Ciao a tutti, sto cercando uno schema per costruire o qualcuno che venda quei generatori tipicamente adoperati dalle banche o da Poste per la generazione di un codice di autorizzazione per le transazioni on line. E' simile ad una "mini calcolatrice" e la maggior parte delle volte funziona dopo aver inserito una carta o aver digitato un codice. Qualcuno ne ha notizie?
Grazie.Lidia.
Lagrange ha scritto:
Scopo, se possibile?
mi e bastato guardare sul retro del mio generatore di codici per trovare scritto
kfm ha scritto:
Generano dei codici sequenziali usando un algoritmo anche banale, il clock è quello del quarzo interno del micro contenuto, la sicurezza sta nel fatto che l'algoritmo cambia per ogni apparecchietto e la banca logicamente sa quello che possiedi, accetta codici sia prima che dopo quello dell'orario in cui si esegue la transazione per compensare l'errore dell'oscillatore locale entro un certo range naturalmente.
Puo' sembrare banale e insicuro in prima analisi ma in realtà è eccezionalmente sicuro.
Parlo per capirci di questi, non altri aggeggi:
che usano algoritmi lo immaginavo ma io mi riferisco a questo tipo di OTP
El_Ciula:
Mah, secondo me non funziona affatto così, bensì come gli antifurto da automobile, che non hanno bisogno di avere algoritmi diversi, hanno semplicemente una chiave unica e la trasmettono combinata col numero di una sequenza pseudocasuale predefinita e conosciuta da entrambi i dispositivi.
kfm:
Allora è senza dubbio un sistema tipo telecomando/antifurto da auto.
Ciao, un cliente ha necessit=E0 di autorizzare l'ingresso in alcune aree di una piattaforma software gestionale per mezzo di un apparecchietto del genere e quindi andando oltre la solita password piu o meno statica.
sto facendo adesso un esperimento . generati 3 codici
scritti su un foglietto accedo al sito della banca con il secondo numero generato . esco accedo di nuovo con il primo numero generato ,accesso negato
accedo con il terzo numero , e mi da via libera
quindi nella carta di credito ci sono i codici inseriti e gli stessi sono nel computer della banca , si accede sempre con il sucessivo e mai con il precedente anche se questo non e mai stato utilizzato.
apere
he
ica
Grazie 1000, =E8 esattamente ci=F2 che cercavo! :)) Come hanno scritto anche altre persone, l'apparecchio integra un algoritmo di trasformazione, non complesso. Esso =E8 noto solo (si spera) a chi gestisce l'applicazione che riceve i codici generati percui se ad un codice di ingresso X generato dall'applicazione che chiede l'autenticazione corrisponde un codice di uscita Y immesso dall'utente (tramite il TOKEN generator) allora l'utente =E8 autenticato.
Ciao!
F.Bertolazzi ha scritto:
Bertolazzi, non lo dico per fantasia o intuizione del momento ma perchè conosco la cosa.
Il fatto che accettino codici solo sucessivi a quello usato per ultimo è solo una scelta software tutto quà.
kfm:
Esattamente.
Trasmittente e ricevente hanno un contatore che dice loro quale sarà il prossimo numero della sequenza pseudocasuale da combinare con la chiave unica.
Se la ricevente non trova corrispondenza con il numero indicato dal suo contatore, prova quello successivo, poi quello successivo e così via fino al 256esimo numero della sequenza. Quando trova corrispondenza, aggiorna il proprio contatore in modo da riallinearlo a quello della trasmittente.
Se vuoi fare uno scherzaccio a qualcuno, prendigli il telecomando dell'auto e premilo 256 volte mentre sei fuori portata. Non potrà più usarlo.
Lagrange:
Non ce n'è bisogno, non lo becchi comunque. In generale tutti gli algoritmi di crittazione seri sono sempre pubblici.
El_Ciula:
Mi pare tu sia stato ampiamente smentito dalle prove di kfm.
E poi perché complicarsi inutilmente la vita con ore legali, cambio di pila che ti fa perdere data e ora (a meno che tu non la scriva ogni tot in eeprom, operazione che la danneggia e consuma inutilmente energia), quando ti basta salvare in eeprom il contatore attuale ogni volta che l'utente genera una nuova chiave?
A parte il fatto che su qui e qua l'accento non va (:p), no, non è una scelta, è necessario che funzioni così.
F. Bertolazzi ha scritto:
Allora, io parlo dei cazzilli portachiave, e non di altro. Nessuna ora legale ti fai pippe apocalittiche, dall'attivazione semplicemente si incrementa un timing.
Se te lo dico è perchè conosco, non parlo per deduzione, come MINCHIA debbo dirtelo.
La pila quanto scarica comporta la sostituzione del cazzillo che come ben sai costarà all'emittente una frazione di Euro, ma la cosa avviene dopo svariati anni.
E questo lo apprezzo, perchè non sono il solito pirla che se la prende per una correzione.
F. Bertolazzi ha scritto:
E' la chiave che non è pubblica...
Ma in questo caso, non è di certo un algoritmo serio ma una banalità, è il possesso dell'apparecchio ad essere importante tanto come una password banale, solo cambiargli una cifra la rende strasicura.
Parlo sempre del cazzillo tascabile tipo portachiavi.
El_Ciula:
Esattamente. Anch'io.
Ogni volta che l'utente preme il tasto. Quindi non è un timing, ma un contatore. Punto.
Allora, se lo conosci, spiegalo. Credo che la mia spiegazione a kfm sia stata abbastanza chiara. Il tuo sistema in cosa differisce?
Coma fa a durare svariati anni se il processore è sempre acceso per poter aggiornare l'ora?
Non metto in dubbio il fatto che tu conosca un sistema reso obsoleto da quello attuale, dico solo che non vedo perché dovrebbero fare cose complicate e consumose quando c'è un sistema assai più semplice e soprattutto sicuro, dato che data ed ora sono dati pubblici, mentre il valore del contatore non lo è.
F. Bertolazzi ha scritto:
No il contatore si incrementa per cazzi suoi, tu premi il tasto e ti visualizza il codice del momento.
Semplicemente perchè il display non è attivo e l'ora come la chiami ha cicli macchina lentissimi (doppio hardware uno dedicato solo al clock, l'altro quello che ciuccia solo all'aplicazione dell'algoritmo), oltre a possedere piu' batteria (ossido d'argento) che elettronica.
E' quello attuale.
El_Ciula:
Con quale vantaggio, di grazia?
Le batterie costano. Perché sprecarle in un modo così stupido? Non è meglio spegnere tutto, aspettare che l'utente prema il tasto, incrementare e salvare il contatore, fare due conti e tornare ad assorbire zero?
Informati meglio, prima di insistere ancora.
F. Bertolazzi ha scritto:
Sai, io non sono conosciuto per la pazienza, comunquesia ti potrei rispondere esattamente allo stesso modo, ma sapendo di avere ragione, non solamente pensandolo.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.