Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Befenyített Mítoszrombolók

2008.09.04. 18:11 | buherator | 42 komment

A Discovery csatorna népszerű, Mythbusters (Állítólag) műsorának készítői úgy gondolták, érdemes lenne górcső alá venni az egyre népszerűbb RFID technológiát. A technikai részletek tisztázása végett a stáb felvette a kapcsolatot a Texas Instrumentsszel, akik értesítették a technológiában szintén érintett bankokat (Visa, American Express... szóval a nagyobb nevek), akik - legalábbis a műsor egyik házigazdájának, Adam Savagenek elmondása alapján - ügyvédeik útján adtak hangot a téma feldolgozásával kapcsolatos nemtetszésüknek.

 A Texas Instruments persze egészen másként emlékszik a történtekre: szerintük a Discovery gondolta meg magát, kérdés azonban, hogy milyen okból tették volna ezt?

A lényeg az, hogy az epizód végül nem fog adásba kerülni, ez pedig - legalábbis számomra - megingatja a bizalmat a banki környezetben használt RFID megoldások biztonságával kapcsolatban...

Adam HOPE-os előadása alant:

Címkék: mythbusters rfid texas instruments

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Karlitosz 2008.09.04. 19:33:58

rádiófrekvenciás azonosító, nektek "az a kis matrica a DVD-n amitől csipog a kijáratnál"

Pista 2008.09.04. 19:37:19

MI a szar az a RFID?

Meg kell szagolni! Ha büdös, akkor kémiai jellegű a probléma, ha szagtalan, akkor matematikai jellegű!

Lord_Cica 2008.09.04. 19:44:53

Az RFID az a kis vacak lapka, amit lopás előtt le kell szedni a cuccokról :)
De mi a baj vele? Rákot okoz má ez is?

brumi 2008.09.04. 19:49:40

Ha mondjuk bankkártyán ezt használják (és akarják) akkor csak az nem olvassa ki az adatokat nagyon gyorsan és egyszerűen aki nem ért hozzá, aki meg igen ...

Kobaljov 2008.09.04. 19:50:17

Az RFID talán túlságosan bonyolult és nem annyira látványos az eddigi témáikhoz képest, így lehet, hogy csak kacsa a hír?

Lord_Cica 2008.09.04. 19:54:04

Fú a wikipedián is vannak érdekes dolgok :))

en.wikipedia.org/wiki/RFID#Privacy

A few critics, mostly conservative Evangelical Christians, believe that RFID tagging could represent the mark of the beast, which Revelation 13:16-17 says will be placed by the Antichrist in the right hands or foreheads of humans and necessary for commerce.

“He forced everyone, small and great, rich and poor, free and slave, to receive a mark on his right hand or on his forehead,
so that no one could buy or sell unless he had the mark, which is the name of the beast or the number of his name.”
—Revelation 13:16-17

saint 2008.09.04. 20:01:27

Ennyire biztonságos az RFID. 3 srác feltörte a bostoni tömegközlekdésben használt RFID kártyákat. Aztán szerették volna publikálni egy konferencián.:) Érdemes elolvasni.
www.sg.hu/cikkek/62125/ujabb_reszletek_a_defcon_botranyrol

Reggie 2008.09.04. 20:05:18

saint 2008.09.04. 20:01:27

Ez a biztonsagi hiba nem az rfid hibaja, hanem a biztonsagi rendszere amit ott bostonban alkalmaztak.

buherator · http://buhera.blog.hu 2008.09.04. 20:18:22

Némi adalék azoknak, akik nem mernek tagekre kattintani :)
buhera.blog.hu/tags/rfid

@Kobaljov
A Mythbustersben nem ritkán arról szól a műsor, hogy nem történik semmi, szóval szerintem az ilyen problémák megoldásában már van jártasságuk :) Persze simán lehet, hogy csak Adam akart villantani a HOPE-on...

saint 2008.09.04. 20:19:28

Reggie:

A prezentációjuk azt is tartalmazza, hogyan törték fel az RFID-t.

MitNick 2008.09.04. 20:27:34

Az RFID egy roppant nagy szar.

- Azonosító adatok tárolására és "röptében" történő leolvasásra kifejlesztett elektronikai BullShit.

