neprihlásený Štvrtok, 12. decembra 2024, dnes má meniny Otília
Tatra banka u TatraPay opúšťa SHA-1, eshopy sa musia prispôsobiť. SK-NIC mal prestať TatraPay podporovať

Značky: bezpečnosťTatra bankadomény

DSL.sk, 1.3.2017


Jedna z trojice najväčších slovenských bánk Tatra banka v súčasnosti ešte pri svojich produktoch TatraPay a CardPay podporuje a využíva aj prelomenú hashovaciu funkciu SHA-1, od ktorej aktuálne odchádza.

Na strane eshopov budú potrebné zmeny, pričom minimálne jeden významný prevádzkovateľ pôvodne plánoval TatraPay kvôli týmto zmenám prestať podporovať.

Zmeny v Tatra banke

Tatra banka patrila k pionierom elektronických platieb na Slovensku a jej dve služby v tejto oblasti, TatraPay pre platby eshopom z účtov v Tatrabanke a CardPay pre platby kartami eshopom, sú na Slovensku mimoriadne rozšírené a populárne.

Aktuálne ale banka realizuje technickú zmenu, keď prestáva podporovať staršie verzie svojich protokolov pre tieto služby.

Na zmeny upozornilo server DSL.sk avízo správcu domény .sk SK-NIC, ktorý nám avizoval zmenu šifrovania u TatraPay. Tú potvrdila serveru DSL.sk aj banka. "Aktualizácia služieb sa týka zmeny spôsobu šifrovania," uviedla Tatra banka v stanovisku. Neskôr spresnila, že ide o úpravu bezpečnostných prvkov slúžiacich na autentifikáciu vzájomne elektronicky vymieňaných údajov medzi obchodníkom a bankou zabezpečujúcu vyššiu úroveň bezpečnosti.

Protokoly musia implementovať eshopy, ktoré pomocou nich po uskutočnení nákupu presmerujú zákazníka na stránky banky a umožnia mu zaplatiť z jeho účtu v Tatra banke alebo pomocou platobnej karty, pričom všetky potrebné údaje pre platbu sú predvyplnené. Navyše v rámci protokolu banka eshopu hneď potvrdí úspešné zrealizovanie platby a obchod tak môže hneď začať vybavovanie objednávok.

Podľa informácií banky novú verziu protokolov s novšou verziou šifrovania začala banka podporovať vo vlnách, pričom prví obchodníci ju začali používať v decembri 2014. Táto mala byť podľa dostupných informácií povinná pre nových obchodníkov a viaceré systémy pre realizáciu eshopov už dlho podporujú aj túto verziu.

Základná implementácia nových verzií protokolov podľa ich špecifikácie pri vyžiadaní si platby zrejme nepredstavuje výraznú zmenu oproti starším verziám, overenie odpovede od banky je už ale pri plnom dodržaní špecifikácie výrazne komplikovanejšie. Overiť je totiž podľa požiadaviek potrebné aj asymetrický ECDSA podpis, pričom asymetrické podpisovanie v skorších verziách prítomné nebolo.

V každom prípade banka dala obchodníkom podľa stanoviska pre DSL.sk na zmenu na novú verziu termín do konca marca, pričom obchodných partnerov podľa stanoviska informovala o zmene už v priebehu minulého roka.

Na viaceré konkrétne otázky, napríklad koľko percent eshopov podporujúcich TatraPay a CardPay využíva ešte staršiu verziu a koľko eshopov teda musí uskutočniť zmeny, banka bohužial neodpovedala.

Technické detaily zmien

Banka tiež neposkytla bližšie podrobnosti o zmenách. O aké zmeny v skutočnosti zrejme ide odhaľuje až dokumentácia protokolov TatraPay a CardPay daná do súvislosti s informáciou tvorcu softvérového riešenia PrestaShop pre eshopy.

Podľa jeho informácií banka prestáva podporovať šifrovania DES a AES256.

Podľa technickej príručky pre TatraPay verzie 3.3, ktorá je vo vlastnostiach dokumentu datovaná na marec 2015, a testovacej stránky pre obchodníkov sa DES a AES-256 používajú v kombinácii s hashovacou funkciou SHA-1 na autentifikáciu dát posielaných eshopom aj na odpoveď banky.

