распространенные банковские карты - они Java или нет?
Практически все java карты. Так проще и дешевле (на массовом выпуске)
Native карты фактически умерли еще в 200x годах. Маску ПЗУ поменять дорого. Универсальные чипы все одно дешевле, а технологии уже не давят ограничениями на кристалл
MULTOS “умер” приблизительно в те же годы. Приватный. Лицензия как паровоз и не всех пускали.
Windows for SmartCard умерла толком не родившись в 2000году. Попытка MS влезть на рынок.
банки не добавляют туда приложение-авторизатор потому что не могут (чип не позволяет), или потому что им просто не хочется?
“можно, а зачем”? Действительно. А зачем им это? 2007-2010 - тема одноразового OTP кода на основе EMV 3DES ключа, продвигаемого MasterCard Ридер - похож на калькулятор с экранчиком и клавиатурой для off-line PIN. Питание типично от литиевой “таблетки”.
Почему то умерла. Не знаю почему. Могу только предположить
Патент МС (в Visa получается незя)
Доп лицензия на HSM и проблемы интеграции ДБО с процессингом или просто отдельная подсистема (+ еще один HSM)
Просто не понятно кто платить будет. пусть $20 за железку…
массовое появление смартфонов и SMS и push в ДБО приложения
Предполагаю, что п4. главный
а так то ничего сложно нет и специализированный апплет сделать. Но
На вашу банковскую карту его не загрузить (чаще всего это физически делают не возможно после персонализации. Да к то бы ключ персонализации отдал бы)
Купить java карту наверное можно. Не интересовался этим вопросом (штук сто семплов у меня валяется без дела).
Сталкивался. Отваливаются. Но не с ванильным. Как я и говорил, крупняк имеет возможность свои команды развития PG иметь. Так что с ванильным особо и не приходилось дело иметь.
А про ванильный… надеяться, что все покрыто тестами и ничего нет что этими тестами не покрывается, можно, только если раз в пол года самому срочные пачи не приходится выпускать Потому что, “ой. а этот пограничный случай тестом не был закрыт”.
Ну вот давно в сфере разработки ПО работаю, что бы быть оптимистом и верить
“технологии нужно менять по делу” а не потому что крупный заказчик сказал “хочу вот так”
“все касается ванильной версии” и в ней в очередной версии, которую после установки на пром уже не откатить (форматы WAL не совместимы, например) через месяц вылезла проблема в том что работало на предыдущей версии, на каких то очень пограничных режимах. Но они ооочень нужны.
“не проверили руками” - да запросто. Зная сколько сколько по факту ключевых разработчиков ванильной PG.
Я хочу быть оптимистом, но жизнь постоянно заставляет стать пессимистом. На фактах.
На практике это бесполезно. Пишешь длинное описание почему конкретно эта уязвимость, найденная сканером, в принципе не может быть задействована в этом конкретном ПО. В результате “а у нас сканер показал. Сделайте что бы не показывал”. И хоть тресни и ничего не докажешь. Проще сделать формально правильно, но по сути хуже с точки зрения безопасности. А не бороться с ветряными мельницами.
А сертификат ФСБ… на крипто ПО… Ну ну. Как то нужно было разобраться с внутренним протоколом обмена одного крипто ПО, навязываемого ЦБ (кто знает, тот знает) :facepalm Пароль к секретному ключу в открытом TCP/IP канале ходил “зашифрованным” по XOR (!) одним константным(!) байтом (!).
Поскольку активно занимался разработкой java апплетов (в том числе и EMV co платежного приложения) для javacard, то могу сказать, что нет. Все доступы к API работы с ключами на прикладном уровне апплета. В самом API работы с ключами нет понятия “предъявить PIN” (javacard.security.* и javacardx.crypto.*)
Для контроля PIN - расширения класса типа javacard.framework.OwnerPIN и прикладной код, олределяющий логику. При желании разработчика, можно и превышению предъявления PIN и ключи удалять конечно. Если так захочется.
Это не так. Сертификат не делает тебя неуязвимым! И это, пожалуй, главная проблема в мышлении российских вендоров.