Évekkel ezelőtt már többen támadták a sebezhetősége és feltörhetősége végett, de mindezidáig semmi nem történt vele, hogy erősebb védelemet kapjon.

Különben csak eszmefuttatás végett említem meg, hogy a legtöbb EU-s útlevélben, többek közt a magyarban is van RFID chip. (becsukva, gerinc közepénél kicsike pupocska...)

A NAGY TESTVÉR FIGYEL TÉGED!

t.i. ezeknek a leolvasására nem kell "közel menni" a leolvasóhoz. Akár 2-15 m távolról is kiolvasható a benne tárolt adat. És (éssel mondatot nem kezdünk, tudom...) ilyen leolvasó bárhol, bármikor telepíthető...akármilyen célból is.

Persze ez csak egy kicsit hozzáértő paranoiája

MitNick 2008.09.04. 20:34:28

Ja...
Az még árnyalja a dolgot, hogy 2001-ben holland egyetemi kutatás keretében labor körülmények közt törték fel először az RFID-t, majd 2004-ben ugyanezt a Göttingeni egyetem diákjai "konyhai" körülmények közt ismételték meg.

Szóval szerintem is "rettenetesen" biztonságos az RFID technológia....

Vazulnak, Koppánynak vére 2008.09.04. 20:57:41

Az útlevelet tarsolylemezben kell hordani, így a Nagy Testvír szemet huny.

tobias2 2008.09.04. 21:07:50

Vagy egy-két másodpercig a mikrohullámú sütőben vakítani...

iiitiii 2008.09.04. 21:57:22

egyértelmű hogy hatalmas a biztonsági rés úgy 2-15méter :D:D

ez a rendszer jegyvásárláson meg némi kaja meg buli helyen kívül, tehát semmilyen komolyabb dologra nem alkalmas!!!!

személy azonosításra totál nem alkalamatlan legfeljebb hulla azonosításra ha éppen a vízből huzták ki és a nyomozók nem tudnak elindulni semmin (de ez is lehet hamis de legalább valami szálon elindulhatnak)

sőt pl maximalizálnám mondjuk 50-100 dolcsiban az RFID -del felvehető összeget bankártyás rendszernél plussz ha a kódolást egy kicsit megdobnák úgy 512-re vagy 1024-re akkor már jobban állnánk

gyp 2008.09.04. 21:58:01

mielott teljesen elmegy hisztibe a kommenteles: az rfid egy bazinagy gyujtofogalom. nincs olyan, hogy "megtorni az rfid"-t, mert a skala a 2 centes kis biszbaszoktol (amiket az ejjelnappaliban raknak a feldekas hubira, hogy ne nyuld le) a komoly kriptografiat felvonultato, nagyjabol egy c64 szamitasi kapacitasat leado cuccokig terjed. van, amit annyira trivialis feltorni, hogy mar nem is lehet azt feltoresnek nevezni, van, amit ha megfeszulsz, se fogsz felnyomni. (felnyomas alatt itt lehet azt is erteni, hogy kiszedsz belole _barmilyen_ informaciot jogosulatlanul, de akar azt is, hogy meg is tudod valtoztatni, szeles a skala)

amirol manapsag a "hu, feltortek" hirek vannak, azok a szarul megtervezett es implementalt rendszerek, mint pl. a londoni oyster card-e. de igazabol ezek se hatalmas hirek: evekkel ezelott nezegettem ezeknek utana egy melohoz, es mar akkor is voltak cikkek errol es a texas instruments elkurt rendszereirol is, es a szakmaban nagyjabol mindenki vagta, hogy ezek teljesen el vannak baszva -- csak nem letezett hozza ilyen jopofa, nagy publicitast kapott tores.

javaslom bruce "i know you private key" schneier rfid-s utlevel koruli irasait bongeszgetni, jokat ir a papa, nem csak vakon hulyit.

balage 2008.09.04. 22:06:27

egy-két pontosítás:

az rfid NEM az, ami csipog, ha fizetés nélkül viszed ki a dvd-t, könyvet, ruhát, stb. Ezekben a "csipogókban" NINCS információ.

