בתשובה לאבירי, 17/12/02 5:23
אתגר/תגובה 113826
המטרה, מעבר למניעת השידור והאיחסון היא מניעת השימוש החוזר בסרטיפיקטים חוקיים, כך שלמעשה לא ניתן יהיה לזייף את הכרטיס (בניגוד לפס מגנטי). מעבר לכך, אם לא ניתן לבדוק את נכונות הקוד ללא המערכת של חברת האשראי (אלא על ידי שבירת הצופן), לא יועיל לפורץ ציוד מתוחכם (אלא אם הוא מתוחכם, פחות או יותר, פי 2 בחזקת 64 מזה של הבנק).

שינוי הסיסמא אינו נדרש למעשה לעולם משום שלא ניתן לזייף את הכרטיס ולכן המקרה היחיד בו הבנק/חברת האשראי/חברת הביטוח נחשפים להונאה הוא זה בו גם גנבו את הכרטיס המקורי וגם גילו את הקוד, אירוע חריג למדי ולא ניתן לביצוע בקנה מידה גדול שמהווה סיכון ממשי למשק.

לבסוף, לגבי החיילים, הרעיון היה להסביר בשלבים (ובלי להיכנס לנבכי הקריפטולוגיה) כיצד פועל מנגנון challenge response ולמה צריך אותו ולא להציג מקרה אנלוגי לחלוטין לזה של כרטיס האשראי.
אתגר/תגובה 113910
אם בכל שימוש בכרטיס האשראי, יצרב עליו מספר חדש (שיתקבל מהבנק) - לא ניתן יהיה לשכפל אותם (או כך לפחות נדמה לי). מה רע בשיטה הזו?
אתגר/תגובה 114085
כלומר, בכל שימוש בכרטיס האשראי, הלקוח יצטרך לקבל דרך המוכר מספר חדש לכרטיס? הרי, כיצד יקבל הלקוח מספר חדש? ישתמש בעמדה שבדוכן המוכר, אחרת זה לא נוח. מה מונע מן המוכר "לטפל" בעמדה כדי שתתן לו את המספר?
אתגר/תגובה 114087
העמדה תעביר לכרטיס את המספר בצופן, שרק הכרטיס מבין (כי הוא-הוא הכרטיס האמיתי), ועם חתימה של הבנק. בעל העמדה יכול לראות מה נמסר לכרטיס, אבל לא להבין (כי הוא לא הכרטיס, לכן אין לו המפתח לצופן). בעל העמדה יוכל להעביר מידע משלו לכרטיס, אבל הכרטיס לא יאמין לו (כי הוא לא יוכל לחתום בחתימה של הבנק).

עם זאת, כל השיטה הזו של ''מספר בכל עסקה'', שלא התעמקתי בה, נראית לי כמו רעיון לא מוצלח.
אתגר/תגובה 114110
יש לי תחושה שזה פותח פתח להתקפת known-plaintext על הכרטיס, אבל לא משנה.
אתגר/תגובה 114132
אתה יכול לפרט?
אתגר/תגובה 114178
יתכן כי לא הבנתי את התהליך נכון, אבל הבנק שולח מספר מזהה, ושולח את אותו המספר מוצפן לכרטיס. הכרטיס נותן את המספר למוכר הבא, המספר מועבר לאחר כבוד לבנק, הבנק מחזיר עם מספר חדש, וכן הלאה.
כלומר, קנוניית מוכרים יכולה לאסוף מספרים ומספרים מוצפנים לפי המפתח שבכרטיס.
אתגר/תגובה 114183
קודם כל, אפשר להשתמש בהצפנה שחסינה (ככל הידוע) מהתקפות know plaintext. שנית, מדוע שהמוכרים יצטרכו לראות את המספר? כלומר, מה יש למספר הלא-מוצפן לחפש אצל המוכר?
אתגר/תגובה 114189
מה המשמעות אם המספר נשלח באופן מוצפן גם הלוך וגם חזור? אז באותה מידה קנוניית המוכרים יכולה (פעם אחת) לנצל את המספר הזה, ולשלוח אותו בדרך חזרה במקום בעל הכרטיס.
אתגר/תגובה 114192
טוב, נו, אני באמת לא התעניינת כ"כ איך השיטה הספציפית הזו עם המספרים המתחלפים עובדת או בשביל מה היא טובה. תמיד אפשר להבטיח שהמוכרים לא יוכלו לעשות משהו שהכרטיס (ובעליו) כן יכולים, אם הנמען בצד השני דורש שהכרטיס יחתום על השדר.

כדי לעשות את החיים פשוטים בהרבה: כל מה שצריך הוא שהבנק יכבד רק טרנזקציות שהכרטיס חתם עליהן, בדיוק כשם שכיום (בעסקאות שאינן "במסמך חסר") חברות האשראי מכבדות רק שוברים שבעל-הכרטיס חתם עליהן בחתימת-ידו.
אתגר/תגובה 114215
שיטת "מספר בכל עסקה" מיושמת בפועל על ידי חברת ישראכרט לרכישות באינטרנט, בשיטה המכונה "Secure Click". בכל רכישה מחושב מספר "כרטיס אשראי" מדומה, אותו מעביר העסק לחברת האשראי לשם קבלת התשלום.

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים