolności
- 2024-12-27 Dyplomaci a alkomaty
- 2024-12-27 Zmiana kary
- 2024-12-23 Poseł Ryszard Petru w Biedronce
- 2024-12-21 Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- 2024-12-20 Precedensy politycznie motywowanego nie wydawania w UE
![Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]](https://s3.egospodarka.pl/grafika2/ulgi-dla-firm/Dzialalnosc-nierejestrowana-na-czym-polega-i-z-czym-sie-wiaze-208993-50x33crop.jpg "Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]")
Działalność nierejestrowana - na czym polega i z czym się wiąże?
