Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
November » 2006 » Kryptoblog

Archive for November, 2006

Lite mer om SIPT

November 16th, 2006

Jonas skickade in en intressant kommentar till postningen om den Svenska säkerhetsuppfinningen SIPT. Kommentaren innehöll två länkar:

Den senare länken innehåller mycket mer information om patentet. Bland annat följande sammanfattning och flödesdiagram:

The invention relates to a payment system utilizing so called “smart cards”, which include a microprocessor attached to the card with associated memory circuits for storage of transactions, and which via a terminal can be supplied an available and for the card holder useable amount. According to the invention, a unique card number for said card, together with a PIN code chosen by the user and registered for the card, are transformed by means of the card microprocessor into a unique and preferably encoded user certificate for each individual card, which is used for verification of the authority of the user. Said card includes preferably stored information relating to a maximum level of amount to which the card can be used without stating PIN code, and information relating to the maximum number of such transactions that can be performed without the card communicating and transferring information of executed transaction to the bank holding the account or similar party, such transactions being registered and stored in the memory circuits of the card with a corresponding reduction of available amount. When the card is used in connection with terminals not communicating on-line with account holding bank or similar, transaction data are stored in the memory circuits of the card as well as in the payment terminal, with available amount being correspondingly reduced, and on insertion into a reading terminal directly connected to account holding bank or similar, transfer of in the card stored transactions data takes place for registration/checkup of booked transactions with said bank or similar.

Flödesschemat:

Jag som glad patentamatör ser inte vad som är unikt, men det finns normalt i claims-delen av ansökan. Dock borde detta patentet krocka med massor av patent och prior art. En sak som dock klarnade är kopplingen till Natek AB (EFB). På SIPT Technologies finns en länk till det företaget. Vad Natek AB sysslar med är batteriladdare och batteritestare, exempelvis den här:

Maskinen på bilden är en batteriladdare för batterier som används av militären. Men vad f-n har det med säkerhetslösningar för banktransaktioner och smart cards att göra? Länkarna som Jonas postade visar att följande personer och företag står bakom patentet:

Uppfinnare: Björn Christian Granfeldt, Norrköping, Tomas Martin Gösta Hägg
Patenthavare:  EFB Energiförbättringar AB

EFB Energiförbättringar är tydligen ett gammalt namn för Natek.

Tack Jonas!

Gillar SAS latenta fingeravtryck?

November 16th, 2006

Hade förmånen att åka upp till Lule och snön för ett par dagar i förra veckan. När vi skulle checka in på Kallax för att flyga hem igen fick vi bekanta oss med SAS nya biometribaserade incheckning.

Utrustningen som används visade sig vara en biometriläsare kopplad till en vanlig PC. Den biometriska sensorn är en version av Precise Biometrics areasensorbaserade Precise 250 MC:

Att det är en areasensor är det som jag blev riktigt besviken på. På sensorn som jag tittade på fanns det ett jättefint fingeravtryck från föregående passagerare. Nu försökte jag inte att lura systemet genom att värma upp det fingeravtrycket, men då jag fick vara ensam med sensorn när scanning skulle ske hade det antagligen gått att blåsa, applicera värme eller på annat sätt få sensorn att läsa av det gamla fingeravtrycket.

Visst sensorn i fråga uppfyller USAs Department of Homeland Security standard HSPD-12, så valet för SAS var antagligen enkelt, men det stör mig att man inte valde att köpa utrustning som enkelt eliminerar ett stort problem med fingeravtrycksbaserad biometri.

SIPT – Svensk ormolja för banksäkerhet?

November 15th, 2006

(Först: Har tyvärr haft fullt upp så bloggandet har tagit stryk. Förhoppningsvis blir det bättre fart under december.) Sprang på en märklig artikel, eller mer exakt ett debattinlägg i NyTeknik.

Inlägget, författat av någon som heter Tomas Hägg, handlar om problemen med elektroniska betalningssystem – kort, transaktioner på nätet etc. I artikeln kritiserar Hägg bankerna för att använda vad han kallar passiv säkerhet och exemplifierar med kryptering.

Lösningen enl inlägget är istället att använda SIPT - Secure Information and Payment Technology, en teknologi som Häggs bolag SIPT Technology enligt egen utsago har metodpatent på. Utan SIPT är vi tydligen på väg mot undergång, men med SIPT kommer allar problem att lösa sig. Eller som Hägg skriver:

Det finns två vägar att gå. Antingen återgår vi till ett bytessamhälle med hederliga handslag eller så säkrar vi möjligheterna att bedriva handel med virtuella betalningsmedel….

... Som en extra bonus skulle chattprogram, och forum för sociala kontakter, kunna bekräfta sina användare, genom ett och samma system. Skimming, phishing och grooming skulle vara ett minne blott. Bosse, 52, skulle inte längre kunna spela Cissi, 14. Bara det vore något värt att lämna efter oss till våra barn.


(Jösses.) SIPT verkar helt klart som en fantastisk intressant teknik, dock finns det i inte så mycket information i debattinlägget om vad SIPT faktiskt är. Men Google is your friend så...

