Dnia Tue, 27 Jul 2010 22:46:09 +0200, Robert Jaroszuk napisał(a):

> To że protokół EMV w założeniach miał służyć przeniesieniu
> odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
> i/lub cardholdera.
> Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
> merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
> sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.

Co do zasady: troszkę w tym jednak ploty (którą sam rozpowszechniałem...)
-- "liability shift" dotyczy sprzedawców, którzy nie wdrożyli czip-
terminali (http://www.chipandpin.co.uk/business/card_payments/
means/
shift_liability.html); natomiast co do odpowiedzialności za transakcje to
w ustawie EIP jest to dość dokładnie rozpisane.

> W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
> komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
> architektura z założenia będzie mniej bezpieczna niż transakcje
> online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
> transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
> udowodnić że jest to mniej bezpieczne, prawda?

Jednak "dawca" karty i techniki tam zaszytej też ma coś tu do powiedzenia
(i stracenia?).
Z drugiej strony transakcję online można podsłuchać. Nie mam pojęcia
(nietechniczny jestem) czy w ramach autoryzacji "idzie" PIN i jak to jest
szyfrowane, ale ryzyko zawsze istnieje.

> Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
> nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
> card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
> zapytanie o poprawność PINu.

Czyli tak czy inaczej wychodzimy albo od sklonowanej, albo wytworzonej we
własnym zakresie -- w oparciu o cudze numery kart -- plasticzki.

> W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
> oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
> przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
> możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
> terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
> kradzionej karty.

Kradzionej czy podrobionej? Zakładając, że miałbym kartę tego rodzaju i
dałbym ją Tobie -- da się "podrobić" PIN? E...

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://LegeArtis.org.pl <==
pstryczki ==> http://www.flickr.com/photos/olgierd/
[reklama] dobre foto we Wrocławiu ==> http://foto-krzyki.pl