Andrew Kant <Andrew.Kant@p1.f83.n469.z2.fidonet.org> wrote:
AK>> думаю что ровно наоборот - на сервере лежит "ключ", как-то связанный с AK>> номером карты (надеюсь, не через визовскую коробочку-пинохранилище). AK> Если-бы он был связан с номером карты, ты должен-был бы этот номер AK> передавать банк прекрасно знает номер карты. И серверу давно его рассказал.
Причем у чипа два режима - в одном традиционный challenge-response, когда в ответ на строку бреда производится другая строка бреда, в другом вводятся две заранее известных тебе (и не предсказуемых заранее сервером, хотя известных в момент запроса). То есть можно этих кодов нагенерить "впрок". По каким-то загадочным причинам второй тип операции считается втбшниками гораздо более секьюрным. Опять таки я сомневаюсь что это где-то в клавиатуре. Скорее всего это тоже штатный функционал смарткарт.
AK> Hа карте есть обычный защищённый профиль, доступный по пину, в котором лежат AK> ключи. Карта умеет этими ключами что-то пропускать через алгоритм RSA ага, то есть в общем-то примерно то что мне надо. Осталось понять - как создать такой профиль (использовать любую существующую карту очевидно не получится, это ж те самые ключи, вторая половинка которых в визовском ящике осталась, если ты правильно угадал) не за миллиард денег и банковская лицензия в довесок.
Hу или в общем случае- алгоритм обмена. Смарткарты мы еще в 1994м подделывали, это неприятно, много пайки, но в принципе можно напрячься, нужна в общем-то одна рабочая и пара запасных. А вот клавиатуру-экран нужно втбшные (если не удастся найти китайца, который им их выпекает и купить без логотипа) - самому на коленке такое компактно и надежно не сделать.
Если это стандартная фича - то должны быть где-то и описания сиих стандартов?
AK> Вот и воспользуйся обычным токеном или смарткартой, их стандартный mstsc и AK> стандартный виндовый логин принимает как родной. И пин, и карта (либо и смысл? То, на чем вводят otp, untrusted компьютер, в него ничего нельзя втыкать, иначе "как родной" его использует кто-то лишний. otp изначально решает именно эту проблему. Сейчас к ней добавилась невозможность набирать пароль для otp на клавиатуре даже trusted устройства-генератора.
AK> Конечно, можно сказать, типа зачем мне ещё одна когда у меня уже есть одна нет, на лишнюю (не лишнюю, а никому не известную, что хорошо) смарткарту я готов разориться. Hа комплект для их программирования - сильно подумаю.
> Alex P.S. поэкспериментировал с картами других банков. Генератор их ест как родные, но вот формат ответа у каждой свой. Если это стандарт, то он крайне странен.
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)