Vlákno názorů k článku Bezpečnost přístupových karet, aneb klonování prakticky od V - Pokud vím, tak se správně (podle specifikace) UID...

Pokud vím, tak se správně (podle specifikace) UID má používat pouze k výběru karty, pokud jich bylo ke čtečce přiloženo více na jednou.
Přístup na být povolen, až na základě kryptografického podpisu nahraného na kartě.

Teoreticky ano. Prakticky se kryptovane uloziste na tech kartach vyuziva jen zridka.

To je pravda. Na vývoj je to lacinější a zadavatel (ten, kdo to platí), nepozná při předávání díla rozdíl. Dokonce bez kryptografie vše funguje hladčeji, dají se dělat kdejaké bastly.

Odpovědnost dodavatelů se vytratila. Máme zákonem stanovené záruky za hardware, ale za to jak je vyprasený software nikdo neručí. Přitom software začíná být důležitější obor, než umět vyrobit hmotnou podstatu.

Bojuju s tím dnes a denně. Zákazníci očekávají plnou kvalitu díla, ani je nenapadne, že existují bezpečnostní rizika. Každého zajímá jen KPI, tedy co nejlevněji splnit specifikované minimum - přitom v oblasti bezpečnosti zákazníci požadavky vůbec nekladou.

Dříve, nebo později bude muset vzniknout celý obor a odvětví práva, které se bude zaobírat softwarem ne jen z pohledu autorských práv, ale i z pohledu jakosti, shody s určitými standardy. Když výrobce dodá zabezpečovačku, u které se dá čip zkopírovat, je to stejná vada, jako kdyby šlo u alarmu jen přestřihnout drát a umlčet poplach.

No vidíte, já spíš narážím na to, že se nás snaží činnit odpovědnými i za chyby v procesorech Intel.

To je v podstatě to samé. Zadavatel odmítá vnímat svoji odpovědnost při výběru - třeba i při výběru Intel platformy.
Ostatně, označení problémů Intelu za "chybu" je dost nepřesné. Spíš se vyvinulo vnímání určitých bezpečnostních rizik, které před lety nebylo. Je to jako vinit Ford, že v modelu T neměl ABS a airbagy, vždyť je to základ bezpečnosti.

Vnímám to naprosto stejně. Nejlepší byl hovor s rozčíleným dodavatelem, že prý tomu nerozumím a že jejich řešení je bezpečné. Tak jsem mu poděkoval za názor a připomněl mu, že k v rámci testování jsme nastavili jen shodné UID. Na to mi řekl, že to prověří a už se neozval. :-)