Re: Spieglein, Spieglein an der Wand - Fwd: Citibank knebelt Forscher per Gericht

[Lutz Donnerhacke <lutz@iks-jena.de>]

* Mathias Gygax wrote:
>   eure mirrors sind gefragt. der cryptome.org link tut noch.

Cambrigde selbst auch. Habe eine Kopie mit neuem Namen im FTP.

>   könnte jemand crypto-versiertes kurz anführen wie der algo
>   im konkreten funktioniert?

Trivial, wie immer:
  - Der altbekannte und von ZKA nicht mehr empfohlene PIN
    Berechnungsalgorithmus ist hier im Einsatz.
  - Die Konto-/Kartennummer wird mit einem Secret DES verschlüsselt.
    Die hexadezimale Repräsentation wird zeichenweise auf 0-9 gemappt.
    Die PIN wird mit der Berechnung verglichen.
  - Viele Automaten haben nun den Fehler, daß die Mappingtabelle von Hex
    auf Dezimal ungeschützt ist, da sie ja unkritisch ist.
  - Wenn man nun diese Tabelle modifiziert (z.B. alles auf '0' mappt, bis
    auf die Ziffer '7'), dann kann man auf die PIN '0000' prüfen und kommt
    zum Schluß, daß die Ziffer '7' nicht enthalten war.
  - Diese Informationsgewinnung kann man ausbauen und so in wenigen Tests zur
    PIN gelangen.

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de