Kde je PIN o platebni karty?
Petr Zahradnik
clexpert@clexpert.cz
Středa Únor 20 02:03:07 CET 2008
Puvodni zprava ze dne 20.2.2008 od Rollfree:
> Vy mate algoritmus, jak vyhodnotit trefil jste se / netrefil jste se
> ? Silne o tom pochybuji. Ten je pekne hluboko ulozen v dekokovacim
> HW v bankomatu. A ten Vam dovoli ty 3 pokusy a slus.
> Pokud byste ten algoritmus skutecne znal, mohl byste byt bohaty
> (nebo zavreny) clovek.
> Ze je zde uplatneno zabezpeceni utajenim algoritmu je dusledkem
> vzniku techto principu v hlubokem davnoveku.
Koukam, ze debata se rozjela a nekonci a nekonci, kazdy ma nejakou
svou teorii ci zbozne prani, jak by to mohlo nebo melo fungovat...
Zadne tajne algoritmy v bankomatu nejsou. Uz jsem tu nekolikrat psal,
ze utajeni algoritmu je spatna volba. Navic nic se neutaji a
algoritmus take ne. Drive nebo pozdeji by se na algoritmus stejne
prislo a byl by problem. Pouzivaji se zname a proverene algoritmy.
Utajuji se klice a nikoliv algoritmy.
Netusim, jak je tomu na tech kartach, kde se da menit PIN, jestli jde
opravdu menit dalkove bez pritomnosti karty. V kazdem pripade u
cipove karty PIN menit na dalku z principu nejde. Jestli v nejakych
novejsich magnetickych kartach funguje overeni pouze dalkove, mohlo
by to jit.
Kdyz se bavime o beznych magnetickych kartach, vetsinou se pouziva
overovaci algoritmus zalozeny na VISA PVV. Udaje z karty vcetne PIN
jsou kryptograficky podepsany a vysledek tohoto podpisu (ctyrmistny
kod PVV) je ulozen take na magnetickem prouzku. Jakmile je karta
pouzita v bankomatu, ten sejme vsechny udaje z magnetickeho prouzku
vcetne PVV, prida majitelem vlozene PIN, to zasifruje a odesle do
overovaciho pocitace v kartovem centru. Tam se z tech udaju a PINu
pomoci tajneho klice a sifrovaciho algoritmu vypocita PVV a
zkontroluje se, jestli je shodne.
Co se tyka PIN, jestli jde z magnetickeho prouzku zjistit - ano, jde.
Ale rozhodne to netrva 1 ms na jeden pokus a rozhodne neni treba jen
10 tisic pokusu. Sifrovaci algoritmus je znamy (DES), PVV je na karte,
ale neni znamy tajny klic pouzity k podpisu.
Takze zjednodusene, neni PIN a neni klic. Jinak, overovani dalsich
kodu (CVC, CVV) funguje na podobnem principu.
Petr Zahradnik, pocitacovy expert
==========================================================
Petr Zahradnik, Computer Laboratory
Obvodova 740/14, 400 07 Usti nad Labem
telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
ICQ: 21215917, MSN: clexpert@clexpert.cz
==========================================================
Další informace o konferenci Hw-list