Konkrétne sa nimi šifruje pomocou tajného kľúča obchodníka SHA-1 hash suma údajov, ktoré majú autentifikovať.

Symetrický algoritmus šifrovania DES je považovaný za dávno nedostatočne bezpečný a štandardným riešením v banke bol evidentne už dlho AES-256 a či vôbec nejaký obchodník ešte používal DES nie je jasné. AES-256 sa na druhej strane považuje v súčasnosti za plne bezpečný a algoritmus je štandardom symetrického šifrovania využívaným v mnohých produktoch.

Dôvodom odchodu od kombinácie AES-256 s SHA-1 tak zrejme nemá byť prečo AES-256 a z pohľadu použitých kryptografických algoritmov ním môže byť len použitie hashovacej funkcie SHA-1, ktorá je už viacero rokov považovaná za čiastočne prelomenú.

Najnovšia verzia protokolov TatraPay a CardPay podporovaná podľa banky od konca 2014 je postavená na autenfikácii prenášaných údajov pomocou HMAC-SHA-256 a v prípade odpovede z banky aj asymetrickým digitálnym podpisom pomocou ECDSA.

Dopady využívania SHA-1

Hashovacia funkcia SHA-1 je v súčasnosti široko medializovaná po štvrtkovom zverejnení prvej SHA-1 kolízie, o ktorej sme detailne informovali v tomto článku.

Táto kolízia bola nájdená s využitím útoku zverejneného už v roku 2013, ktorý je prvým útokom na plnú SHA-1 s prakticky realizovateľnou náročnosťou.

Hoci banka neodpovedala na žiadne konkrétne technické otázky ohľadne dopadov kolízie SHA-1 na jej využitie tejto funkcie, podľa rýchlej analýzy protokolov použitý útok a určite kolízia zrejme nepredstavujú riziko pre staršie verzie protokolov TatraPay a CardPay využívajúcich SHA-1.

Tiež načasovanie zmeny bankou relatívne krátko po oznámení kolízie je evidentne náhodné, keď oznámenie zmeny dlho pred zverejnením kolízie potvrdzuje aj avízo PrestaShop z 29. januára.

"Kolízia SHA-1 nesúvisí s našim plánovaným prechodom na novú verziu protokolu, keďže ide o dlhodobú aktivitu banky, o ktorej boli informovaní naši obchodní partneri už v priebehu minulého roka," uviedla k tejto otázke banka.

SK-NIC a TatraPay

Evidentne nie každý obchodník je ale pripravený zmeny zrealizovať, keď správca národnej domény SK-NIC pôvodne v piatok avizoval ukončenie podpory platenia cez TatraPay ku koncu marca.

SK-NIC zmenu zdôvodnil zmenami na strane Tatra banky, pričom podľa informácií pre DSL.sk prichádza okrem zmeny šifrovania aj k odstráneniu rozcestníka medzi TatraPay a CardPay.

Práve TatraPay je zrejme populárnym spôsobom platenia registrátorov, keď zaplatenie je SK-NIC-u bankou okamžite potvrdené a systém automaticky zrealizuje zmeny v stave domén.

Tieto vlastnosti má samozrejme ale aj CardPay, ďalšie podobné spôsoby okamžitej platby zrejme SK-NIC nepodporuje.

Zmena plánu

V každom prípade potom ako sa o zmenu začal zaujímať server DSL.sk sa SK-NIC a Tatra banka dohodli na pokračujúcej podpore TatraPay až do spustenia nového registračného systému pre .sk domény k 31. máju.

Ako to bude s podporou TatraPay v novom systéme sa podľa informácií riaditeľa SK-NIC-u Petra Bíra pre DSL.sk ešte bude riešiť.

Či ide iba o individuálnu dohodu s SK-NIC alebo banka odkladá termín aj pre širší okruh obchodníkov zisťujeme.


