Tatra banka u TatraPay opúšťa SHA-1, eshopy sa musia prispôsobiť. SK-NIC mal prestať TatraPay podporovať

Značky: bezpečnosťTatra bankadomény

DSL.sk, 1.3.2017

Jedna z trojice najväčších slovenských bánk Tatra banka v súčasnosti ešte pri svojich produktoch TatraPay a CardPay podporuje a využíva aj prelomenú hashovaciu funkciu SHA-1, od ktorej aktuálne odchádza.

Na strane eshopov budú potrebné zmeny, pričom minimálne jeden významný prevádzkovateľ pôvodne plánoval TatraPay kvôli týmto zmenám prestať podporovať.

Zmeny v Tatra banke

Tatra banka patrila k pionierom elektronických platieb na Slovensku a jej dve služby v tejto oblasti, TatraPay pre platby eshopom z účtov v Tatrabanke a CardPay pre platby kartami eshopom, sú na Slovensku mimoriadne rozšírené a populárne.

Aktuálne ale banka realizuje technickú zmenu, keď prestáva podporovať staršie verzie svojich protokolov pre tieto služby.

Na zmeny upozornilo server DSL.sk avízo správcu domény .sk SK-NIC, ktorý nám avizoval zmenu šifrovania u TatraPay. Tú potvrdila serveru DSL.sk aj banka. "Aktualizácia služieb sa týka zmeny spôsobu šifrovania," uviedla Tatra banka v stanovisku. Neskôr spresnila, že ide o úpravu bezpečnostných prvkov slúžiacich na autentifikáciu vzájomne elektronicky vymieňaných údajov medzi obchodníkom a bankou zabezpečujúcu vyššiu úroveň bezpečnosti.

Protokoly musia implementovať eshopy, ktoré pomocou nich po uskutočnení nákupu presmerujú zákazníka na stránky banky a umožnia mu zaplatiť z jeho účtu v Tatra banke alebo pomocou platobnej karty, pričom všetky potrebné údaje pre platbu sú predvyplnené. Navyše v rámci protokolu banka eshopu hneď potvrdí úspešné zrealizovanie platby a obchod tak môže hneď začať vybavovanie objednávok.

Podľa informácií banky novú verziu protokolov s novšou verziou šifrovania začala banka podporovať vo vlnách, pričom prví obchodníci ju začali používať v decembri 2014. Táto mala byť podľa dostupných informácií povinná pre nových obchodníkov a viaceré systémy pre realizáciu eshopov už dlho podporujú aj túto verziu.

Základná implementácia nových verzií protokolov podľa ich špecifikácie pri vyžiadaní si platby zrejme nepredstavuje výraznú zmenu oproti starším verziám, overenie odpovede od banky je už ale pri plnom dodržaní špecifikácie výrazne komplikovanejšie. Overiť je totiž podľa požiadaviek potrebné aj asymetrický ECDSA podpis, pričom asymetrické podpisovanie v skorších verziách prítomné nebolo.

V každom prípade banka dala obchodníkom podľa stanoviska pre DSL.sk na zmenu na novú verziu termín do konca marca, pričom obchodných partnerov podľa stanoviska informovala o zmene už v priebehu minulého roka.

Na viaceré konkrétne otázky, napríklad koľko percent eshopov podporujúcich TatraPay a CardPay využíva ešte staršiu verziu a koľko eshopov teda musí uskutočniť zmeny, banka bohužial neodpovedala.

Technické detaily zmien

Banka tiež neposkytla bližšie podrobnosti o zmenách. O aké zmeny v skutočnosti zrejme ide odhaľuje až dokumentácia protokolov TatraPay a CardPay daná do súvislosti s informáciou tvorcu softvérového riešenia PrestaShop pre eshopy.

Podľa jeho informácií banka prestáva podporovať šifrovania DES a AES256.

Podľa technickej príručky pre TatraPay verzie 3.3, ktorá je vo vlastnostiach dokumentu datovaná na marec 2015, a testovacej stránky pre obchodníkov sa DES a AES-256 používajú v kombinácii s hashovacou funkciou SHA-1 na autentifikáciu dát posielaných eshopom aj na odpoveď banky.

Konkrétne sa nimi šifruje pomocou tajného kľúča obchodníka SHA-1 hash suma údajov, ktoré majú autentifikovať.

Symetrický algoritmus šifrovania DES je považovaný za dávno nedostatočne bezpečný a štandardným riešením v banke bol evidentne už dlho AES-256 a či vôbec nejaký obchodník ešte používal DES nie je jasné. AES-256 sa na druhej strane považuje v súčasnosti za plne bezpečný a algoritmus je štandardom symetrického šifrovania využívaným v mnohých produktoch.

