Vlákno názorů k článku Žádné internetové bankovnictví není zcela bezpečné od Jan Němec - Hm. Další "expert" na elektronické bankovnictví, který si...
-
Jan Němec (neregistrovaný)Hm. Další "expert" na elektronické bankovnictví, který si plete certifikát a soukromý klíč a který neví, že z čipové karty NELZE (při správném navržení aplikace) soukromý klíč softwarovými prostředky exportovat. Lze jen v době, kdy je karta ve čtečce a uživatel ověřil PIN, například podepsat kartou jiný příkaz, než zadal uživatel. Samozřejmě jen pokud útočník plně ovládá klientův počítač a nainstaloval do něj opravdu geniální software.
-
anonymníJe to přesně tak. Navíc asi bude i dost obtížné dostat soukromý klíč i z normálního disku pokud byl označen za neexportovatelný a je chráněný heslem. Každopádně úsilí věnované ke krádeži certifikátu s klíčem z čipové karty nebo i HDD bude asi potřeba nesrovnatelně větší než zjistit číslo účtu a zfalšovat podpis na papírový příkaz o čemž skoro nikdo nepřemýšlí, ale spousta lidí vyhazuje do koše výpisy z účtu a kopie účtenek z kreditky s podpisem nebo papírových příkazů s podpisem.
-
AEPOE (neregistrovaný)A co ty? Co tebe opravňuje k takovéhle kritice?
Mimo jiné v článku bylo uvedeno jedno důležité pravidlo: Je to jen otázka času a peněz. Osobně nejsem ani počítačový odborník ani žádná kapacita v oblasti kryptologie, ale přesto se domnívám, že skutečně neexistuje žádný absolutně bezpečný způsob zabezpečení a je jen otázkou, zda se útočníkovi vyplatí nabourat se přes určitý stupeň ochrany s určitými náklady, když potom zisk může být nižší než, co do toho sám vrazí. Nehledě ani na to, že čím vyšší bude nutný vstupní kapitál, tím menší okruh lidí k potřebným technologiím bude mít přístup atd. atd. -
Radek (neregistrovaný)"z čipové karty NELZE (při správném navržení aplikace) soukromý klíč softwarovými prostředky exportovat"
- na základě čeho tvrdíte, že to NELZE? Vzhledem k tomu, co všechno JE možné, bych se nedivil, kdyby stažení informací z čipové karty bylo pouze VELMI OBTÍŽNÉ. Se správným zařízením lze zjistit z kolísání odběru proudu, jaké procesy běží na počítači. Tak proč by nešlo zjistit, jaké procesy běží na čipové kartě? -
Jan Němec (neregistrovaný)> Se správným zařízením lze zjistit z kolísání odběru proudu
Se správným hardwarovým zařízením to jistě lze. Věřím tomu, že se správným hardwarovým zařízením je možné z čipové karty (velmi obtížným způsobem) vydolovat soukromý klíč. Softwarovými prostředky to ale nejde. (Nepodepisuje se v počítači, ale přímo na kartě, to je principiální rozdíl oproti řešení, kde je soukromý klíč uložený na běžném USB kolíčku.) -
Omlouvám se za nepřesnou formulaci - nelze zkopírovat data z karty, ale informaci, kterou nese, lze zneužít. Viz např.
"pokud není možné zneužít přímo čipovou kartu, tak je možné velice elegantně zneužít komunikaci mezi počítačem a čtečkou karet [...] Na jedné straně je čipová karta bezpečným úložištěm pro citlivá data a na druhé straně je možné tato data zneužít."
http://www.lupa.cz/clanky/jsou-cipove-karty-bezpecne/
Mohlo by vás zajímat
-
Úspěch s první hromadnou žalobou: Soud přiznal nárok na 1,6 mil. Kč. Jak vám může hromadné řízení pomoci?
-
Na kartu v Albánii nespoléhejte, stoeurovky nechte doma a dejte pozor na poplatky za výběr z bankomatu
-
O vyšší příspěvek na bydlení lze žádat jen do konce července. Jak doložit příjmy a náklady na bydlení online?
-
Máslo za dvacku, cigarety za třicet. Vzpomenete si, za kolik jste nakupovali v půlce 90tek?
ČLÁNKY DO MAILU