По моему, это главная проблема специалистов СИБ. Особенно в банках. По принципу “бумажка есть - попа прикрыта”.
Когда требуют формального “сканер не должен показывать уязвимости”. И бесполезно доказывать, что
эта конкретная “уязвимость” вообще и в принципе в данном ПО не может быть использована.
“ставьте новую версию либы” - это спрятаться от проблем. Потому что “в новой версии opensource либы сканер не показывает уязвимости” - это не потому, что их там нет. А потому что не успели найти (или что хуже, успели, но используют втихушку).
Хороший способ нашли некоторые крупные вендоры (не буду пальцем тыкать). Берут ветку opensource и собирают из нее свою либу, меняя ключевые тэги/версии. Сканеры стандартные их воспринимают как “все идеально”. У СИБ все формально идеально. “Все хорошо прекрасная маркиза”.
продукт получил сертификат ФСТЭК
Ага. то же по формальным признакам проверяют. И привязываются к “у вас тут код написать чуть другому надо”. Настолько мелкие вкусовые и стилистические “пожелания”, что прям понимаешь как старались найти к чему бы придраться, не вникая в сущность того что ПО то делает.
Даже местами можно догадаться через какую LLM прогоняли.
LLM часто тупые советы дают. Типа предлагая заменить функцию поиска через перебор (< 10 элементов по определению/контексту задачи) на HashMap. Типа есть формальные оценки по algorithm time complexity и все. А все остальное не учитывать.
С нетерпением жду на Хабре статей от гордых разработчиков ПО/железа для ТСПУ. Со актуальной информацией и статьями “какую пользу я принес гражданам России”.
Очень хотелось бы почитать и познакомится с авторами. Можно и лично. Страна должна знать своих героев.
Впрочем, с учетом уголовного наказания за фотографии табличек на кладбище, то возможно и не нужно это. Герои они такие… анонимные.
Это принципиально другой тип памяти, где играет роль не себестоимость каждого байта, а иная архитектура с жесткими требованиями к безопасности.
Если уж так упарываться по “безопасности” и что ключи могут “вытащить”. То можно взять обычную java карту (для банковских приложений) и апплет на java карте будет совсем не сложный для хранения TOTP ключа. Но это из серии “можно, а зачем”.
Плохо себе представлю ситуацию, когда кому то (после ареста например) вообще понадобится именно ключ, а разовый TOTP. Да и вообще криптоанализ ректально-термальным методом никто не отменял.
ЭЭ… Исходный посыл был “это технически не возможно”. А вы сейчас с чем спорите? Что это в СССР был невозможно потому что дорого. какое отношение имеет “дорого для гражданки” с посылом “технически невозможно сделать в 60-х”
И да… Долго в кладовке валялся телевизор на трубке от осциллографа, который мой папа сделал в конце 60-х. Ламповый. На микролампах. Размеры наладонные.
Размеры конечно были побольше чем на фото и питание не батарейное. Но что тогда в СССР можно было достать (трубка/лампы) на том и сделано.
Серийный был прибор в СССР пнв-57а. Не телевизор, но у военных такой задачи не стояло. Телевизор не особо сложнее. И субминиатюрные серийные радиолампы уже были. Размером меньше двух фаланг мизинца и гибкими выводами.
Не надо недооценивать…
Блин… чувствую себя динозавром, который это все знает и даже видел это. и ПВН и лампы на даче от папы валяются (лись)
ну, судя по Вашим словам " в продакшн я буду платы заказывать на заводе" у Вас это скорее не хобби, а работа. А это совсем другой подход.
Я вот ЧПУ станок собрал для хобби и … за много лет разве что с десяток раз понадобился. Так и стоит без дела - пылится под чехлом. Так же и то, что описано в статье. Если редко нужно - то избыточно все это.
Делать двухслойную плату с металлизацией отверстий ДОМА КУСТАРНЫМИ способами. Не…, конечно кто то и электронные лампы сам делает. Но это того же класса как сделать дома плату двухстороннюю с металлизацией отверстий и дорожками в 0.2мм.
Конечно круто, но это ОТДЕЛЬНОЕ направление DIY.
