https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:32 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2925 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (Paweł Goleń) W zasadzie tak. W zasadzie, bo nie mogę się wypowiadać za każdą implementację tokenu i każdy telefon komórkowy (i system operacyjny) na rynku dostępny... Wed, 06 Oct 2010 07:18:00 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2925 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2924 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (mindril) mialem na mysli oczywiscie tokeny GSM. Chyba jest to "zwykly" soft na telefony zatem podatny na malware itd? Tue, 05 Oct 2010 21:20:07 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2924 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2922 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (Paweł Goleń) Na tokenach (oddzielne, specjalizowane urządzenie) raczej nie uda się zainstalować malware. Kwestia RE nie jest tu istotna, siłą tych rozwiązań ma być mocna kryptografia, której jawność nie zaszkodzi. Ewentualnie problemem może być "wykradanie klucza", ale wydaje mi się, że to też nie będzie problem jeśli do tego wymagany będzie fizyczny dostęp do urządzenia. Tue, 05 Oct 2010 20:04:36 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2922 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2921 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (Paweł Goleń) Teoretycznie już w tej chwili coś takiego jest możliwe. Gdy masz token GSM, to między tokenem i serwerem współdzielony jest klucz, unikalny dla każdego klienta. Klucz ten jest wykorzystywany do generowania kodów jednorazowych (w zasadzie klucze a nie klucz, przynajmniej w tych rozwiązaniach, które bliżej badałem klucze były co najmniej trzy). Teoretycznie korzystając z takiego "preshared secret" można osiągnąć to, o czym mówisz - zaszyfrowany (w całości lub częściowo) SMS z kodem i parametrami transakcji. Mogłoby to dawać dodatkowe zabezpieczenie dla kodów w trakcie transmisji, ale problem(?) polega na tym, że metoda to nie na transmisję kierowane są (głównie) ataki. Po prostu łatamy nie do końca tu, gdzie jest problem. Pewnym dodatkowym argumentem dla banków za wprowadzeniem tokenów GSM jest redukcja kosztów - wysyłanie SMS kosztuje. W Twoim scenariuszu tej zalety by nie było - kody SMS nadal byłyby wysyłane, więc brak redukcji kosztów po stronie banku. Teoretycznie podobne podejście można zastosować przy z kodami QR, to znaczy kod może zawierać szyfrowane lub jakoś "podpisywane" dane, ale tu problemem są aparaty. Im więcej danych ma być zakodowanych na takim kodzie, tym większe wymagania odnośnie aparatu. Ogólnie - temat jest ciężki, z kilku powodów. Może do niego jeszcze wrócę, bo jest interesujący, ale na razie to więcej mam(y) wątpliwości, niż sensownych odpowiedzi. Dużo ciekawych kwestii poruszył też Krzysiek w swoim komentarzu, na przykład kwestię "wspieralności" jakiegoś rozwiązania (dodatkowe koszty!). Tue, 05 Oct 2010 17:43:55 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2921 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2920 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (mindril) Oki, dzieki za wyjasnienie. Chcialem sie po prostu dowiedziec czy takie rozwiazanie jest w ogole rozwazane :). Po prostu jako pewne polaczenie zalet (wad?) obu rozwiazan. p.s. Jasne ze malware i RE ignorowac nie mozna, ale to chyba dotyczy takze tokenow, dobrze mysle? Tue, 05 Oct 2010 16:14:16 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2920 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2919 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (Krzysztof Kotowicz) Jeśli bank dystrybuuje aplikacje na telefon klienta, to jednocześnie SMS jest tylko jednym z możliwych kanałów transmisji danych (można wykorzystać również zwykłe połączenia HTTPS z bankiem, jeśli telefon jest online). Dwie uwagi: a) ze względów rynkowych to jest obecnie niestosowane (m.in. wygoda dla klienta, konieczność supportu dla niezliczonej ilości modeli telefonów) b) pomijasz kwestie malware na telefony, a tego nie można pominąć (a.d.2010) - każdą aplikację prędzej czy później będzie się dało zreversować. Myślę, że obecnie ciekawszym rozwiązaniem byłby powrót do prób z QR-kodami jako alternatywy dla przepisywania szczegółów transakcji ręcznie w modelu challenge-response. Paweł wspominał, że były próby, ale aparaty w komórkach były wtedy zbyt słabe. Może teraz jest już lepiej. Tue, 05 Oct 2010 14:01:58 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2919 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#c2918 https://archive.mroczna-zaloga.org/archives/925-zamiast-slajdow-z-secday.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=925 nospam@example.com (mindril) Odnosnie kodow SMS i tokenow GSM - takie rozwazania laika - co sadzisz o pewnego rodzaju polaczeniu obu technologii na zasadzie: klient dostaje aplikacje na telefon wraz z wbudowanym kluczem. Za pomoca tego klucza sa szyfrowane SMSy z kodami transakcji i tylko na telefonie klienta da sie je odczytac (pomijam kwestie malware). Czy spotkales sie z takim rozwiazaniem? Tue, 05 Oct 2010 13:18:34 +0200 https://archive.mroczna-zaloga.org/archives/925-guid.html#c2918