RFID feltörése : kb annyira feltörhető az rfid, mint a vonalkód. Azaz attól függ a feltörhetősége, hogy milyen környezetben használják, milyen jellegű információt tartanak nyilván benne.


most néztem kicsit vissza, gyp-nek maximálisan igaza van, kb igy folytattam volna :)

karatekutya 2008.09.04. 22:09:29

éljen a sok hozzáértő. Az RFID az egy elektronikus azonosító adat, pont olyan mint a papíron a vonalkód. A vonalkódon mit lehet feltörni? Semmit.
Az FMCG szektor találta ki azért, hogy a METRO-ban a bevásárlókocsit csak át kelljen tolni két rúd között, és már kapjad is a számlát.
A "privacy" fanatikusok pont attól félnek, hogy két rúd azonos szalámi majd jól különböző RFID tag-et kap, és pontosan hozzá lehet kötni a vásárlóhoz, hogy mit vett (persze a sok konzumidióta most is önként belemegy ebbe a játékba, csak azt pontgyűjtőkártyának hívják)
Emellett még attól is félnek, hogy amíg a vonalkód leolvasásához kell optikai kontaktus, addig az RFID-hez nem kell, és majd tréfás kedvű BME-sek az emeleti ablakból olvasgatják le a lent elhaladó nők bugyijának típusát, méretét.
A kártyák esetében nem az RFID-t törik fel, hanem azt az algoritmust, ahogyan a kártyára felvitt értéket tárolják.
2000 óta foglalkozom chipkártyákkal (és smartcarddal) de már akkor is íratlan szabály volt: kártyán értéket nem tárolunk, az csak azonosít és a kártyához tartozó értéket központban, szerveren tároljuk.
Persze aki ócsósítani akarja a projektet, és nem akar minden olvasóhoz központi kapcsolatot, az ráteszi a kártyára az összeget, valamilyen kódolással. De ez jó nagy hiba.
Természetes, hogy vállalkozó kedvű fiatalok nekiesnek és megpróbálják feltörni, és az előbb-utóbb sikerül is. A Mifair-t pl. nem is kell feltörni, mivel lehet klónozni.
Az 1024 bites RSA megfelelő védelem lenne az adat titkosítására, de egy közlekedési kártya esetében (amiben azért nem Core 2 Duo processzor zakatol), egy kikódolás, összeg módosítás, visszakódolás folyamat akár 15-30 másodperc is lehetne, azt meg nem biztos, hogy szeretnék a reggel 9-re munkába igyekvők ha fél percenként egy ember mehetne át a kapun.

udi · http://blog.udi.hu 2008.09.04. 22:28:17

karatekutya (a fszom! :D) jól beszél. Nem kell mindent azonnal túllihegni.

Emlékeztet az ügy arra, amikor okosok collisionnal "lerövidítették" az sha1 kitalálást. Akkor is mindenki jajveszékelt, hogy ez egy szar.

Amúgy az rfid köré millió dolog pakolható, és az eszközök se feltétlenűl egyformák. Nincs itt para, csak néhány cuccot szarul implementáltak. Ez újdonság?

Schneiert pedig mindenkinek csak ajánlani tudom.

Mossy 2008.09.04. 22:45:45

Kedves Mindenki!!

Nagy örömmel tölt el, hogy ennyi sok security szakember van itt :)
Először is kb. 2 értelmes és nagyjából korrekt válasz volt a feltett kérdésre (gyp és Karatekutya).
Azt azért hozzátenném, hogy RSA-val elkódolt akár 1024 biten titkostott adatfolyam visszafejtése, az adat megváltoztatása majd a CRC-vel ellenőrzött szám visszaírása nem több mint 1-2 másodperc, hiszen ezt nem a chip végzi...

A "feltörés" pedig a kártyán tárolt bármilyen egyedi azonosító kinyerése lehet - már ha sikerül.

a 2-15 méteres távolsággal egy kicsit vitatkoznék. Az olvasási távolság illetve a az értékelhető információ kinyerésének lehetősége az 1-2 mm-től bármekkora lehet. Persze ez függ a terminál és a tag méretétől.

Bocsánat nem okoskodni akartam , csak egy kicsit pontosítani a dolgokat!

