polip: Re: telefon vs internet (bylo Re: Lacze TPSA)

Re: telefon vs internet (bylo Re: Lacze TPSA)

Autor: Robert R. Wal (rrw_at_reptile.eu.org)
Data: Fri 22 Oct 1999 - 11:15:39 MET DST

Następna wiadomość: Easy_R: "Re: Precz z CENZURĄ na polskich news!"
Poprzednia wiadomość: Robert R. Wal: "Re: Precz z CENZUR na polskich news!"
W odpowiedzi na: Jaroslaw Rafa: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Następna w wątku: Michal 'CeFeK' Nazarewicz-Cegla: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Odpowiedz: Michal 'CeFeK' Nazarewicz-Cegla: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

On 99.10.21 Jaroslaw Rafa pressed the following keys:

> Dnia 21 Oct 99 o godz. 18:54, Piotr Auksztulewicz napisal(a):
>
> > Natomiast co do tego, co piszesz powyżej: łączenie się przez modem
> > na specjalny numer dostępowy banku jest nieznacznie bezpieczniejsze od
> > transmisji przez Internet, ale za to dużo mniej elastyczne.
>
> O wlasnie.

Ech... Leży przede mną elektroniczny token banku PEKAO SA. Token ten
otwiera przede mną podwoje oddziału elektronicznego tego banku i...
Operacje w tym oddziele są tak bezpieczne jak to tylko możliwe.

O co tu chodzi? Ten token, to taki malutki komputerek, który wykonuje
operacje w oparciu o algorytm z kluczem publicznym[1]. Dodatkowo token jest
jedynym miejscem, w którym przechowywana jest część tajna mojego klucza. Na
serwerze PEKAO SA jest tylko część jawna, która pozwala _wyłącznie_ na
identyfikację złożonego przeze mnie podpisu elektronicznego[2], ale nie
pozwala na jego wygenerowanie.

Operacje na koncie wykonywane są przez połączenie szyfrowane, a poza tym
każde zalogowanie do systemu i każda dyspozycja finansowa muszą zostać
indywidualnie potwierdzone podpisem elektronicznym.

Proszę o podanie słabego ogniwa w tym systemie, które nie występuje przy
bezpośrednim połączeniu z bankiem.

Bo niewątpliwą zaletą jest to, że dyspozycji na moim koncie mogę dokonywać
z dowolnego miejsca na ziemi, które ma dostęp do serwera
https://www.oe.pekao.com.pl/ i mogę całkowicie olać kwestię podsłuchu
połączenia, komputera na którym pracuję itp. I jedynym oprogramowaniem,
jakiego do tego potrzebuję jest przeglądarka WWW ze wsparciem dla SSL.

Robert

[1] jak RSA, DSA i podobne.
[2] podpis elektroniczny to operacja chalenge-response -- serwer wypisuje
pewien ciąg znaków, ja wklepuję go do tokena, który generuje odpowiedź, a
następnie serwer przy użyciu klucza publicznego sprawdza, czy odpowiedź
jest poprawna; istnieje więcej niż jedna możliwa odpowiedź, a serwer nie
jest w stanie jej wygenerować sam na podstawie klucza publicznego, może
tylko przy jego użyciu sprawdzić, czy jest poprawna.

-- 
Providing conscience for those who have none -- ``Aeon Flux''

Następna wiadomość: Easy_R: "Re: Precz z CENZURĄ na polskich news!"
Poprzednia wiadomość: Robert R. Wal: "Re: Precz z CENZUR na polskich news!"
W odpowiedzi na: Jaroslaw Rafa: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Następna w wątku: Michal 'CeFeK' Nazarewicz-Cegla: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Odpowiedz: Michal 'CeFeK' Nazarewicz-Cegla: "Re: telefon vs internet (bylo Re: Lacze TPSA)"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:26:13 MET DST