#11
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 12:45:00 по местному времени:
Нello Alex! Tuesday May 17 2016 09:10, Alex Korchmar wrote to Andrew Kant: AK> Идея с токенами, не зависящими от внешних сервисов, мне нравится гораздо AK> больше. Разумеется, если оно сделано "как у ВТБ24", а не как у рукожопых AK> китайцев из убиквити. AK> Неужели нельзя получить примерно то же самое в частные руки? Поделка-то AK> сама по себе примитивнейшая, и явно использует стандартные свойства AK> смарткарты. Ага, стандартное свойство - на неё при заказе можно записать своё приложение. Только для того, чтоб им воспользоваться, ты должен обладать комплектом для персонализации смарткарт, ну и заказать на заводе собственно пластик с чипом, и тогда тебе завод привезет карты и ключи для заливки. А дальше станднартный (ну или оформленный в виде пароль-генератора) карт-ридер и приложение, взаимодействующее с тем, что на карте. Фигня-вопрос :) Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#12
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 07:33:44 по местному времени:
Нello Alex! Tuesday May 17 2016 17:37, Alex Korchmar wrote to Andrew Kant: AK>> ключ от сервера, а дальше приложение делает стандартные функции типа AK>> хэширования по AK> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с AK> номером карты (надеюсь, не через визовскую коробочку-пинохранилище). Если-бы он был связан с номером карты, ты должен-был бы этот номер передавать при логине, а так как достаточно только набрать то, что показал тебе веб-сервер, то привязка идет к тому, что записано внутри. AK> Раздавать пользователям какие-то ключи сервера, даже в AK> неизвлекаемом AK> формате - вряд ли одобрила бы банковская секьюрить. Вот эту бы детальку AK> и научиться воспроизводить у себя. Если оно не через коробочку - то, AK> скорее всего, воспроизводимо, понять бы, как. На карте есть обычный защищённый профиль, доступный по пину, в котором лежат ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA (естественно, не только, RSA чисто для примера). Второй ключ есть у сервера, сервер им что-то подписывает, это-же "что-то" он выкладывает тебе на сайте, ты вводишь в калькулятор и он подписывает это что-то ключом с карты. Результат ты вводишь. AK>> Естественно, пин прийдется вводить, и его у тебя могут стырить AK> могут, но это две разные вещи надо стырить - код и физическое AK> устройство. Причем этот самый код и сменить недолго, ему незачем быть AK> суперсекьюрным и неудобозапоминаемым, сам по себе он тоже ничего не AK> дает, поэтому даже в этом случае не будет гарантии что стырен нужный AK> код. А если не сделать все очень быстро - я просто блокирую карту, и она AK> превращается в тыкву вместе с кодами. Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и стандартный виндовый логин принимает как родной. И пин, и карта (либо usb-донгл), и уже существующая промышленная технология, не китайская - всё как ты хотел. Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна смарткарта в кредитке и одна в мобиле, но там нет интеграции, то есть если хочешь секурно - то надо брать отдельно. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#13
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 09:39:21 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK>> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с AK>> номером карты (надеюсь, не через визовскую коробочку-пинохранилище). AK> Если-бы он был связан с номером карты, ты должен-был бы этот номер AK> передавать банк прекрасно знает номер карты. И серверу давно его рассказал. Причем у чипа два режима - в одном традиционный challenge-response, когда в ответ на строку бреда производится другая строка бреда, в другом вводятся две заранее известных тебе (и не предсказуемых заранее сервером, хотя известных в момент запроса). То есть можно этих кодов нагенерить "впрок". По каким-то загадочным причинам второй тип операции считается втбшниками гораздо более секьюрным. Опять таки я сомневаюсь что это где-то в клавиатуре. Скорее всего это тоже штатный функционал смарткарт. AK> На карте есть обычный защищённый профиль, доступный по пину, в котором лежат AK> ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA ага, то есть в общем-то примерно то что мне надо. Осталось понять - как создать такой профиль (использовать любую существующую карту очевидно не получится, это ж те самые ключи, вторая половинка которых в визовском ящике