Peace

M

aFx 2008.09.04. 23:59:48

hm, ennyire fejlődik a tudomány, hogy már az 1024bites RSA is másodpercek alatt törhető? vagy ehhez már működő kvantumszámítógépet optimalizált kóddal feltételezünk...

is 2008.09.05. 00:00:37

vegyük ketté:

az RFID egy rádióadó. egy miniatűr antenna, ami le tudja sugározni azt az x bitet, amit a mellette lévő lapkára felírtak. azaz rádióhullám.

a rádióhullámon NINCS MIT feltörni. az átküldött biteket lehet értelmezni, ha:
- megmondom, hogy milyen típusú információt küldök át az adón
- és hogy mivel kódólták

tehát a kódolást lehet feltörni, az RFID-t úgy általában nem.

a probléma jelenleg az RFID-vel tömegcikkeknél, hogy drága, mert kell bele valamennyi szufla, hogy leadja a jelet (passzív változat is van, de az pont a lopást nem akadályozza meg), és minél hosszabb a bitsorozat, annál nagyobb lapka is kell. így pedig még bőven drága, kb. 15-20 centet hallottam utoljára. TESCO max 1-2 cent árnál tudja használni.

a lopásgátló NEM RFID.

az útlevelekben pedig van RFID chip, de jelenleg üres, nincs rajta adat, csak fel van készítve egy későbbi feltöltésre.

.Andrei (törölt) · http://www.andreiground.com/ 2008.09.05. 01:12:48

ezt az rfidet mar szenne szedi a vilag :) azt hiszem a gottingeni fapadost ismerem es a metros vicc sem volt rossz. tenyleg nem az rfidet torik, hanem az adatot vedo kodolast fejtik vissza vagy klonozzak. mindezt szinte ropteben.

emlekszem, hogy feltorhetetlennek hittek a sim karikat is (ki-val) aztan virtualis klonokat mar szepen lehetett... ...de a szolgaltatoknak nem erdeke ezt hangoztatni.

aztan ott voltak a landline mokak is. az allamnak sem a muegyetemi es kandos minilaborok artzai megusztak egy kis knowhow atadassal es egy papir alairasaval. a dolog meg elcsitult ugy 99 kornyeken egy ?81 eves periodusra?.

ezek az elektromos vackok lassan beegnek, ahogyan egyre jobban duplikalhatova valnak egy atlagember szamara is.

.Andrei (törölt) · http://www.andreiground.com/ 2008.09.05. 01:19:47

mert nem is a feltores a legjobb biznisz (rfid lapka tartalom), hanem a duplikacio, hiszen a legtobb esetben csak egy azonosito van a lapkan, amihez a maradek a szerverrol jon. azt hiszem.

atleta.hu · http://www.atleta.hu 2008.09.05. 04:08:40

En sem ertem, hogy mit lehet feltorni, _de_ ha igaz a mythbusteres sztori, akkor azert arrol van szo, hogy olyasmire probalnak hasznalni egy technologiat, amire egyaltalan nem valo. Nyomtak ezt az okorseget asszem az ameriakiak utlevellel, hogy gyorsabb legyen leolvasni, aztan olyan marhasagot talaltak ki, hogy akkor majd femfedele lesz az utlevelnek, es akkor nem lehet melletted elsetalva lelopni az adataidat. (Persze az elso kor az volt, hogy 'ugyse' lehet, mert az csak 3-5 cm-rol olvashato le.)

De ha mar itt tartunk, akkor az egesz lassan szaz eves bankkartyas tortenet egy vicc. 30 eve van asszimetrikus titkositasunk, 10-15 eve eleg eros chipkartyak, 6-7 eve boven eleg jo mobiltelefonok (ki a francnak kell emelle kartya?), kb. 12 eve van lenyomozhatatlan es anonim e-cash-re algoritmus.

karatekutya: > A kártyák esetében nem az RFID-t törik fel, hanem
> azt az algoritmust, ahogyan a kártyára felvitt értéket tárolják.
> 2000 óta foglalkozom chipkártyákkal (és smartcarddal) de már akkor
> is íratlan szabály volt: kártyán értéket nem tárolunk, az csak azonosít
> és a kártyához tartozó értéket központban, szerveren tároljuk.

