Есть несколько типов бесконтактных карт, например java-карты и mifare classic, в mifare картах действительно нет неизвлекпемых данных, достаточно, чтобы в nfc-чипе ридера были записаны нужные ключи.
В java-карты, помимо всего того, что есть у mifare, можно записать апплет, который будет неизвлекпемым. С помощью этих апплетов можно реализовать, к примеру, инфраструктуру PKI. В случае банковских карт это EMV.
PS стандарт ISO/IEC 7816 для контактных карт, стандарт ISO/IEC 14443 для бесконтактных карт.
Ну и встречный вопрос, что мы хотим подделать?
Использовать терминал в корыстных целях конечно можно, но что это даст, если терминал вскоре заблокируют?
Многие пишут про элементарность взлома.
Какие-то сниферы и тому подобное. Вы серьёзно думаете, что обмен идёт в открытом виде?
Да, есть понятие открытых ключей, которыми можно прочитать некоторые поля.
В основном в картах для обмена секретной информацией используется PKI. И я даже не уверен, расшифровывается ли информация на терминале, скорее всего просто подписывается и отправляется на сервер.
Чипованная карта представляет из себя чёрный ящик, из которой можно прочитать блоки, обратится к java-аплету на чипе итд. Ключи для доступа в считывателе тоже нельзя считать, только записать новый.
Возможно чип можно взломать в лабораторных условиях и сделать дубликат, не изучал этот вопрос, но это не возможно просто сканируя карты ридером.
Ну помимо подбора карты разработчик может давать отказ если в поле несколько карт, и нужно получить уверенность, какую именно карту пользователь хочет приложить. Обычно это актуально для банковских карт.
В метро так работало полтора года назад, если не вру, может сейчас они ввели ограничение, что только одна карта из-за введения возможности оплатой PayPas.
«Интерференция сигналов от разных карт сделает чтение нужной карты невозможным.»
Нет. Считыватель карт работает следующим образом:
— Обнаружение карт в поле. При этом он получает UID каждой карты в поле, количество обнаруженных карт ограничивается только фантазией разработчика прошивки, это может быть как одна, так и 5 и более карт.
— Далее получив список UID-ов карт, можно активировать какую либо из них, либо активируя их по порядку найти нужную (например нам нужна Тройка, мы можем прочитать нужный блок определенным ключем и таким образом, если чтение было успешным, то далее работаем с этой картой, иначе продолжаем поиск).
Что касается стопки карт. Возможно, тут имеет место следующее: девайс детектирует карты и работает с той, которая обнаружилась первой. Какого-либо порядка тут нет, может первой обнаружится карта, лежащяя снизу, а в другой раз следующая.
Другой момент, что пачка карт может снижать возможность обнаружения «плохих» карт. К примеру карты от NXP очень хорошие, они могут детектироваться на расстоянии вплоть до 10 см. от считывателя, а когда я работал с картами отечественного производства, приходилось отправлять считыватель на доработку, чтобы увеличить мощность антенны, т.к. обнаружение таких карт было очень не стабильно.
P.S. И, кстати, в метро так и работает, иногда можно поднести кошелек и тут же пройти, а иногда это не срабатывает и приходится открывать кошелек, доставать карту и прикладывать ее отдельно.
Есть спорные моменты которые касаются авторства, допустим я перебором ссылок нашел статью и опубликовал ее в сети раньше автора, потом автор никак не сможет подтвердить авторство, кроме как отредактировав статью.
Но и опровергнуть авторство тоже тяжело, т.к. никакой цифровой подписи у статей нет.
Возможным решением видится PGP-подпись в конце статьи, но это уже как-то через чур хардкорно.
Прошу прощения, вы правы! Вот к чему приводит конец рабочего дня))
Теперь стало интересно как эту проблему решает например Телеграм… и не может ли, гипотетически, провернуть такое сам сервер телеграма если его вдруг заинтересует какой-то секретный чат?
Ну подмена публичных ключей ничего не даст, т.к. расшифровка сообщений происходит приватными ключами, соотв. при попытке расшифровать сообщение зашифрованное подменным публичным ключом произойдет ошибка.
Публичные ключи на то и публичные, что не позволяют расшифровать переписку. Они предназначаются для шифрования, а расшифровка происходит приватным ключом, который никуда не передается.
Справедливости ради… почему действительно все те видео такого сомнительного качества? Нет, я правда серьезно. Неужели в 21 веке такая компания как SpaceX не может позволить себе снять запуск в нормальном качестве? 4к там, много мегапискелей, не знаю. Тем более что каждый такой запуск это еще и пиар!
