Naja mit der Sammelüberweisung das liegt ja sehr nahe - aber kann man
nicht einfach den Tangenerator verarschen? Weiss jemand wie dieser
Codegenerator funktioniert? Der wird doch vermutlich auch nur einen
irgendwie verschlüsselten Text parsen - und kompliziert kann die
Verschlüsselung nicht sein - ich rate mal AES (wird ja gerne genommen
für sowas) - wenns ein Taschenrechner berechnen kann. Die Länge des
Payloads ist auch sehr begrenzt - da hält ja keiner den Tangenerator
eine halbe Stunde vor den Bildschirm. Als Hash wird vermutlich
irgendwas von der Geldkarte genommen - Kontonummer + Pin oder sowas -
sowas müsste doch mit ner einfachen Cryptanalyse/Bruteforceattacke zu
knacken sein?
d.h. um da Wissenschaftlich ranzugehen:
- wie ist die Codierung des Flickercodes?
- was für Daten kommen brutto beim Tangenerator an
-> und dann darauf basierend schauen welche Verschlüsselung da in
Frage kommt
-> dann mal nen Grid dransetzen und versuchen einen Text zu
deciffrieren
-> wenn man weiss was als Schlüssel verwendet wurde (z.B. die PIN)
kann man das ganze vereinfachen und schwups hat man ne Attacke die
sich sofort und vermutlich in kurzer Zeit auf dem Client ausführen
lässt. (wenns wirklich nur die Pin + AES ist z.B. - lässt sich sowas
ja wunderbar parallelisieren - und nen 4 stelligen Code zu
bruteforcen ist ne Sache von nichtmal einer Sekunde)
Ich würde da grundsätzlich der Handy TAN (mit Knto.+Betrags
Verifizierung)wesentlich eher trauen.
nicht einfach den Tangenerator verarschen? Weiss jemand wie dieser
Codegenerator funktioniert? Der wird doch vermutlich auch nur einen
irgendwie verschlüsselten Text parsen - und kompliziert kann die
Verschlüsselung nicht sein - ich rate mal AES (wird ja gerne genommen
für sowas) - wenns ein Taschenrechner berechnen kann. Die Länge des
Payloads ist auch sehr begrenzt - da hält ja keiner den Tangenerator
eine halbe Stunde vor den Bildschirm. Als Hash wird vermutlich
irgendwas von der Geldkarte genommen - Kontonummer + Pin oder sowas -
sowas müsste doch mit ner einfachen Cryptanalyse/Bruteforceattacke zu
knacken sein?
d.h. um da Wissenschaftlich ranzugehen:
- wie ist die Codierung des Flickercodes?
- was für Daten kommen brutto beim Tangenerator an
-> und dann darauf basierend schauen welche Verschlüsselung da in
Frage kommt
-> dann mal nen Grid dransetzen und versuchen einen Text zu
deciffrieren
-> wenn man weiss was als Schlüssel verwendet wurde (z.B. die PIN)
kann man das ganze vereinfachen und schwups hat man ne Attacke die
sich sofort und vermutlich in kurzer Zeit auf dem Client ausführen
lässt. (wenns wirklich nur die Pin + AES ist z.B. - lässt sich sowas
ja wunderbar parallelisieren - und nen 4 stelligen Code zu
bruteforcen ist ne Sache von nichtmal einer Sekunde)
Ich würde da grundsätzlich der Handy TAN (mit Knto.+Betrags
Verifizierung)wesentlich eher trauen.