Na ja igy buktazott nehany szazezret az OTP a kilencvenes evek elejen: a bankkartyan taroltak az egyenleget, aztan nehany BMEs kibelezett atjatszos magnoval elkezdte masolgatni a kartyakat... De: tok mindegy, hogy mit tarolsz a kartyan, ha ki lehet olvasni, akkor le lehet masolni. Legyen az azonosito, vagy titkositott adat. Marpedig a bankkartyadnal egyiket sem akarod. A mezei chipkartya jobban vedett, mert ott csak a terminaltol kell felni, de egy smartcardban ugye lehet megfelelo szoftver, ami ki sem adja az adatokat magukat (pl. szamlaszam ilyesmi), csak mondjuk igazolasokat a koltesekrol (vagy csak a megfelelo kulccsal probalkozo terminalnak adja ki, titkositva, vegulis mindegy).

> Persze aki ócsósítani akarja a projektet, és nem akar minden
> olvasóhoz központi kapcsolatot, az ráteszi a kártyára az összeget,
> valamilyen kódolással. De ez jó nagy hiba.
> A Mifair-t pl. nem is kell feltörni, mivel lehet klónozni.

Nemtom mi az, de klonozni mindent lehet. Persze az aktiv RFID az mas kerdes, ott van egy sajat tapellatassal rendelkezo aramkor, ami az RFID radios protokollnak megfeleloen tud kommunikalni. Ilyen pl. lehet mobilteloban is (sokaig fenyegettek vele, hogy lesz, Japanban van is, de lehet, hogy az passziv). A lenyeg az, hogy az aktiv RFIDval lehet olyan trukkoket csinalni, mint a smartcardokkal (vegulis egy smartcard + egy rfid adovevo), tehat masolni sem lehet, mert az adat el sem hagyja a keszuleket. De a sima mezei adattarolokat mindig le lehet masolni, akar titkositod, akar azonositot tarolsz rajta, akar a szerver altal elektronikusan alairt vagy kodolt informaciot.

> Az 1024 bites RSA megfelelő védelem lenne az adat titkosítására,
> de egy közlekedési kártya esetében (amiben

Tok mindegy, masolni azt is lehetne. Kerdes, hogy ez mennyire para. Trukkozni mindig fognak, ki lehet szamolni, hogy mennyit erdemes a vedekezesre kolteni (mar ha nem bankkartyarol, hanem BKV berletrol beszelunk).

> munkába igyekvők ha fél percenként egy ember mehetne át a kapun.

Finneknel 5-6 eve biztosan mukodik. Es biztosan torheto, de naluk az emberek vannak olyanra hackelve, hogy ne probalkozzanak ilyesmivel :)

Az a baj... 2008.09.05. 07:36:22

"balage 2008.09.04. 22:06:27

egy-két pontosítás:

az rfid NEM az, ami csipog, ha fizetés nélkül viszed ki a dvd-t, könyvet, ruhát, stb. Ezekben a "csipogókban" NINCS információ."

Az a baj, hogy van.

IMOPB 2008.09.05. 07:40:40

Az aktív kártyák lényege, hogy legyen egy olyan tartomány ami kívülről hozzáférhetetlen.
Ez egy egyedi azonosítót generál kérésre.
Mondjuk a leolvasó küld egy kérés a kártyának.
Ebben benne van a kérő azonosító száma és a pontos idő.Az kívülről nem olvasható tartományban lévő program ebből generál egy választ.
S lőn csoda a szolgáltatás igénybe vehető.

Amit csináltak ezek a jó emberek.
Minden kártyának van egy meg nem változtatható egyedi száma, ami bele van vésve.Ezen a felhasználó bank sem tud változtatni.

Van egy kívülről el nem érhető tartomány,ez egyszer írható, a felhasználó bank erre rá írja a kódoló programját a megfelelő ügyfél azonosítókkal, és szépen utána elégeti az író vezetékeket.A program most már olvashatatlan és megváltoztathatatlan.
Van egy terület, amit tudnak írni.Ez tipikusan a pontgyűjtő terület.Csak megfelelő jogosultsággal olvasható írható.

És van a szabadon olvasható terület.

