Niedawno dowiedziałem się o spektakularnym doświadczeniu naukowców z
Cambridge, którzy za pomocą prostego sprzętu i oprogramowania pokonali
zabezpieczenie PINem i autoryzowali transakcje kartami bakowymi z chipem, do
których nie znali PINów.
W ten sam sposób zostały pokonane wszystkie testowane karty z największych
brytyjskich banków.
Trik polegał na tym, że oryginalne karty były wkładane do przejściówki
składającej się z typowego czytnika kart chipowych, laptopa z Linuksem oraz
podłączonej do niego imitacji karty, którą wsuwało się do oryginalnego
terminala kartowego. Przejściówka przekazywała całą wymianę iformacji
pomiędzy kartą, a terminalem, za jednym wyjątkiem. Podczas sprawdzania kodu
PIN, podawana była dowolna kombinacja 4 cyfr, a kiedy karta odpowiadała, że
PIN jest niezgodny, skrypt zainstalowany na laptopie odpowiadał systemowi
bankowemu, że jest OK. Transakcja przebiegała normalnie dalej, tak jakby
autoryzacja była prawidłową.
Jest to ewidentny dowód na to, że protokół EMV zastosowany w komunikacji
kart z chipem a bankiem (niezależnie od systemu - Visa, Mastercard) jest
wadliwy i posiada dyskwalifikujący go błąd. Tego błędu nie ma w przypadku
kart z paskiem magnetycznym, bo sprawdzenie PIN odbywa się na serwerze
banku.

I tu moje pytanie do osób znających się na tych protokołach i kwestiach
kryptograficznych używanych w podpisie elektronicznym.
Do podpisu elektronicznego a także autoryzacji operacji bankowych w
bakowości elektronicznej, używa się kart kryptograficznych z chipem
(smartcard), do których należy podać PIN. Czy protokół stosowany w takiej
autentykacji jest tak samo podatny na ominięcie PINu za pomocą ww. metody,
czy też jest bardziej wyrafinowany i nie pozwala na to?

Dnia 18.02.2010 pawbrok <MójLogin> napisał/a:
> Jest to ewidentny dowód na to, że protokół EMV zastosowany w komunikacji
> kart z chipem a bankiem (niezależnie od systemu - Visa, Mastercard) jest
> wadliwy i posiada dyskwalifikujący go błąd. Tego błędu nie ma w przypadku
> kart z paskiem magnetycznym, bo sprawdzenie PIN odbywa się na serwerze
> banku.

Bo to jest po prostu chore, karta powinna liczyć podpis ze skrótu,
a nie "potwierdzać pin", ktoś to w ogóle beznadziejnie zaprojektował.

> I tu moje pytanie do osób znających się na tych protokołach i kwestiach
> kryptograficznych używanych w podpisie elektronicznym.
> Do podpisu elektronicznego a także autoryzacji operacji bankowych w
> bakowości elektronicznej, używa się kart kryptograficznych z chipem
> (smartcard), do których należy podać PIN. Czy protokół stosowany w takiej
> autentykacji jest tak samo podatny na ominięcie PINu za pomocą ww. metody,
> czy też jest bardziej wyrafinowany i nie pozwala na to?

Technicznie, to z podpisywanego dokumentu robiony jest skrót (np md5),
ten skrót ląduje w karcie razem z pinem i karta odpowiada podpisem
tego skrótu. Laptop po drodze nic nie da, ani karta nie zna podpisywanego
dokumentu, bez prawidłowego pinu karta nie zna klucza prywatnego itd.
Co w ww. spieprzyli, to zobaczymy ;)

On 2010-02-18, pawbrok <MójLogin> wrote:
[..]
> kart z paskiem magnetycznym, bo sprawdzenie PIN odbywa sie na serwerze
> banku.
>
> I tu moje pytanie do osób znajacych sie na tych protokolach i kwestiach
> kryptograficznych uzywanych w podpisie elektronicznym.
> Do podpisu elektronicznego a takze autoryzacji operacji bankowych w
> bakowosci elektronicznej, uzywa sie kart kryptograficznych z chipem
> (smartcard), do których nalezy podac PIN. Czy protokól stosowany w takiej
> autentykacji jest tak samo podatny na ominiecie PINu za pomoca ww. metody,
> czy tez jest bardziej wyrafinowany i nie pozwala na to?