Я понял как кучка ПЕРВЫХ биткойнов (между прочим разбитых по нескольким адресам по 50BTC) оценивается в $400kk)) неоднозначный абзац получился, не совсем понятно — они стоят столько т.к. они ПЕРВЫЕ или т.к. их просто на 400кк? Почему тогда не написать бы просто что столько то битков по 50 на разных адресах, завтра курс битков взлетит и эта цифра 400кк будет неактуальной.
В статье написано: «В настоящее время стоимость кучки биткоинов, распределённых по 50 BTC по нескольким адресам, по биржевому курсу оценивается в $400 миллионов.», если я правильно понимаю, можно пойти и обменять их по обычному курсу, а можно сдать эдаким коллекционерам за 400 млн?
Примерно за 27-28 тыс. Руб.)
Если вы просто разбили стекло, то заметна в неофициальной мастерской примерно 9 тыс.
Есть несколько типов бесконтактных карт, например java-карты и mifare classic, в mifare картах действительно нет неизвлекпемых данных, достаточно, чтобы в nfc-чипе ридера были записаны нужные ключи.
В java-карты, помимо всего того, что есть у mifare, можно записать апплет, который будет неизвлекпемым. С помощью этих апплетов можно реализовать, к примеру, инфраструктуру PKI. В случае банковских карт это EMV.
PS стандарт ISO/IEC 7816 для контактных карт, стандарт ISO/IEC 14443 для бесконтактных карт.
Ну и встречный вопрос, что мы хотим подделать?
Использовать терминал в корыстных целях конечно можно, но что это даст, если терминал вскоре заблокируют?
Вам нужно смотреть ISO14443)
Многие пишут про элементарность взлома.
Какие-то сниферы и тому подобное. Вы серьёзно думаете, что обмен идёт в открытом виде?
Да, есть понятие открытых ключей, которыми можно прочитать некоторые поля.
В основном в картах для обмена секретной информацией используется PKI. И я даже не уверен, расшифровывается ли информация на терминале, скорее всего просто подписывается и отправляется на сервер.
Чипованная карта представляет из себя чёрный ящик, из которой можно прочитать блоки, обратится к java-аплету на чипе итд. Ключи для доступа в считывателе тоже нельзя считать, только записать новый.
Возможно чип можно взломать в лабораторных условиях и сделать дубликат, не изучал этот вопрос, но это не возможно просто сканируя карты ридером.
Ну помимо подбора карты разработчик может давать отказ если в поле несколько карт, и нужно получить уверенность, какую именно карту пользователь хочет приложить. Обычно это актуально для банковских карт.
В метро так работало полтора года назад, если не вру, может сейчас они ввели ограничение, что только одна карта из-за введения возможности оплатой PayPas.
Нет. Считыватель карт работает следующим образом:
— Обнаружение карт в поле. При этом он получает UID каждой карты в поле, количество обнаруженных карт ограничивается только фантазией разработчика прошивки, это может быть как одна, так и 5 и более карт.
— Далее получив список UID-ов карт, можно активировать какую либо из них, либо активируя их по порядку найти нужную (например нам нужна Тройка, мы можем прочитать нужный блок определенным ключем и таким образом, если чтение было успешным, то далее работаем с этой картой, иначе продолжаем поиск).
Что касается стопки карт. Возможно, тут имеет место следующее: девайс детектирует карты и работает с той, которая обнаружилась первой. Какого-либо порядка тут нет, может первой обнаружится карта, лежащяя снизу, а в другой раз следующая.
Другой момент, что пачка карт может снижать возможность обнаружения «плохих» карт. К примеру карты от NXP очень хорошие, они могут детектироваться на расстоянии вплоть до 10 см. от считывателя, а когда я работал с картами отечественного производства, приходилось отправлять считыватель на доработку, чтобы увеличить мощность антенны, т.к. обнаружение таких карт было очень не стабильно.
P.S. И, кстати, в метро так и работает, иногда можно поднести кошелек и тут же пройти, а иногда это не срабатывает и приходится открывать кошелек, доставать карту и прикладывать ее отдельно.
А почему забанили? Сам проект очень интересный!
Но и опровергнуть авторство тоже тяжело, т.к. никакой цифровой подписи у статей нет.
Возможным решением видится PGP-подпись в конце статьи, но это уже как-то через чур хардкорно.
Теперь стало интересно как эту проблему решает например Телеграм… и не может ли, гипотетически, провернуть такое сам сервер телеграма если его вдруг заинтересует какой-то секретный чат?