Re: Płatność kartą powyżej (...)zł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Prawo › Grupy › pl.soc.prawo › Płatność kartą powyżej (...)zł › Re: Płatność kartą powyżej (...)zł

Path: news-archive.icm.edu.pl!news.icm.edu.pl!not-for-mail
From: Robert Jaroszuk <z...@n...iq.pl>
Newsgroups: pl.soc.prawo
Subject: Re: Płatność kartą powyżej (...)zł
Date: Tue, 27 Jul 2010 22:46:09 +0200
Organization: Dzial Sieciowy ICM, Uniwersytet Warszawski
Lines: 51
Message-ID: <i2ngih$eg3$1@news.net.icm.edu.pl>
References: <i2hs56$b9l$1@inews.gazeta.pl> <i2jc9b$gbi$1@polsl.pl>
<i2jfue$3bt$1@news.net.icm.edu.pl> <mrc3o.339191$NW.9244@hurricane>
<i2jku9$89d$1@node2.news.atman.pl> <i2jmjq$lue$1@news.onet.pl>
<4c4d93a1$1@news.home.net.pl> <p...@r...org>
<i2k6es$619$2@news.onet.pl> <s...@p...org>
<i2kcue$nlt$1@news.onet.pl> <i2m3a3$mnp$1@news.onet.pl>
<p...@r...org> <i2m854$59n$1@news.onet.pl>
<i2n8ds$t19$2@news.net.icm.edu.pl>
<p...@l...org.pl>
NNTP-Posting-Host: chello089077198126.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: news.net.icm.edu.pl 1280263569 14851 89.77.198.126 (27 Jul 2010 20:46:09
GMT)
X-Complaints-To: u...@n...net.icm.edu.pl
NNTP-Posting-Date: Tue, 27 Jul 2010 20:46:09 +0000 (UTC)
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.11) Gecko/20100713 ""
In-Reply-To: <p...@l...org.pl>
Xref: news-archive.icm.edu.pl pl.soc.prawo:647699
[ ukryj nagłówki ]
On 07/27/2010 09:14 PM, Olgierd wrote:

> Mianowicie co jest nie tak z transakcjami offline w kontekście ich
> bezpieczeństwa?

To że protokół EMV w założeniach miał służyć przeniesieniu
odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
i/lub cardholdera.
Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.

W telegraficznym skrócie:

W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
architektura z założenia będzie mniej bezpieczna niż transakcje
online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
udowodnić że jest to mniej bezpieczne, prawda?

Karty z SDA nie mają wygenerowanych kluczy RSA, służących do
podpisywania komunikatów przesyłanych pomiędzy kartą, terminalem a
centrum autoryzacyjnym.
Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
zapytanie o poprawność PINu.

W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
kradzionej karty.

Jest jeszcze kilka innych ataków na protokół EMV.
Wszystkie zostały one dosyć dobrze udokumentowane, a opracowania na ten
temat są dostępne w sieci, tak więc jeśli interesuje Ciebie ten temat,
pogooglaj.

Pozdrawiam,

--
... Robert Jaroszuk ...
GCS/IT/O d- s: a- C ULB++++$ P+ L++++$ E- W++ K- N++ DI+
V- M- PS+ PE++ Y(+) PGP++ t 5? X R !tv b+>++++ D- y+ G++
We do not see things as they are, we see them as we are.
GPG key id: 0x5D9659C3
GPG fingerprint: E1A9 C793 FCF2 8EBD 89E9 39D5 DED4 03D1 5D96 59C3