А не “мне тут для такой штучки нужно плата и я ее по быстрому получил”. Т.е. плата как часть (досадная трата времени на пути к результату) чего то другого. Типа сделать какое то изделие и поэкспериментировать с ним.
Так же можно дойти “я тут склеил из стеклоткани, сплетенной из нитей вытянутых в собственноручном сделанном горне… и т.д…”
Не. То, что нельзя сделать фотошаблоном - я лучше закажу. Быстрее будет, чем делать сложную оснастку для собственноручного изготовления такой платы.
Мой резум к статье. Это как статья про изготовление вакуумных электронных ламп DIY в домашних условиях. Круто. Вызывает уважение. Но не всем нужно.
150x150 с шагом 0.3мм плоттером будет рисоваться часами. Такое проще заказать, ну 100% будет и дешевле и быстрее чем плоттером. Если это, конечно, не пара тонких дорожек на всю плату.
150x150 0.3мм - такую плату утюгом 100% не сделать, а вот фоторезист через пленку - вполне наверное…
Хотя честно скажу. Для хобби более чем 100mm плату под микросхемы QFP 0.5мм как то не приходилось. Хотя бы потому, что это мазохизм и брак будет 90% (если вообще получится)
Я пробовал:
ЛУТ - брака много, но дешево и быстро. Для простых плат (и даже 0.5) можно результат получить. Но не с первой попытки.
фрезеровку ЧПУ (есть ЧПУ станочек самодельный дома) - долго. пыльно. 0.5 не получится. Сложно выдержать ось Z. В общем так себе способ. Подходит для очень частных случаев (нужно оставить много меди. Типично для силовой платы)
Засвет фоторезиста через пленку с распечаткой на лазернике. Так же быстро как и ЛУТ, но дороже по расходникам. Но результат существенно лучше чем у п1.
И уж извините, но исходя из своего опыта не верю в фото-плотер для практических общих целей. Сразу навскидку умозрительные проблемы:
Долго. НУ очень долго (если это, конечно, не то, что на картинках в статье, где одинокие тонкие дорожки далеко друг от друга)
паразитная засветка фоторезиста. Да та же проблема, что и с фрезером - ось Z и проблемы с фокусировкой пятна.
Плату, где нужно оставить много меди, а сделать только разрывы (тонкие) будет ну очень долго рисовать. Если вообще справится из за паразитной засветки соседних участков
А самое главное… а чем травить то собираетесь высокоточный результат многочасовой работы плоттера?
И все эти “высокие точности дорожек” нивелируются проблемой протравки платы в домашних условиях. Самый простой вариант с хлористым железом при дорожках 0.5 уже на этапе протравки часто брак дает. Неравномерно (сбоку подъедает дорожки) и из за “так себе качества” часто крупинки какой то хрени.
ну так с самого начала в статье “Конечный автомат (FSM) – ловушка для программиста” автор статьи изложил свое представление о теории конечных автоматов.
И сразу, стало понятно, что он “где то чего то слышал про ТКА”, но только слышал и знания поверхностные.
Ну это просто бросается в глаза, когда у тебя был когда то курс дискретной математики и TKA, как часть его.
И тут же стал критиковать свое видение ТКА и предлагать что то свое, критикуя свое же представление о.
Тут же не важно правильно не правильно и в чем суть критики… Факт тот, что он критиковал свое представление о ТКА разделе математики (кривое представление, к слову).
ТКА - это инструмент со своими достоинствами и недостатками и применениями. Как и любая математическая абстракция.
Практически все java карты. Так проще и дешевле (на массовом выпуске)
Native карты фактически умерли еще в 200x годах. Маску ПЗУ поменять дорого. Универсальные чипы все одно дешевле, а технологии уже не давят ограничениями на кристалл
MULTOS “умер” приблизительно в те же годы. Приватный. Лицензия как паровоз и не всех пускали.
Windows for SmartCard умерла толком не родившись в 2000году. Попытка MS влезть на рынок.