Ha megtudjuk változtatni a kártya sorozatszámát, ha ki tudjuk olvasni a nem olvasható tartományt fel van törve a rendszer.
Ez persze azzal jár, egy kártyát minimum tönkre kell tennünk.Meg kell fúrni, forrasztani, kibelezni.
De van egy programunk.Ez nagyon jó amíg a bank nem változtat rajta.:-)))Már csak az ügyfelek azonosítóadatait kell megszereznünk.
Ha csak egy tranzakciót hallgatunk le, vagy provokálunk ki az sajna nem elég.De mi van ha többször próbálkozunk?Nyert ügy.:-))Van azonosítónk.Ha persze a kártya 5 gyors lekérdezés után letiltana, vagy elkezdene vísítani és villogni egy kis zöld led netalántán lenne rajta egy kikapcsoló gomb?:-))Ez majd 2025-ben kerül majd bevezetésre.Addigra kilopják a bank szemét is.:-))
Ebben a töröcsik munkában az a jó, hogy akár a villamoson elvégezhető a lopás, percek alatt kész, és minimális a lebukás veszélye.

Mindegy, hogy a kártyán mit tárolok.Ha értéket kiolvasom és tudom utánozni akkor nálam a kártya.Francot érdekli hogy az érték a San Franciscói bankban van ha feltudom venni Bivalymocsoládon is.Védve a bank méteres betonfalakkal, de a kulcs a lábtörlő alatt van Bivalymocsoládon.

no 2008.09.05. 08:36:28

Aztakurva ,itt minden második post arról szól h mi az rdif ?!?! :D
Amugy annyit akartam írni a postolónak h legközelebb írja le ő is h miaz mert én spec mikor kikerült az indexre akkor még nem tudtam ,ergó egy kurva szót nem értettem a postból.
köszöönöm

Donor 2008.09.05. 08:36:56

De sok hozzáértő van, de RFID chipet mindenki csak messziről látott :)
www.chipcad.hu
itt megnézhetitek milyen chipek vannak.
Ezek egy része olyan mint a vonalkód, vagyis mindenki számára leolvasható egyedi kódot tartalmaznak. Ezek kiváló árcédulák lehetnek, vagy kutya azonosítók.

De van olyan is ami titkosított adatot tartalmaz, hiszen azért egy beléptető rendszernél elég érdekes lenne ha egy másolt kártyával be lehetne menni.
A titkosított adatot pedig feltörhetik jól bevált módszerekkel és mivel publikus csatornán mennek a kódok ezt elég egyszerű megtenni.
A wifi is ezért törhető.
A legjobb módszer még mindig az ha fizikailag korlátozzuk a hozzáférést és primitívsége, könnyű másolhatósága ellenére ezért van még mindig elterjedve a bankoknál a mágneskártya.

ludwig 2008.09.05. 09:12:40

Azért az egy érdekes dolog, hogy annyi sok kódolás-szakértő, titkosítás-szakértő meg programozás-szakértő nem képes magyar ékezeteket írni. (Még web lapjuk is van.)

Máshol is ez megy. Mars expedícióról álmodoznak, aztán fúj egy kis szél és recseg-ropog a társadalom ...

Drout 2008.09.05. 10:30:59

RFID-t maximum micropaymentre használnak bankok, azzal nyersz párszor 10$-t kártyánként... nem biztos, hogy megéri a befektetés

norbert 2008.09.05. 10:37:42

Szerintem meg nem magyar ékezetek, hanem egyszerűen csak ékezetek. Tény viszont hogy a legtöbben kibiggyesztik. Odavésik, felróják, ráékelik.

norbert 2008.09.05. 10:39:45

aki esetleg nem hallot volna róla, mire akarják használni nézzen utána a new world order féle verichipnek. VeriChip - bélyeget a birkának.

keddves 2008.09.05. 10:45:03

Mythbusters = Állítólag??? Gratulálok.

synapse 2008.09.05. 10:56:22

"A titkosított adatot pedig feltörhetik jól bevált módszerekkel és mivel publikus csatornán mennek a kódok ezt elég egyszerű megtenni. A wifi is ezért törhető."

WTF?