Dôvodom odchodu od kombinácie AES-256 s SHA-1 tak zrejme nemá byť prečo AES-256 a z pohľadu použitých kryptografických algoritmov ním môže byť len použitie hashovacej funkcie SHA-1, ktorá je už viacero rokov považovaná za čiastočne prelomenú.

Najnovšia verzia protokolov TatraPay a CardPay podporovaná podľa banky od konca 2014 je postavená na autenfikácii prenášaných údajov pomocou HMAC-SHA-256 a v prípade odpovede z banky aj asymetrickým digitálnym podpisom pomocou ECDSA.

Dopady využívania SHA-1

Hashovacia funkcia SHA-1 je v súčasnosti široko medializovaná po štvrtkovom zverejnení prvej SHA-1 kolízie, o ktorej sme detailne informovali v tomto článku.

Táto kolízia bola nájdená s využitím útoku zverejneného už v roku 2013, ktorý je prvým útokom na plnú SHA-1 s prakticky realizovateľnou náročnosťou.

Hoci banka neodpovedala na žiadne konkrétne technické otázky ohľadne dopadov kolízie SHA-1 na jej využitie tejto funkcie, podľa rýchlej analýzy protokolov použitý útok a určite kolízia zrejme nepredstavujú riziko pre staršie verzie protokolov TatraPay a CardPay využívajúcich SHA-1.

Tiež načasovanie zmeny bankou relatívne krátko po oznámení kolízie je evidentne náhodné, keď oznámenie zmeny dlho pred zverejnením kolízie potvrdzuje aj avízo PrestaShop z 29. januára.

"Kolízia SHA-1 nesúvisí s našim plánovaným prechodom na novú verziu protokolu, keďže ide o dlhodobú aktivitu banky, o ktorej boli informovaní naši obchodní partneri už v priebehu minulého roka," uviedla k tejto otázke banka.

SK-NIC a TatraPay

Evidentne nie každý obchodník je ale pripravený zmeny zrealizovať, keď správca národnej domény SK-NIC pôvodne v piatok avizoval ukončenie podpory platenia cez TatraPay ku koncu marca.

SK-NIC zmenu zdôvodnil zmenami na strane Tatra banky, pričom podľa informácií pre DSL.sk prichádza okrem zmeny šifrovania aj k odstráneniu rozcestníka medzi TatraPay a CardPay.

Práve TatraPay je zrejme populárnym spôsobom platenia registrátorov, keď zaplatenie je SK-NIC-u bankou okamžite potvrdené a systém automaticky zrealizuje zmeny v stave domén.

Tieto vlastnosti má samozrejme ale aj CardPay, ďalšie podobné spôsoby okamžitej platby zrejme SK-NIC nepodporuje.

Zmena plánu

V každom prípade potom ako sa o zmenu začal zaujímať server DSL.sk sa SK-NIC a Tatra banka dohodli na pokračujúcej podpore TatraPay až do spustenia nového registračného systému pre .sk domény k 31. máju.

Ako to bude s podporou TatraPay v novom systéme sa podľa informácií riaditeľa SK-NIC-u Petra Bíra pre DSL.sk ešte bude riešiť.

Či ide iba o individuálnu dohodu s SK-NIC alebo banka odkladá termín aj pre širší okruh obchodníkov zisťujeme.




Najnovšie články:



Diskusia:

nadpystek Od: lalecek | Pridané: 1.3.2017 15:35 Tatra banku by hlavni mali opustit/prestat podporovat klienti.. Odpovedať Známka: 1.2 Hodnotiť:

Re: nadpystek Od: ... | Pridané: 1.3.2017 15:44 To uz mali spravit v case nasadenia flashu. Odpovedať Známka: 7.2 Hodnotiť:

Re: nadpystek Od: Fako | Pridané: 1.3.2017 17:55 Ten ich pristup k flashu musi byt zrejme nejako motivovany... ;-) Odpovedať Známka: 8.8 Hodnotiť:

Re: nadpystek Od: jaaaaaaaaaaaaaaaaaj | Pridané: 2.3.2017 20:45 Ja som odišiel pred dvoma rokmi. Tých dôvodov je viac. TB - NIKDY VIAC Odpovedať Hodnotiť:

Re: nadpystek Od: 78569822365 | Pridané: 1.3.2017 16:28 Prečo? Majú radšej podporovať iné, rovnako drahé banky, alebo pochybné menej rozšírené banky s problematickou stabilitou a budúcnosťou? Odpovedať Známka: 0.0 Hodnotiť:

Re: nadpystek Od reg.: lamka1 | Pridané: 1.3.2017 16:30 Ostatne banky niesu rovnako drahe, povacsinou su lacnejsie az zadarmo. Odpovedať Známka: 0.3 Hodnotiť:

