Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 09:39:21 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru>
Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:
AK>> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с
AK>> номером карты (надеюсь, не через визовскую коробочку-пинохранилище).
AK> Если-бы он был связан с номером карты, ты должен-был бы этот номер
AK> передавать
банк прекрасно знает номер карты. И серверу давно его рассказал.
Причем у чипа два режима - в одном традиционный challenge-response, когда в
ответ на строку бреда производится другая строка бреда, в другом вводятся
две заранее известных тебе (и не предсказуемых заранее сервером, хотя известных
в момент запроса). То есть можно этих кодов нагенерить "впрок".
По каким-то загадочным причинам второй тип операции считается втбшниками
гораздо более секьюрным. Опять таки я сомневаюсь что это где-то в клавиатуре.
Скорее всего это тоже штатный функционал смарткарт.
AK> На карте есть обычный защищённый профиль, доступный по пину, в котором лежат
AK> ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA
ага, то есть в общем-то примерно то что мне надо.
Осталось понять - как создать такой профиль (использовать любую существующую
карту очевидно не получится, это ж те самые ключи, вторая половинка которых
в визовском ящике осталась, если ты правильно угадал) не за миллиард денег и
банковская лицензия в довесок.
Ну или в общем случае- алгоритм обмена. Смарткарты мы еще в 1994м
подделывали, это неприятно, много пайки, но в принципе можно
напрячься, нужна в общем-то одна рабочая и пара запасных. А вот
клавиатуру-экран нужно втбшные (если не удастся найти китайца, который им их
выпекает и купить без логотипа) - самому на коленке такое компактно
и надежно не сделать.
Если это стандартная фича - то должны быть где-то и описания сиих стандартов?
AK> Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и
AK> стандартный виндовый логин принимает как родной. И пин, и карта (либо
и смысл? То, на чем вводят otp, untrusted компьютер, в него ничего нельзя
втыкать, иначе "как родной" его использует кто-то лишний.
otp изначально решает именно эту проблему. Сейчас к ней добавилась
невозможность набирать пароль для otp на клавиатуре даже trusted
устройства-генератора.
AK> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна
нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту я
готов разориться. На комплект для их программирования - сильно подумаю.
> Alex
P.S. поэкспериментировал с картами других банков. Генератор их ест как родные,
но вот формат ответа у каждой свой. Если это стандарт, то он крайне странен.
--- ifmail v.2.15dev5.4
|