адекватная замена s/key

Andrew Kant написал(а) к Alex Korchmar в May 16 12:45:00 по местному времени:

Нello Alex!

Tuesday May 17 2016 09:10, Alex Korchmar wrote to Andrew Kant:

AK> Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо
AK> больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых
AK> китайцев из убиквити.
AK> Неужели нельзя получить примерно то же самое в частные руки? Поделка-то
AK> сама по себе примитивнейшая, и явно использует стандартные свойства
AK> смарткарты.

Ага, стандартное свойство - на неё при заказе можно записать своё приложение.
Только для того, чтоб им воспользоваться, ты должен обладать комплектом для персонализации смарткарт, ну и заказать на заводе собственно пластик с чипом, и тогда тебе завод привезет карты и ключи для заливки. А дальше станднартный (ну или оформленный в виде пароль-генератора) карт-ридер и приложение, взаимодействующее с тем, что на карте. Фигня-вопрос :)

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Andrew Kant написал(а) к Alex Korchmar в May 16 07:33:44 по местному времени:

Нello Alex!

Tuesday May 17 2016 17:37, Alex Korchmar wrote to Andrew Kant:
AK>> ключ от сервера, а дальше приложение делает стандартные функции типа
AK>> хэширования по
AK> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с
AK> номером карты (надеюсь, не через визовскую коробочку-пинохранилище).

Если-бы он был связан с номером карты, ты должен-был бы этот номер передавать при логине, а так как достаточно только набрать то, что показал тебе веб-сервер, то привязка идет к тому, что записано внутри.

AK> Раздавать пользователям какие-то ключи сервера, даже в
AK> неизвлекаемом
AK> формате - вряд ли одобрила бы банковская секьюрить. Вот эту бы детальку
AK> и научиться воспроизводить у себя. Если оно не через коробочку - то,
AK> скорее всего, воспроизводимо, понять бы, как.
На карте есть обычный защищённый профиль, доступный по пину, в котором лежат ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA (естественно, не только, RSA чисто для примера). Второй ключ есть у сервера, сервер им что-то подписывает, это-же "что-то" он выкладывает тебе на сайте, ты вводишь в калькулятор и он подписывает это что-то ключом с карты. Результат ты вводишь.


AK>> Естественно, пин прийдется вводить, и его у тебя могут стырить
AK> могут, но это две разные вещи надо стырить - код и физическое
AK> устройство. Причем этот самый код и сменить недолго, ему незачем быть
AK> суперсекьюрным и неудобозапоминаемым, сам по себе он тоже ничего не
AK> дает, поэтому даже в этом случае не будет гарантии что стырен нужный
AK> код. А если не сделать все очень быстро - я просто блокирую карту, и она
AK> превращается в тыкву вместе с кодами.
Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и стандартный виндовый логин принимает как родной. И пин, и карта (либо usb-донгл), и уже существующая промышленная технология, не китайская - всё как ты хотел.

Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна смарткарта в кредитке и одна в мобиле, но там нет интеграции, то есть если хочешь секурно - то надо брать отдельно.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Alex Korchmar написал(а) к Andrew Kant в May 16 09:39:21 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

AK>> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с
AK>> номером карты (надеюсь, не через визовскую коробочку-пинохранилище).
AK> Если-бы он был связан с номером карты, ты должен-был бы этот номер
AK> передавать
банк прекрасно знает номер карты. И серверу давно его рассказал.

Причем у чипа два режима - в одном традиционный challenge-response, когда в
ответ на строку бреда производится другая строка бреда, в другом вводятся
две заранее известных тебе (и не предсказуемых заранее сервером, хотя известных
в момент запроса). То есть можно этих кодов нагенерить "впрок".
По каким-то загадочным причинам второй тип операции считается втбшниками
гораздо более секьюрным. Опять таки я сомневаюсь что это где-то в клавиатуре.
Скорее всего это тоже штатный функционал смарткарт.

AK> На карте есть обычный защищённый профиль, доступный по пину, в котором лежат
AK> ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA
ага, то есть в общем-то примерно то что мне надо.
Осталось понять - как создать такой профиль (использовать любую существующую
карту очевидно не получится, это ж те самые ключи, вторая половинка которых
в визовском ящике осталась, если ты правильно угадал) не за миллиард денег и
банковская лицензия в довесок.