“можно, а зачем”? Действительно. А зачем им это? 2007-2010 - тема одноразового OTP кода на основе EMV 3DES ключа, продвигаемого MasterCard Ридер - похож на калькулятор с экранчиком и клавиатурой для off-line PIN. Питание типично от литиевой “таблетки”.
Почему то умерла. Не знаю почему. Могу только предположить
Патент МС (в Visa получается незя)
Доп лицензия на HSM и проблемы интеграции ДБО с процессингом или просто отдельная подсистема (+ еще один HSM)
Просто не понятно кто платить будет. пусть $20 за железку…
массовое появление смартфонов и SMS и push в ДБО приложения
Предполагаю, что п4. главный
а так то ничего сложно нет и специализированный апплет сделать. Но
На вашу банковскую карту его не загрузить (чаще всего это физически делают не возможно после персонализации. Да к то бы ключ персонализации отдал бы)
Купить java карту наверное можно. Не интересовался этим вопросом (штук сто семплов у меня валяется без дела).
Завидую… за год. Один сервис.
Oracle был.
ой. пусть еще и PG.
ой… может Tarantool
ну точно будет Apache Ignite 3 (кстати, сырое дерьмо это Apache Ignite 3)
А может свое написать под узкую задачу. что бы дешевле.
Сталкивался. Отваливаются. Но не с ванильным. Как я и говорил, крупняк имеет возможность свои команды развития PG иметь. Так что с ванильным особо и не приходилось дело иметь.
А про ванильный… надеяться, что все покрыто тестами и ничего нет что этими тестами не покрывается, можно, только если раз в пол года самому срочные пачи не приходится выпускать Потому что, “ой. а этот пограничный случай тестом не был закрыт”.
Ну вот давно в сфере разработки ПО работаю, что бы быть оптимистом и верить
“технологии нужно менять по делу” а не потому что крупный заказчик сказал “хочу вот так”
“все касается ванильной версии” и в ней в очередной версии, которую после установки на пром уже не откатить (форматы WAL не совместимы, например) через месяц вылезла проблема в том что работало на предыдущей версии, на каких то очень пограничных режимах. Но они ооочень нужны.
“не проверили руками” - да запросто. Зная сколько сколько по факту ключевых разработчиков ванильной PG.
Я хочу быть оптимистом, но жизнь постоянно заставляет стать пессимистом. На фактах.
На практике это бесполезно. Пишешь длинное описание почему конкретно эта уязвимость, найденная сканером, в принципе не может быть задействована в этом конкретном ПО. В результате “а у нас сканер показал. Сделайте что бы не показывал”. И хоть тресни и ничего не докажешь. Проще сделать формально правильно, но по сути хуже с точки зрения безопасности. А не бороться с ветряными мельницами.
А сертификат ФСБ… на крипто ПО… Ну ну. Как то нужно было разобраться с внутренним протоколом обмена одного крипто ПО, навязываемого ЦБ (кто знает, тот знает) :facepalm Пароль к секретному ключу в открытом TCP/IP канале ходил “зашифрованным” по XOR (!) одним константным(!) байтом (!).
Сертификации…
Поскольку активно занимался разработкой java апплетов (в том числе и EMV co платежного приложения) для javacard, то могу сказать, что нет. Все доступы к API работы с ключами на прикладном уровне апплета. В самом API работы с ключами нет понятия “предъявить PIN” (javacard.security.* и javacardx.crypto.*)
Для контроля PIN - расширения класса типа javacard.framework.OwnerPIN и прикладной код, олределяющий логику. При желании разработчика, можно и превышению предъявления PIN и ключи удалять конечно. Если так захочется.
Основная проблема использования фич конкретной БД за пределами базового SQL
это боль перехода с одной БД на другую (Oracle фичи при переходе в PG => боль)
весь крупняк идет по пути создание своей ветки PG. И тут можно столкнуться с проблемой совместимости при разработке вендоровского ПО.
нет никакой гарантии, что в очередной ванильной версии эту фичу не сломают. Пусть даже не специально. А как ни-будь случайно и не предсказуемо.
По моему, это главная проблема специалистов СИБ. Особенно в банках. По принципу “бумажка есть - попа прикрыта”.