Re: nadpystek Od: asdfa | Pridané: 1.3.2017 16:36 tak v TB tiez nie je problem mat ucet zadarmo, pripadne za polovicu uz vobec nie...len blb tam plati plnych 7e Odpovedať Známka: 0.7 Hodnotiť:

Re: nadpystek Od reg.: Beast! | Pridané: 1.3.2017 17:04 Len blb platí vôbec niečo za vedenie účtu. Odpovedať Známka: 3.1 Hodnotiť:

Re: nadpystek Od reg.: palqo | Pridané: 1.3.2017 17:21 Nie je problem zadarmo? Si skus pozriet podmienky! Ak nie si zenaty, alebo podnikatel, tak je to nemozne. Musis splnit podmienky 2 z 3 kategorii, pricom 2 su manzelstvo a podnikanie. Cista diskriminacia. Vdaka Zuno to mam na 3 roky zadarmo a potom ich znova poslem kade lahsie. Snad dovtedy pribudne plnohodnotna nahrada Zuno... Odpovedať Známka: -0.5 Hodnotiť:

Re: nadpystek Od: syntaxterrorXXX | Pridané: 1.3.2017 17:28 Manzelstvo, vzhladom ku genderovej rovnosti a jeho uzatvorenie umoznujucim zakonom SR, nemoze byt sucastou podmienok platnej zmluvy. Odpovedať Známka: -5.7 Hodnotiť:

Re: p.s.: Od: syntaxterrorXXX | Pridané: 1.3.2017 17:55 V súlade so zákonom o bankách pri dodržaní podmienok oficiálne platnej bankovej licencie, vydanej na základe predmetného zákona, samozrejme. Odpovedať Známka: -6.7 Hodnotiť:

Re: nadpystek Od: Nasr | Pridané: 1.3.2017 18:01 V Tatre stale plati 100% zlava ak mas na ich produktoch v sucte 20000. Ak sa ozenis tak to budes mat problem dodrzat. Odpovedať Známka: 7.1 Hodnotiť:

Re: nadpystek Od: nechcesamiprihlasovať | Pridané: 2.3.2017 8:17 Alebo v súčte -20000. Tak ako ženatý aspoň toto dáš. Odpovedať Známka: 6.7 Hodnotiť:

Re: nadpystek Od reg.: palqo | Pridané: 2.3.2017 8:18 Hahaaa, tak to si pekne napisal :D Ale kto by v banke drzal 20000? Radsej ich dam zarabat a mam viac ako tych 2,50 mesacne :) Odpovedať Známka: 5.0 Hodnotiť:

Re: nadpystek Od: fundrak | Pridané: 2.3.2017 9:11 moja manzelka zaraba viac ako ja ;) Odpovedať Hodnotiť:

Re: nadpystek Od: quix_ | Pridané: 1.3.2017 18:53 mne sa ako plnohodnotna nahrada zuna javi fio.kazdopadne budem asi na 3 roky v tb zadarmo,ale este som si ucet neotvoril.stale aa rozhodujem.za pripadne nedoporucania fio aj s odovodnenim vopred dakujem :) Odpovedať Známka: 2.5 Hodnotiť:

Re: nadpystek Od: neviem meno | Pridané: 2.3.2017 8:32 Ja som zo ZUNA prešiel na FIO a paráda. Vedenie účtu zadara, žiadne blbé poplatky. Výber z bankomatu je ale spoplatnený (prvý výber v mesiaci zadara), nemajú zatiaľ svoju sieť bankomatov. To ale aj Zuno tak malo. Vo FIO mám pod jedným prihlasovací menom 2 účty (podnikateľský, súkromny) všetko pekne prehľadné, posielanie peňazí medzi mojími účtami na kliknutie, dve karty ktoré sprišli zasa zadara a aj platbu do ČR priamo v Českých korunách..... ....nechápem niekoho, že dá do banky peniaze a ešte im za to platí :D Odpovedať Známka: 7.5 Hodnotiť:

Re: nadpystek Od: quix_ | Pridané: 2.3.2017 16:27 fio ma oproti zunu jednu brutalnu vyhodu a to moznost vkladat hotovost na ucet. zasrana mbank ani zasrane zuno to neumoznovalo a platit za vklad na svoj ucet ci uz cez postovu poukazku ani vol nebude. takze otravovat (aj ked len 1-2x rocne) rodinneho prislusnika nech mi laskavo ide vlozit peniaze na svoj ucet a potom ich prevedie do zuna.. no nasrat. Odpovedať Známka: 3.3 Hodnotiť:

Re: nadpystek Od: aasami | Pridané: 2.3.2017 14:44 mne osobne pride mBank o dost lepsi od Zuno. Uz s nimi "bankujem" par rokov, a mozem len odporucit. Odpovedať Známka: -5.0 Hodnotiť:

