Ligger PIN-koden lagrad på bankkortet?

Min fråga är som topic.

Verkar som det iaf.

Provade att stoppa in mitt Swedbank-kort i min Nordea-dosa. Det visade sig att den kände av när jag matade in rätt kod.

Förutsätter PIN-koden är krypterad på något vis. Någon som har mer info?

Förmodligen inte, för om den skulle varit lagrad på kortet, så skulle man kunna köra en BF. 10 000 koder är inte så mycket för en snabb dator. Bara nån minut....
Spelar ingen roll hur mycket den är krypterad och hashad. dosan måste ju kryptera den kod du matar in och jämföra med den som är lagrad. Och då kan man ju kryptera 10 000 (0000 - 9999) koder på samma sätt som dosan krypterar koderna och jämföra vilken som är rätt med den som är lagrad.
Inte så speciellt säkert.

Men dosan kanske innehåller någon transceiverer som kommunicerar med någon generell bankserver och kontrollerar koden, och får nån slags nyckel tillbaka?
Och denna bankserver gäller för alla banker, och är samma server som bankomaterna och kodterminalerna i affärerna använder när dom verifierar pin-koden.

Om du har möjlighet att gratis fixa ett nytt kort, så kan du ju låsa kortet med 3 felaktiga försök på dosan och sedan se om det fungerar i en bankomat.

Fungerar det inte i bankomaten så är det garanterat nån bankserver nånstans som dosan kommunicerar med. Annars så verifierar dosan koden på nått sätt, vet inte hur.

Eller så fungerar alla pinkoder, men dom koder som genereras blir felaktiga om du använder en felaktig pinkod. Dvs om du får en viss challenge, så kommer det bli ett visst svar med en pinkod och ett annat svar med en annan pinkod.
Och banken godtar bara det svar som har genererats med rätt pinkod.

Alltså, läs på om hur ett smart card fungerar.

Det har inget med smartcard att göra. Du ser den brunäktigaranden på baksidan? Där finns alla info... 1,2 you're fucked....

Är väl inte bara att läsa/jämföra datan på ett smartcard rakt av direkt, är förmodligen krypterat med RSA eller annan kryptering... För att kunna knäcka RSA är det ju lämpligt/nödvändigt att samla in ytterligare information...

Som tur är innehåller smartcards, förutom minne, en egen processor(finns säkert fler alternativ... läs om side channel attacks). Den kan man lyssna av och analysera. Tanken är att man ska kunna knäcka den privata RSA-nycklen genom att analysera förändringen i strömförbrukning (googla differential power analysis (DPA)/ Simple power analysis (SPA)).

För att äns komma åt processorn krävs dock att man fräter bort/avlägsnar skyddet utan att skada kortet... läs mer om "tampering".



Detta kräver massor med kunskap och hjälpmedel. Är förmodligen inte något enkelt och avkopplande man gör på en fredagseftermiddag.

Lite länkar:
http://en.wikipedia.org/wiki/Tamper_resistant#Security
http://www.cryptography.com/resources/whitepapers/DPA.html
http://en.wikipedia.org/wiki/Smart_card#Cryptographic_smart_cards
http://en.wikipedia.org/wiki/RSA
http://en.wikipedia.org/wiki/Side_channel_attack

Om dosan kan kontrollera om det är rätt kod borde jag själv med kunna göra det?

Eller låser sig själva kortet på någon vis när jag provat 3 ggr?