A wifi azert torheto, mert szar. Meg lehet ezt oldani kulturaltan is. Nezz utana:

Perfect forward secrecy, Secure Shell Protocol, Diffi-Hellman key exchange, Public Key Infrastructure, Pretty Good Privacy

Barki hallgatja le az adatfolyamot, ha a szerver public kulcsat egyszer authentikus forrasbol megszerezted (PKI) akkor senki nem hallgathatja le az adatfolyamot.

gyp: sanchez-es gyp? :D

synapse

Reggie 2008.09.05. 11:03:50

Donor 2008.09.05. 08:36:56

Bar a csipked honlapjan nem fogsz talalni, de ha az atmel honlapjara felmesz(atmel.com), akkor ott nezd meg a TPM IC-k speckojat es gondolkozz el rajta kicsit.

_2501 2008.09.05. 14:52:48

ludwig nesze bazmeg itt vannak ez ekezetek, rakd oket a helyukre:
................................
,,,,,,,,,,,,,,,,,,,,,,,,
''''''''''''''''''''''''''''''''
"""""""""""""""""""

.Andrei (törölt) · http://www.andreiground.com/ 2008.09.05. 21:39:16

@Reggie: :DDD Tiszta nosztalgia, köszi, hogy felhoztad az atmelt :DDD Jó öreg atmel cuccok. Ehehe. Az atmel az mindig kemény mag volt. Jól összerakta a cuccait. Telekom szférában sokan használták (sagem, motorola, panasonic, alcatel, maxxon /bár csak egy-két modellben/). Atmel chip = kemény napunk lesz. Hát köszi, hogy felemlegetted, csináltál egy szép estét :DDD.

@ludwig: elmondom, hogy miért nem írtam ékezetet, ha már ennyire a szívedre vetted... Telóról, flip billenytyűzettel (angol), opera minin keresztül, nem nagyon volt kedven vltogatni a qwerty és a telefon billentyű között, mert akkor baromi lassú lett volna a bevitel. It körökben meg amúgy is szokás ékezet nélkül írni. Ez már így volt 10 éve is.

@synapse: köszi megint. Látom, hogy egész héten olvasni fogok. :)

karatekutya 2008.09.06. 00:09:09

Mossynak egy kis update :-)

De bizony a chip végzi a kódolást. Ugyanis abban van a privát kulcs, azt még a kártyát megszemélyesítő környezet sem fogja tudni, az úgy létrejön, valahol belül tárolódik és még a kártyára SO PIN-nel (Security Officer PIN) feltöltött alkalmazások sem tudják kiolvasni. A publikus kulcs meg meg lekérdezhető a kártyától (hiszen azé publikus :-).
Tehát:
1. összeg (kódolva) kártyáról kiolvas
2. publikus kulcs kártyáról kiolvas
3. dekódolás, ellenőrzés
ez eddig mehet a terminálban is, no para
4. összeg módosítása
5. visszatöltés a kártyára
6. kártyán lefut vmi alkalmazás (monduk Java)
7. összeg letárol

6-7 pont az a kártyán fut le

Nem véletlen, hogy a publikus kulcsú titkosításkor (nem aláírás!) nem asszimetrikus kulccsal titkosítanak chipkártya segítségével, hanem valami szimmetrikus kulccsal, aztán a szimmetrikus kulcsot titkosítják RSA-val.

karatekutya 2008.09.06. 00:23:22

atleta.hu

Pont ez a lényeg a PKI-s smartkártyánál, hogy nem tudod teljes egészében lemásolni. Egy ilyen kártyán van egy adatréteg, ami védett (PIN), egy alkalmazás réteg, ami még jobban védett (SO PIN), meg egy olyan réteg, amit a kártyán lévő API csak meghívni tud - fekete dobozként - na ebben valahol ott a privát kulcs. Ha azt nem tudod lemásolni (márpedig a kártyák kb. 1 éves tanúsítási ideje általában azzal telik, hogy ezt vizsgálgatják naphosszat) akkor nem tudsz egy szimpla digitális aláírást sem létrehozni, és az első pillanatban bukik a mutatvány.
A legjobb klónozás a lopás, de akkor még ott a PIN kód.
Egyes banki terminálokban meg két ilyen smartcard van beépítve. Egyik az gyakorlatilag viszontazonosítja a terminált (így a kártyát nem lehet becsapni, hogy egy terminált "hazudsz" alá), a másik meg tudja a titkosítani a kommunikációt a központ felé.
Probléma akkor lesz ha valaki "feltöri" a PKI technológiát, azaz tud prímszámot generálni.