Först hittade jag en riktig artikel om SIPT Technologies och SIPT från Securityuser. Enligt den artikeln är SIPT:

en metod för säkra transaktioner med smarta kort kopplade till ett generellt slags bankkonto. Kortet innehåller en speglad och krypterad version av kontot, skyddad med pin-kod, biometri eller liknande och har en egen teknisk identitet och ett certifikat. Om kortet förloras får man ett nytt med exakt samma information av valfri ansluten bank i världen.
Om kortet skulle förloras kort spärras det och görs obrukbart när någon försöker använda det.

Ett smartcard som potentiellt lagrar mycket personlig information, och kan skyddas på olika standardiserade sätt alltså? Vad som tydligen är unikt är att konto och kort lagrar ovanligt mycket information och att dom är synkade:
I Sipt-världen kan bankkontot rymma allt som är av värde för användaren. Förutom pengar även körkort, pass, flygbiljetter. Allt finns samtidigt lagrat i en spegling på kortet.

Jag blir dock inte klok på hur informationen faktiskt skyddas. Lite mer Googling gör att jag hittar SIPT Technologies egen webblats. Där borde det finnas mer information. Tyvärr hittar jag bara några få sidor med information till media och investerare. Ingen närmare information om hur det faktiskt fungerar, eller vad som patenterats. Det pratas mycket om att det är patenterat, proprietärt och väldigt, väldigt säkert. Tydligen är grundarna Tomas Hägg och Chris Sprucefield dock kända säkerhetsexperter, eller som dom själva skriver:
The SIPT system, with its unique patented methodology, guarantees both operation and security.
SIPT started out in Sweden 1999 by the inventors Tomas Hägg and Chris Sprucefield – clearly familiar with the field of information technology in addition to technical as well as human aspects.

Inte helt klart för mig, utan för mig är dessa personer okända. Söker jag på Chris Sprucefield får jag 343 träffar, varav de flesta ser ut att handla om fotografering.

Känslan jag får är i stället att detta är ett Svensk exempel på Bruce Schneiers säkerhetsormolja. Varningar i stora ord om fara och katastrof, löften om att fixa alla problem, patent (tom metodpatent), proprietär lösning och massor med lösa floskler istället för fakta gör att detta känns allt annat än seriöst.

Men jag kan ha helt fel. Hägg och Sprucefield kan vara jätteduktiga och seriösa med lång erfarenhet och meritlista som säkerhetsexperter. (Är det så får ni läsare väldigt gärna rätta mig.) Det kan helt enkelt vara som Hägg själv skriver i sitt inlägg, att jag inte alls begriper det fantastiska med SIPT:

När jag pratade med den ansvariga chefen för avancerade kortbetalningar, för ett av världens största acceptansmärken för betalkort, avfärdades jag med kommentaren: “jag förstår inte”, som svar på min systemkritik och information om vårt metodpatent Secure information and payment technology.

Vad tror du?

Vill du ha ett bra aktietips?

November 15th, 2006

... Då har jag ett här för dig: Strunta i aktietips du får från okända i mail. Aktie-SPAM har blivit väldigt vanligt. Oftast riktar dom sig mot aktiemarknader i USA. Det intressanta är dock huruvida tipsen är bra eller inte. Det finns en webbplats som håller koll på hur bra tipsen är.

Genom att investera ett fiktiv summa i alla aktietips som kommer i SPAM och sedan följa börskursen kontrolleras hur bra tipsen egentligen är. Det ser inte så bra ut. Sett över alla aktietips är status i dag:















Total Cash Outlay: $70,987.00
Total Current Value: $15,021.70
Net Profit: - ($55,965.30)


Men scrolla även ner på sidan och kolla dom enskilda aktierna. Det är många olika aktier inom ett otal olika branscher. Men ett har dom uppenbarligen gemensamt. Dom minskar i värde.

Tro inte på dessa aktietips. Det handlar inte om välgörenhet, utan ett sätt för att få folk att köpa övervärderade aktier. Ofta följer det även med elak kod i dessa spam-mail. Så strunta i löftena om snabb rikedom, chans att få råd till en Dodge Viper (vad man nu skall med en sådan till) och behandla dessa mail på samma sätt som annan spam: Kasta dom direkt.

Public Key-krypto fyller 30

November 2nd, 2006

1976 publicerade Whitfield Diffie och Martin Hellman den första civila och öppna forskningsartikeln som beskrev assymetriskt krypto – krypto med publika nycklar. Att det gått 30 år, med bråk om privatpersoners rätt att ens känna till denna typ av kryptografi, till e-handel och skapandet av en hel civil kryptoindustri firades i Silicon Valley förra veckan.

Bland annat ordnades en paneldebatt med bland annat Diffie och Hellman, Microsofts Ray Ozzie, Jeff Bizdoz från Verisign och NSAs Brian Snow. Paneldebatten finns som Podcast och är enl mitt tycke klart värd att lyssna igenom.