      Zdieľaj na Twitteri



Najnovšie články:

Google zlepšil v Androide ochranu proti sledovaniu Bluetooth značkami
NASA má vysvetlenie havárie helikoptéry na Marse, naďalej komunikuje
Let’s Encrypt začne budúci rok poskytovať certifikáty platné iba 6 dní
Zákazníci Orangu sa čoskoro nepripoja na TCP port 25, operátor ho začne blokovať
Celoštátne DVB-T uskutočnilo dve zmeny
Uvedený SSD pre PCI Express 5.0 s cenou 100 dolárov
Na Amazone sa začali predávať už aj nové autá
Telekom začne poskytovať pripojenie cez sieť popri vedeniach aj tretieho distribútora elektriny
Let’s Encrypt čoskoro prestane podporovať OCSP, prvé kroky začnú už v januári
Slovanet vo vianočnej akcii sprístupní takmer sto TV staníc


Diskusia:
                               
 

Tatra banku by hlavni mali opustit/prestat podporovat klienti..
Odpovedať Známka: 1.2 Hodnotiť:
 

To uz mali spravit v case nasadenia flashu.
Odpovedať Známka: 7.2 Hodnotiť:
 

Ten ich pristup k flashu musi byt zrejme nejako motivovany... ;-)
Odpovedať Známka: 8.8 Hodnotiť:
 

Ja som odišiel pred dvoma rokmi. Tých dôvodov je viac.
TB - NIKDY VIAC
Odpovedať Hodnotiť:
 

Prečo? Majú radšej podporovať iné, rovnako drahé banky, alebo pochybné menej rozšírené banky s problematickou stabilitou a budúcnosťou?
Odpovedať Známka: 0.0 Hodnotiť:
 

Ostatne banky niesu rovnako drahe, povacsinou su lacnejsie az zadarmo.
Odpovedať Známka: 0.3 Hodnotiť:
 

tak v TB tiez nie je problem mat ucet zadarmo, pripadne za polovicu uz vobec nie...len blb tam plati plnych 7e
Odpovedať Známka: 0.7 Hodnotiť:
 

Len blb platí vôbec niečo za vedenie účtu.
Odpovedať Známka: 3.1 Hodnotiť:
 

Nie je problem zadarmo? Si skus pozriet podmienky! Ak nie si zenaty, alebo podnikatel, tak je to nemozne. Musis splnit podmienky 2 z 3 kategorii, pricom 2 su manzelstvo a podnikanie. Cista diskriminacia. Vdaka Zuno to mam na 3 roky zadarmo a potom ich znova poslem kade lahsie. Snad dovtedy pribudne plnohodnotna nahrada Zuno...
Odpovedať Známka: -0.5 Hodnotiť:
 

Manzelstvo, vzhladom ku genderovej rovnosti a jeho uzatvorenie umoznujucim zakonom SR, nemoze byt sucastou podmienok platnej zmluvy.
Odpovedať Známka: -5.7 Hodnotiť:
 

V súlade so zákonom o bankách pri dodržaní podmienok oficiálne platnej bankovej licencie, vydanej na základe predmetného zákona, samozrejme.
Odpovedať Známka: -6.7 Hodnotiť:
 

V Tatre stale plati 100% zlava ak mas na ich produktoch v sucte 20000. Ak sa ozenis tak to budes mat problem dodrzat.
Odpovedať Známka: 7.1 Hodnotiť:
 

Alebo v súčte -20000. Tak ako ženatý aspoň toto dáš.
Odpovedať Známka: 6.7 Hodnotiť:
 

Hahaaa, tak to si pekne napisal :D Ale kto by v banke drzal 20000? Radsej ich dam zarabat a mam viac ako tych 2,50 mesacne :)
Odpovedať Známka: 5.0 Hodnotiť:
 

moja manzelka zaraba viac ako ja ;)
Odpovedať Hodnotiť:
 

mne sa ako plnohodnotna nahrada zuna javi fio.kazdopadne budem asi na 3 roky v tb zadarmo,ale este som si ucet neotvoril.stale aa rozhodujem.za pripadne nedoporucania fio aj s odovodnenim vopred dakujem :)
Odpovedať Známka: 2.5 Hodnotiť:
 

Ja som zo ZUNA prešiel na FIO a paráda. Vedenie účtu zadara, žiadne blbé poplatky. Výber z bankomatu je ale spoplatnený (prvý výber v mesiaci zadara), nemajú zatiaľ svoju sieť bankomatov. To ale aj Zuno tak malo.
Vo FIO mám pod jedným prihlasovací menom 2 účty (podnikateľský, súkromny) všetko pekne prehľadné, posielanie peňazí medzi mojími účtami na kliknutie, dve karty ktoré sprišli zasa zadara a aj platbu do ČR priamo v Českých korunách.....