Когда требуют формального “сканер не должен показывать уязвимости”. И бесполезно доказывать, что
эта конкретная “уязвимость” вообще и в принципе в данном ПО не может быть использована.
“ставьте новую версию либы” - это спрятаться от проблем. Потому что “в новой версии opensource либы сканер не показывает уязвимости” - это не потому, что их там нет. А потому что не успели найти (или что хуже, успели, но используют втихушку).
Хороший способ нашли некоторые крупные вендоры (не буду пальцем тыкать). Берут ветку opensource и собирают из нее свою либу, меняя ключевые тэги/версии. Сканеры стандартные их воспринимают как “все идеально”. У СИБ все формально идеально. “Все хорошо прекрасная маркиза”.
Ага. то же по формальным признакам проверяют. И привязываются к “у вас тут код написать чуть другому надо”. Настолько мелкие вкусовые и стилистические “пожелания”, что прям понимаешь как старались найти к чему бы придраться, не вникая в сущность того что ПО то делает.
Даже местами можно догадаться через какую LLM прогоняли.
LLM часто тупые советы дают. Типа предлагая заменить функцию поиска через перебор (< 10 элементов по определению/контексту задачи) на HashMap. Типа есть формальные оценки по algorithm time complexity и все. А все остальное не учитывать.
С нетерпением жду на Хабре статей от гордых разработчиков ПО/железа для ТСПУ. Со актуальной информацией и статьями “какую пользу я принес гражданам России”.
Очень хотелось бы почитать и познакомится с авторами. Можно и лично. Страна должна знать своих героев.
Впрочем, с учетом уголовного наказания за фотографии табличек на кладбище, то возможно и не нужно это. Герои они такие… анонимные.
Откуда: Армения
Самые большие патриоты российской власти (не России. не надо путать) Почему то живут не в Россси
Если уж так упарываться по “безопасности” и что ключи могут “вытащить”. То можно взять обычную java карту (для банковских приложений) и апплет на java карте будет совсем не сложный для хранения TOTP ключа. Но это из серии “можно, а зачем”.
Плохо себе представлю ситуацию, когда кому то (после ареста например) вообще понадобится именно ключ, а разовый TOTP. Да и вообще криптоанализ ректально-термальным методом никто не отменял.
ЭЭ… Исходный посыл был “это технически не возможно”. А вы сейчас с чем спорите? Что это в СССР был невозможно потому что дорого. какое отношение имеет “дорого для гражданки” с посылом “технически невозможно сделать в 60-х”
И да… Долго в кладовке валялся телевизор на трубке от осциллографа, который мой папа сделал в конце 60-х. Ламповый. На микролампах. Размеры наладонные.
Размеры конечно были побольше чем на фото и питание не батарейное. Но что тогда в СССР можно было достать (трубка/лампы) на том и сделано.
Серийный был прибор в СССР пнв-57а. Не телевизор, но у военных такой задачи не стояло. Телевизор не особо сложнее. И субминиатюрные серийные радиолампы уже были. Размером меньше двух фаланг мизинца и гибкими выводами.
Не надо недооценивать…
Блин… чувствую себя динозавром, который это все знает и даже видел это. и ПВН и лампы на даче от папы валяются (лись)
А зачем даже 4G. Скоро 2G будет достаточно (GPRS) Все одно
Вначале плата за трафик “зарубежный”
Потом просто чебурнет (ну или гражданская война. даже не знаю что хуже)
Ага… в какие, с учетом платы на зарубежный трафик. Оптимисты все.
ну, судя по Вашим словам " в продакшн я буду платы заказывать на заводе" у Вас это скорее не хобби, а работа. А это совсем другой подход.
Я вот ЧПУ станок собрал для хобби и … за много лет разве что с десяток раз понадобился. Так и стоит без дела - пылится под чехлом. Так же и то, что описано в статье. Если редко нужно - то избыточно все это.
Делать двухслойную плату с металлизацией отверстий ДОМА КУСТАРНЫМИ способами. Не…, конечно кто то и электронные лампы сам делает. Но это того же класса как сделать дома плату двухстороннюю с металлизацией отверстий и дорожками в 0.2мм.