Re: nadpystek Od: quix_ | Pridané: 2.3.2017 16:29 skus si vlozit hotovost do mbank :) Odpovedať Známka: 3.3 Hodnotiť:

Re: nadpystek Od: nestoji za rec | Pridané: 2.3.2017 7:53 haha, banka zadarmo... co zeres? Odpovedať Známka: -7.8 Hodnotiť:

Re: nadpystek Od: mif | Pridané: 2.3.2017 10:12 Lol, v kazdej banke sa da vybavit ucet zadarmo :D len si plat dalej :D Odpovedať Známka: 5.0 Hodnotiť:

Tutilok ty titulok Od: MaloSaKradne | Pridané: 1.3.2017 15:37 Tatár blanka, najlepší idú pred nami ! Odpovedať Známka: 2.5 Hodnotiť:

Re: Tutilok ty titulok Od: NooN | Pridané: 1.3.2017 16:49 Tak, tak, ... Same problemy s touto bankou.... Odpovedať Známka: -6.0 Hodnotiť:

Skvely clanok Od: MarkoMarko | Pridané: 1.3.2017 15:39 Skvely a detailny clanok, vyborne redakcia! Posielam kvety! Odpovedať Známka: 7.3 Hodnotiť:

SK-NIC. Od: 78569822365 | Pridané: 1.3.2017 16:30 Očividne ide o problém SK-NICu, ktorý nie je ochotný investovať do svojej predpotopnej stránky ani do vývoja iných služieb, prípadne zlepšenia prístupnosti pre používateľov viac ako nutné minimum. Keď človek porovná CZ-NIC a SK-NIC vidí rozdiel 5-10 rokov. Odpovedať Známka: 9.3 Hodnotiť:

Re: SK-NIC. Od: martincc | Pridané: 1.3.2017 18:30 Vo vsetkom ceskom a slovenskom je vidiet rozdiel 5-10 rokov :-( niekde aj 25 :) Odpovedať Známka: 3.8 Hodnotiť:

Re: SK-NIC. Od: assasd | Pridané: 1.3.2017 20:00 Neviem po kolkych rokoch bude mozne elektronicky sa zaregistrovat ako vlastnik domeny. Do maja je este stale potrebne vytlacit tlacivo, dat overit u notara a poslat postou. Vitajte na SLovensku SK-NIC je maly/velky tunel. Odpovedať Známka: 10.0 Hodnotiť:

Re: SK-NIC. Od: syntaxterrorXXX | Pridané: 1.3.2017 20:31 Zákon o ochrane genetických zdrojov rastlín pre výživu a poľnohospodárstvo holt neumožňuje podporovať export stromov vo forme degradovateľného toaletného papiera do Poľska či Maďarska, kým je možná garancia ich dlhodobého uskladňovania v inom stave. Odpovedať Známka: 0.0 Hodnotiť:

Re: SK-NIC. Od: mif | Pridané: 2.3.2017 10:13 Sak mali by ludia prejst na .eu a maju po vtakoch Odpovedať Hodnotiť:

äjfthig Od: trolitel puchov | Pridané: 1.3.2017 18:55 nepravda.v cechach nikdy takeho kokota ako magian kotleba nemali.ibaze by sme ich o 5 rokov predbehli :D Odpovedať Známka: -2.9 Hodnotiť:

Re: äjfthig Od: huanggg | Pridané: 1.3.2017 18:58 mozno preto lebo nemaju az tolko ciganov, tak zatial nikoho takeho nepotrebovali Odpovedať Známka: -0.9 Hodnotiť:

Re: äjfthig Od reg.: wradgio | Pridané: 1.3.2017 19:51 Jasné, vôbec v tom nie je ambícia bývalého (m)učiteľa nahrabať si, veď chudáčik sa musel od mamy presťahovať do straníckej centrály. Odpovedať Známka: 0.0 Hodnotiť:

Re: äjfthig Od: Tictac | Pridané: 2.3.2017 8:53 V Čechách po vojne vyhrali voľby komunisti, voči nim je Kotleba len malilinka figúrka Odpovedať Hodnotiť:

sdfsdgsg Od reg.: l1@p5 | Pridané: 1.3.2017 19:36 Uff, precitat tento clanok bol tvrdy oriesok .. ale je to dsl like, len tak dalej :) Odpovedať Hodnotiť:

sknic Od: Koumak | Pridané: 1.3.2017 23:29 Sk-Nic sa nehrnie do vylepsovani, caka na tucnu investiciu, cize inymi slovami povedane predaj, preto aj to zavedenie poplatkov a kreditneho systemu... Odpovedať Hodnotiť:

Pridať komentár