Co v tom bylo... (Was: jak se podivat na Vlastni oci)

Michal Dobes dobes na tesnet.cz
Čtvrtek Květen 15 15:00:14 CEST 2003


Petr Šobáň napsal(a):
> Pokud u e-banky používate mobil nebo jejich kalkulačku tak utočník muze vše 
> videt a nic vám neudělá, kod je po kazde jiny.
> Jediný problém by byl pokud by nějak zjistil jak se tento kod generuje což si 
> myslím že nestojí za námahu u obyčejných učtu kde je pár tisíc.

Pokud nekdo ma jeden kod, tak muzete byt klidny. Pokud jich ziska radu
po sobe, tak se da spocitat tajny klic i aktualni polohu
v synchronizacni sekvenci. Mozna by se nekteri lide divili, ze tech
kodu nemusi byt az tak mnoho. Ten system stoji na tom, ze je tezke
zachytit sekvenci autorizaci i se znamymi vstupnimi daty po sobe
bez mezer po dostatecne dlouhou dobu (v zavislosti na pouzitem
aparatu a sifre ten pocet autorizaci zacina na cca 20).
Je to otazka pouziteho algoritmu, ocekvam pouziti 3DES, coz by mohlo
byt rozumne bezpecne. Pred nejakou dobou jsem sledoval diskusi nad
bezpecnosti OTP tokenu postavenych nad DES alogitmem a kazdy trosku
paranoidnejsi clovek by velmi znervoznel. A diskuse se vedla jen
v rovine vyuziti dat ziskanych odposlechem. Pokud se takovy
token dostane cloveku do rukou, tak cele rada tokenu podlehne
pouziti nejakeho postranniho konalu za celkem realizovatelnych
podminek.

	Majkl



Další informace o konferenci Linux