осталась, если ты правильно угадал) не за миллиард денег и банковская лицензия в довесок. Ну или в общем случае- алгоритм обмена. Смарткарты мы еще в 1994м подделывали, это неприятно, много пайки, но в принципе можно напрячься, нужна в общем-то одна рабочая и пара запасных. А вот клавиатуру-экран нужно втбшные (если не удастся найти китайца, который им их выпекает и купить без логотипа) - самому на коленке такое компактно и надежно не сделать. Если это стандартная фича - то должны быть где-то и описания сиих стандартов? AK> Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и AK> стандартный виндовый логин принимает как родной. И пин, и карта (либо и смысл? То, на чем вводят otp, untrusted компьютер, в него ничего нельзя втыкать, иначе "как родной" его использует кто-то лишний. otp изначально решает именно эту проблему. Сейчас к ней добавилась невозможность набирать пароль для otp на клавиатуре даже trusted устройства-генератора. AK> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту я готов разориться. На комплект для их программирования - сильно подумаю. > Alex P.S. поэкспериментировал с картами других банков. Генератор их ест как родные, но вот формат ответа у каждой свой. Если это стандарт, то он крайне странен. --- ifmail v.2.15dev5.4 |
#14
|
|||
|
|||
Re: адекватная замена s/key
Valentin Davydov написал(а) к Alex Korchmar в May 16 11:17:08 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Alex Korchmar <noreply@linux.e-moe.ru> > Date: Wed, 18 May 2016 12:29:17 +0000 (UTC) > >P.S. кстати, идея банковской скретч-карты тоже относительно пригодна для >употребления. Опять таки - если кто-то знает способ изготовления таковых на >дому. Тоже никого? Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши), заклеиваешь напечатанное тонким прозрачным скотчем, красишь сверху акриловой серебрянкой (чтобы легче сдиралась, можно в неё шампуня капнуть). Вал. Дав. --- ifmail v.2.15dev5.4 |
#15
|
|||
|
|||
Re: адекватная замена s/key
Sergey Poziturin написал(а) к Alex Korchmar в May 16 18:51:00 по местному времени:
Нello, Alex Korchmar. On 20.05.16 15:03 you wrote: ??>>> P.S. кстати, идея банковской скретч-карты тоже относительно ??>>> пригодна для употребления. Опять таки - если кто-то знает способ ??>>> изготовления таковых на дому. Тоже никого? VD>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) AK> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз AK> раздает пачками забесплатно. Понятно, я у него не один, ну так AK> может есть менее мощные и более дешевые принтеры? Или готовый AK> сервис по печатанию. Без явно видимого любопытного мальчика с AK> камерой и блокнотиком. Попробуй обратиться в розан или ново-кард. -- Best regards! Posted using Нotdoged on Android --- Нotdoged/2.13/Android |
#16
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 07:39:38 по местному времени:
Нello Alex! Thursday May 19 2016 09:39, Alex Korchmar wrote to Andrew Kant: AK>>> думаю что ровно наоборот - на сервере лежит "ключ", как-то AK>>> связанный с номером карты (надеюсь, не через визовскую AK>>> коробочку-пинохранилище). AK>> Если-бы он был связан с номером карты, ты должен-был бы этот номер AK>> передавать AK> банк прекрасно знает номер карты. И серверу давно его рассказал. Банк знает все номера карт, но он не знает, какая карта используется тобой вот прямо сейчас. Пока ты это ему не скажешь. Веб-сайт выдаёт тебе данные на основе чего? Ну это самое "Введите код, полученный от системы ВТБ-Онлайн"? Он уже знает, кто ты, или только хочет это узнать? В первом случае конечно, банк может знать номер твоей карты (и сразу интересный вопрос - а если их больше одной?) Но вполне можно заложить алгоритм и не на номер карты (он фактически не нужен) - если ты вводишь пин, значит ты разблокировал доступ к софту карты, и можешь оттуда вытащить более интересную информацию. Если, конечно, софт тебе это позволяет. AK>> На карте есть обычный защищённый профиль, доступный по пину, в AK>> котором лежат ключи. Карта умеет этими ключами что-то пропускать AK>> через алгоритм RSA AK> ага, то есть в общем-то примерно то что мне надо. AK> Осталось понять - как создать такой профиль (использовать любую AK> существующую карту очевидно не получится, это ж те самые ключи, вторая AK> половинка которых в визовском ящике осталась, если ты правильно угадал) AK> не за миллиард денег и банковская лицензия в довесок. Обратись к поставщику карт. Он предоставляет чистые