....nechápem niekoho, že dá do banky peniaze a ešte im za to platí :D
Odpovedať Známka: 7.5 Hodnotiť:
 

fio ma oproti zunu jednu brutalnu vyhodu a to moznost vkladat hotovost na ucet. zasrana mbank ani zasrane zuno to neumoznovalo a platit za vklad na svoj ucet ci uz cez postovu poukazku ani vol nebude. takze otravovat (aj ked len 1-2x rocne) rodinneho prislusnika nech mi laskavo ide vlozit peniaze na svoj ucet a potom ich prevedie do zuna.. no nasrat.

Odpovedať Známka: 3.3 Hodnotiť:
 

mne osobne pride mBank o dost lepsi od Zuno. Uz s nimi "bankujem" par rokov, a mozem len odporucit.
Odpovedať Známka: -5.0 Hodnotiť:
 

skus si vlozit hotovost do mbank :)
Odpovedať Známka: 3.3 Hodnotiť:
 

haha, banka zadarmo... co zeres?
Odpovedať Známka: -7.8 Hodnotiť:
 

Lol, v kazdej banke sa da vybavit ucet zadarmo :D len si plat dalej :D
Odpovedať Známka: 5.0 Hodnotiť:
 

Tatár blanka, najlepší idú pred nami !
Odpovedať Známka: 2.5 Hodnotiť:
 

Tak, tak, ...
Same problemy s touto bankou....
Odpovedať Známka: -6.0 Hodnotiť:
 

Skvely a detailny clanok, vyborne redakcia! Posielam kvety!
Odpovedať Známka: 7.3 Hodnotiť:
 

Očividne ide o problém SK-NICu, ktorý nie je ochotný investovať do svojej predpotopnej stránky ani do vývoja iných služieb, prípadne zlepšenia prístupnosti pre používateľov viac ako nutné minimum. Keď človek porovná CZ-NIC a SK-NIC vidí rozdiel 5-10 rokov.
Odpovedať Známka: 9.3 Hodnotiť:
 

Vo vsetkom ceskom a slovenskom je vidiet rozdiel 5-10 rokov :-( niekde aj 25 :)
Odpovedať Známka: 3.8 Hodnotiť:
 

Neviem po kolkych rokoch bude mozne elektronicky sa zaregistrovat ako vlastnik domeny.
Do maja je este stale potrebne vytlacit tlacivo, dat overit u notara a poslat postou. Vitajte na SLovensku
SK-NIC je maly/velky tunel.
Odpovedať Známka: 10.0 Hodnotiť:
 

Zákon o ochrane genetických zdrojov rastlín pre výživu a poľnohospodárstvo holt neumožňuje podporovať export stromov vo forme degradovateľného toaletného papiera do Poľska či Maďarska, kým je možná garancia ich dlhodobého uskladňovania v inom stave.
Odpovedať Známka: 0.0 Hodnotiť:
 

Sak mali by ludia prejst na .eu a maju po vtakoch
Odpovedať Hodnotiť:
 

nepravda.v cechach nikdy takeho kokota ako magian kotleba nemali.ibaze by sme ich o 5 rokov predbehli :D
Odpovedať Známka: -2.9 Hodnotiť:
 

mozno preto lebo nemaju az tolko ciganov, tak zatial nikoho takeho nepotrebovali
Odpovedať Známka: -0.9 Hodnotiť:
 

Jasné, vôbec v tom nie je ambícia bývalého (m)učiteľa nahrabať si, veď chudáčik sa musel od mamy presťahovať do straníckej centrály.
Odpovedať Známka: 0.0 Hodnotiť:
 

V Čechách po vojne vyhrali voľby komunisti, voči nim je Kotleba len malilinka figúrka
Odpovedať Hodnotiť:
 

Uff, precitat tento clanok bol tvrdy oriesok .. ale je to dsl like, len tak dalej :)
Odpovedať Hodnotiť:
 

Sk-Nic sa nehrnie do vylepsovani, caka na tucnu investiciu, cize inymi slovami povedane predaj, preto aj to zavedenie poplatkov a kreditneho systemu...
Odpovedať Hodnotiť:

Pridať komentár