Ну или в общем случае- алгоритм обмена. Смарткарты мы еще в 1994м
подделывали, это неприятно, много пайки, но в принципе можно
напрячься, нужна в общем-то одна рабочая и пара запасных. А вот
клавиатуру-экран нужно втбшные (если не удастся найти китайца, который им их
выпекает и купить без логотипа) - самому на коленке такое компактно
и надежно не сделать.

Если это стандартная фича - то должны быть где-то и описания сиих стандартов?

AK> Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и
AK> стандартный виндовый логин принимает как родной. И пин, и карта (либо
и смысл? То, на чем вводят otp, untrusted компьютер, в него ничего нельзя
втыкать, иначе "как родной" его использует кто-то лишний.
otp изначально решает именно эту проблему. Сейчас к ней добавилась
невозможность набирать пароль для otp на клавиатуре даже trusted
устройства-генератора.

AK> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна
нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту я
готов разориться. На комплект для их программирования - сильно подумаю.

> Alex
P.S. поэкспериментировал с картами других банков. Генератор их ест как родные,
но вот формат ответа у каждой свой. Если это стандарт, то он крайне странен.

--- ifmail v.2.15dev5.4

Valentin Davydov написал(а) к Alex Korchmar в May 16 11:17:08 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alex Korchmar <noreply@linux.e-moe.ru>
> Date: Wed, 18 May 2016 12:29:17 +0000 (UTC)
>
>P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для
>употребления. Опять таки - если кто-то знает способ изготовления таковых на
>дому. Тоже никого?

Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши), заклеиваешь
напечатанное тонким прозрачным скотчем, красишь сверху акриловой серебрянкой
(чтобы легче сдиралась, можно в неё шампуня капнуть).

Вал. Дав.
--- ifmail v.2.15dev5.4

Sergey Poziturin написал(а) к Alex Korchmar в May 16 18:51:00 по местному времени:

Нello, Alex Korchmar.
On 20.05.16 15:03 you wrote:

??>>> P.S. кстати, идея банковской скретч-карты тоже относительно
??>>> пригодна для употребления. Опять таки - если кто-то знает способ
??>>> изготовления таковых на дому. Тоже никого?
VD>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
AK> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз
AK> раздает пачками забесплатно. Понятно, я у него не один, ну так
AK> может есть менее мощные и более дешевые принтеры? Или готовый
AK> сервис по печатанию. Без явно видимого любопытного мальчика с
AK> камерой и блокнотиком.

Попробуй обратиться в розан или ново-кард.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13/Android

Andrew Kant написал(а) к Alex Korchmar в May 16 07:39:38 по местному времени:

Нello Alex!

Thursday May 19 2016 09:39, Alex Korchmar wrote to Andrew Kant:

AK>>> думаю что ровно наоборот - на сервере лежит "ключ", как-то
AK>>> связанный с номером карты (надеюсь, не через визовскую
AK>>> коробочку-пинохранилище).
AK>> Если-бы он был связан с номером карты, ты должен-был бы этот номер
AK>> передавать
AK> банк прекрасно знает номер карты. И серверу давно его рассказал.
Банк знает все номера карт, но он не знает, какая карта используется тобой вот прямо сейчас. Пока ты это ему не скажешь. Веб-сайт выдаёт тебе данные на основе чего? Ну это самое "Введите код, полученный от системы ВТБ-Онлайн"? Он уже знает, кто ты, или только хочет это узнать? В первом случае конечно, банк может знать номер твоей карты (и сразу интересный вопрос - а если их больше одной?) Но вполне можно заложить алгоритм и не на номер карты (он фактически не нужен) - если ты вводишь пин, значит ты разблокировал доступ к софту карты, и можешь оттуда вытащить более интересную информацию. Если, конечно, софт тебе это позволяет.