Конечно круто, но это ОТДЕЛЬНОЕ направление DIY.
А не “мне тут для такой штучки нужно плата и я ее по быстрому получил”. Т.е. плата как часть (досадная трата времени на пути к результату) чего то другого. Типа сделать какое то изделие и поэкспериментировать с ним.
Так же можно дойти “я тут склеил из стеклоткани, сплетенной из нитей вытянутых в собственноручном сделанном горне… и т.д…”
Не. То, что нельзя сделать фотошаблоном - я лучше закажу. Быстрее будет, чем делать сложную оснастку для собственноручного изготовления такой платы.
Мой резум к статье. Это как статья про изготовление вакуумных электронных ламп DIY в домашних условиях. Круто. Вызывает уважение. Но не всем нужно.
150x150 с шагом 0.3мм плоттером будет рисоваться часами. Такое проще заказать, ну 100% будет и дешевле и быстрее чем плоттером. Если это, конечно, не пара тонких дорожек на всю плату.
150x150 0.3мм - такую плату утюгом 100% не сделать, а вот фоторезист через пленку - вполне наверное…
Хотя честно скажу. Для хобби более чем 100mm плату под микросхемы QFP 0.5мм как то не приходилось. Хотя бы потому, что это мазохизм и брак будет 90% (если вообще получится)
Я пробовал:
ЛУТ - брака много, но дешево и быстро. Для простых плат (и даже 0.5) можно результат получить. Но не с первой попытки.
фрезеровку ЧПУ (есть ЧПУ станочек самодельный дома) - долго. пыльно. 0.5 не получится. Сложно выдержать ось Z. В общем так себе способ. Подходит для очень частных случаев (нужно оставить много меди. Типично для силовой платы)
Засвет фоторезиста через пленку с распечаткой на лазернике. Так же быстро как и ЛУТ, но дороже по расходникам. Но результат существенно лучше чем у п1.
И уж извините, но исходя из своего опыта не верю в фото-плотер для практических общих целей. Сразу навскидку умозрительные проблемы:
Долго. НУ очень долго (если это, конечно, не то, что на картинках в статье, где одинокие тонкие дорожки далеко друг от друга)
паразитная засветка фоторезиста. Да та же проблема, что и с фрезером - ось Z и проблемы с фокусировкой пятна.
Плату, где нужно оставить много меди, а сделать только разрывы (тонкие) будет ну очень долго рисовать. Если вообще справится из за паразитной засветки соседних участков
А самое главное… а чем травить то собираетесь высокоточный результат многочасовой работы плоттера?
И все эти “высокие точности дорожек” нивелируются проблемой протравки платы в домашних условиях. Самый простой вариант с хлористым железом при дорожках 0.5 уже на этапе протравки часто брак дает. Неравномерно (сбоку подъедает дорожки) и из за “так себе качества” часто крупинки какой то хрени.
Ээ. А не проще ли распечатка на пленке лазерным принтером и тот же засвет фоторезиста через получившийся шаблон.
Зачем усложнять себе жизнь рисуя плоттером, героически преодолевая трудности?
Чет мне это напоминает классический анекдот “гланды через анальное отверстие” Да. Круто гланды так удалить. респек хирургу. Умеет.
https://habr.com/ru/articles/963278/
ну так с самого начала в статье “Конечный автомат (FSM) – ловушка для программиста” автор статьи изложил свое представление о теории конечных автоматов.
И сразу, стало понятно, что он “где то чего то слышал про ТКА”, но только слышал и знания поверхностные.
Ну это просто бросается в глаза, когда у тебя был когда то курс дискретной математики и TKA, как часть его.
И тут же стал критиковать свое видение ТКА и предлагать что то свое, критикуя свое же представление о.
Тут же не важно правильно не правильно и в чем суть критики… Факт тот, что он критиковал свое представление о ТКА разделе математики (кривое представление, к слову).
ТКА - это инструмент со своими достоинствами и недостатками и применениями. Как и любая математическая абстракция.
Провокатор из ФСБ? Все сделаете ради очередного звания…