Tu na szczescie jest lepiej. OS karty nie da dostepu do danych, funkcji
itp bez zalogowania do karty. Troche sie tym bawilem wiem, ze dziala.

On 18 Lut, 22:47, Sergiusz Rozanski <write-only-with->
wrote:
> Dnia 18.02.2010 pawbrok <MójLogin> napisał/a:
> Technicznie, to z podpisywanego dokumentu robiony jest skrót (np md5),
> ten skrót ląduje w karcie razem z pinem i karta odpowiada podpisem
> tego skrótu. Laptop po drodze nic nie da, ani karta nie zna podpisywanego
> dokumentu, bez prawidłowego pinu karta nie zna klucza prywatnego itd.

Ale można zrobić MITM i podsunąć do karty "lewy" skrót do
podpisania :) Oczywiście w bankomacie to nie ma sensu.
Ale klient zleca przelew 100zł na konto 1234 a leci 10000zł na konto
8234 ;) Reklamacja? Jaka reklamacja? Podpisałeś pan!

Bartosz Małkowski wrote:
> On 18 Lut, 22:47, Sergiusz Rozanski <write-only-with->
> wrote:
>> Dnia 18.02.2010 pawbrok <MójLogin> napisał/a:
>> Technicznie, to z podpisywanego dokumentu robiony jest skrót (np md5),
>> ten skrót ląduje w karcie razem z pinem i karta odpowiada podpisem
>> tego skrótu. Laptop po drodze nic nie da, ani karta nie zna podpisywanego
>> dokumentu, bez prawidłowego pinu karta nie zna klucza prywatnego itd.
>
> Ale można zrobić MITM i podsunąć do karty "lewy" skrót do
> podpisania :) Oczywiście w bankomacie to nie ma sensu.
> Ale klient zleca przelew 100zł na konto 1234 a leci 10000zł na konto
> 8234 ;) Reklamacja? Jaka reklamacja? Podpisałeś pan!
>

A nie sądzisz, że karta sprawdza podpis banku? I sprawdza to co
podpisuje, czy jest wystawione przez uprawnionego dostawcę?

wer

Dnia 19.02.2010 Bartosz Małkowski <bartosz.malkowski> napisał/a:
> On 18 Lut, 22:47, Sergiusz Rozanski <write-only-with->
> wrote:
>> Dnia 18.02.2010 pawbrok <MójLogin> napisał/a:
>> Technicznie, to z podpisywanego dokumentu robiony jest skrót (np md5),
>> ten skrót ląduje w karcie razem z pinem i karta odpowiada podpisem
>> tego skrótu. Laptop po drodze nic nie da, ani karta nie zna podpisywanego
>> dokumentu, bez prawidłowego pinu karta nie zna klucza prywatnego itd.
>
> Ale można zrobić MITM i podsunąć do karty "lewy" skrót do
> podpisania :)

Kluczowe jest tu "razem z pinem", musisz go jednak znać.
Musisz to zrobić w obecności osoby mającej kartę i znającej PIN, co może
być trudne (wpisałbyś PIN widząc jakieś laptopy między kartą a terminalem?)
równie dobrze mógłbyś poprosić kogoś o kartę i pin z podobnym skutkiem :)

To z artykułu wymaga tylko karty, pinu znać jak widać nie musisz, tu jest
różnica i dziura w kartach płatniczych.

On 19 Lut, 13:04, "b...@nano.pl" <b> wrote:
> > Ale można zrobić MITM i podsunąć do karty "lewy" skrót do
> > podpisania :) Oczywiście w bankomacie to nie ma sensu.
> > Ale klient zleca przelew 100zł na konto 1234 a leci 10000zł na konto
> > 8234 ;) Reklamacja? Jaka reklamacja? Podpisałeś pan!
>
> A nie sądzisz, że karta sprawdza podpis banku? I sprawdza to co
> podpisuje, czy jest wystawione przez uprawnionego dostawcę?

W sumie zależy od aplikacji na karcie.
Właśnie sobie przypomniałem, że ten atak, to już przeprowadzili
chłopcy z GDATA na zestawie sprzętowo-programowym do składania
"kwalifikowanych podpisów elektronicznych".