AK>> На карте есть обычный защищённый профиль, доступный по пину, в
AK>> котором лежат ключи. Карта умеет этими ключами что-то пропускать
AK>> через алгоритм RSA
AK> ага, то есть в общем-то примерно то что мне надо.
AK> Осталось понять - как создать такой профиль (использовать любую
AK> существующую карту очевидно не получится, это ж те самые ключи, вторая
AK> половинка которых в визовском ящике осталась, если ты правильно угадал)
AK> не за миллиард денег и банковская лицензия в довесок.
Обратись к поставщику карт. Он предоставляет чистые карты, технические условия (стандарты на программирования, операционку самой карты итп) и технологические ключи для заливки софта. Правда, кажется у него минимальная партия что-то в пределах 1000 штук. Зато доставка на броневичке прямо в офис заказчика :)

AK> Если это стандартная фича - то должны быть где-то и описания сиих
AK> стандартов?
Конечно. И даже среды программирования есть какие-то.

AK>> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже
AK>> есть одна
AK> нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту
AK> я готов разориться. На комплект для их программирования - сильно
AK> подумаю.
А без доступа к технологическим ключам он бессмысленен - карта будет делать только то, на что она заточена.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Andrew Kant написал(а) к Alex Korchmar в May 16 08:58:33 по местному времени:

Нello Alex!

Friday May 20 2016 15:03, Alex Korchmar wrote to Valentin Davydov:
>>> P.S. кстати, идея банковской скретч-карты тоже относительно пригодна
>>> для употребления. Опять таки - если кто-то знает способ изготовления
>>> таковых на дому. Тоже никого?

VD>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
AK> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает
AK> пачками забесплатно.
Нифига банк их не печатает - печатает типография. Аутсорсинг. Иметь свою типографию накладно.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Alex Korchmar написал(а) к Andrew Kant в May 16 17:39:34 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

VD>>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
AK>> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает
AK>> пачками забесплатно.
AK> Нифига банк их не печатает - печатает типография. Аутсорсинг. Иметь свою
AK> типографию накладно.
типография не будет такой херней заниматься.

К тому же никто им не доверит - потому что нет гарантии, что все коды не
напечатаны в двойном экземпляре.

скорее всего там штуковина, аналогичная карточному "принтеру".


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Valentin Davydov в May 16 17:42:34 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Valentin Davydov <sp@m.davydov.spb.su> wrote:

>>VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши)
>>а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками
>>забесплатно.
VD> Так банк их пачками и печатает, а не по одной.
по одной, коды разные.
(поэтому никакая "типография" за это не возьмется, только специализированные
организации)

VD> Есть, но расходники дорогие.
и какова цена вопроса?

VD> Да даже и у персонального принтера на сотню карточек в месяц - и то драйвер
VD> сугубо виндовый, и Б.-Г. весть, кому он твои пароли отправит.
это меня совершенно не беспокоит.

> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Andrew Kant в May 16 17:44:18 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:

AK>> банк прекрасно знает номер карты. И серверу давно его рассказал.
AK> Банк знает все номера карт, но он не знает, какая карта используется тобой
знает. Код подойдет только с одной, специально для этого выданной.

AK> прямо сейчас. Пока ты это ему не скажешь. Веб-сайт выдаёт тебе данные на основе
AK> чего? Ну это самое "Введите код, полученный от системы ВТБ-Онлайн"? Он уже
веб сайт выдает "введите код, полученный из генератора".
разумеется, вместе с логином.

AK> - если ты вводишь пин, значит ты разблокировал доступ к софту карты, и можешь
AK> оттуда вытащить более интересную информацию. Если, конечно, софт тебе это
AK> позволяет.
если с этим трахаться. А если штатный функционал карты позволяет
зашифровать встроенным открытым ключом нечто, закрытый ключ от чего лежит у
банка - то его и будут использовать, вместо сочинения гибридов ужей с ежами.

AK> Правда, кажется у него минимальная партия что-то в пределах
AK> 1000 штук. Зато доставка на броневичке прямо в офис заказчика :)
они ж по цене картона, броневичок дороже горючки сожрет.
Но вот железка для их активизации, видимо, дороговата.

AK> А без доступа к технологическим ключам он бессмысленен - карта будет делать
AK> только то, на что она заточена.
мне и надо только то, на что она заточена.

в общем, хорошие люди послали на emvco.org спек читать.
Боюсь, правда, это еще одну жизнь надо одолжить.


> Alex

--- ifmail v.2.15dev5.4