карты, технические условия (стандарты на программирования, операционку самой карты итп) и технологические ключи для заливки софта. Правда, кажется у него минимальная партия что-то в пределах 1000 штук. Зато доставка на броневичке прямо в офис заказчика :) AK> Если это стандартная фича - то должны быть где-то и описания сиих AK> стандартов? Конечно. И даже среды программирования есть какие-то. AK>> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже AK>> есть одна AK> нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту AK> я готов разориться. На комплект для их программирования - сильно AK> подумаю. А без доступа к технологическим ключам он бессмысленен - карта будет делать только то, на что она заточена. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#17
|
|||
|
|||
адекватная замена s/key
Andrew Kant написал(а) к Alex Korchmar в May 16 08:58:33 по местному времени:
Нello Alex! Friday May 20 2016 15:03, Alex Korchmar wrote to Valentin Davydov: >>> P.S. кстати, идея банковской скретч-карты тоже относительно пригодна >>> для употребления. Опять таки - если кто-то знает способ изготовления >>> таковых на дому. Тоже никого? VD>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) AK> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает AK> пачками забесплатно. Нифига банк их не печатает - печатает типография. Аутсорсинг. Иметь свою типографию накладно. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#18
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 17:39:34 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: VD>>> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) AK>> а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает AK>> пачками забесплатно. AK> Нифига банк их не печатает - печатает типография. Аутсорсинг. Иметь свою AK> типографию накладно. типография не будет такой херней заниматься. К тому же никто им не доверит - потому что нет гарантии, что все коды не напечатаны в двойном экземпляре. скорее всего там штуковина, аналогичная карточному "принтеру". > Alex --- ifmail v.2.15dev5.4 |
#19
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Valentin Davydov в May 16 17:42:34 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Valentin Davydov <sp@m.davydov.spb.su> wrote: >>VD> Печатаешь нежирным шрифтом на плотной бумаге (перфокарты хороши) >>а поприличней? Вот банк их чем-то ведь печатает, и дешево, раз раздает пачками >>забесплатно. VD> Так банк их пачками и печатает, а не по одной. по одной, коды разные. (поэтому никакая "типография" за это не возьмется, только специализированные организации) VD> Есть, но расходники дорогие. и какова цена вопроса? VD> Да даже и у персонального принтера на сотню карточек в месяц - и то драйвер VD> сугубо виндовый, и Б.-Г. весть, кому он твои пароли отправит. это меня совершенно не беспокоит. > Alex --- ifmail v.2.15dev5.4 |
#20
|
|||
|
|||
Re: адекватная замена s/key
Alex Korchmar написал(а) к Andrew Kant в May 16 17:44:18 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote: AK>> банк прекрасно знает номер карты. И серверу давно его рассказал. AK> Банк знает все номера карт, но он не знает, какая карта используется тобой знает. Код подойдет только с одной, специально для этого выданной. AK> прямо сейчас. Пока ты это ему не скажешь. Веб-сайт выдаёт тебе данные на основе AK> чего? Ну это самое "Введите код, полученный от системы ВТБ-Онлайн"? Он уже веб сайт выдает "введите код, полученный из генератора". разумеется, вместе с логином. AK> - если ты вводишь пин, значит ты разблокировал доступ к софту карты, и можешь AK> оттуда вытащить более интересную информацию. Если, конечно, софт тебе это AK> позволяет. если с этим трахаться. А если штатный функционал карты позволяет зашифровать встроенным открытым ключом нечто, закрытый ключ от чего лежит у банка - то его и будут использовать, вместо сочинения гибридов ужей с ежами. AK> Правда, кажется у него минимальная партия что-то в пределах AK> 1000 штук. Зато доставка на броневичке прямо в офис заказчика :) они ж по цене картона, броневичок дороже горючки сожрет. Но вот железка для их активизации, видимо, дороговата. AK> А без доступа к технологическим ключам он бессмысленен - карта будет делать AK> только то, на что она заточена. мне и надо только то, на что она заточена. в общем, хорошие люди послали на emvco.org спек читать. Боюсь, правда, это еще одну жизнь надо одолжить. > Alex --- ifmail v.2.15dev5.4 |