Рацуха-2000
Нашел письмо от 2000 года, которое я писал в банк для улучшения безопасности кредитных карт. Оно так и осталось непрочитанным. Как видите, я уже тогда задумывался об улучшении мира.
Dear sirs!
I had 2 good ideas for improvement of tools and hardening of your cards.
I hope you’ll apply and thank me financially.
1. Payment by result.
If the buyer makes the prepayment, he should be sure, that will receive goods / service:
— The buyer transfers a certain sum to the account of the vendor
— The vendor confirms, that wants to receive this sum — for protection against the «dead» accounts
— The buyer has the right during some term to lock transfer (if the goods or service are not obtained)
— The buyer and vendor have not the right to receive the locked transfer
— The buyer can unlock transfer
At such scheme the dishonest vendors and the buyers will be determined on a great many of interlocks.
2. Protection of payment by credit cards
I tender to confirm payment not by the parole of a credit card, but by special transfer operation key, unique for each operation:
OperationKey=F(payment time, sum of payment, secret key of a card, account-receiver).
Such key can be sent is opened, since even if him and will intercept, it will be possible to transfer only given sum only to the given account and only once.
To evaluate a key it is possible as program, and on the special device, which one is made complete with a credit card (such as the calculator), that is more reliable, since any program can be hack.
In general scheme of BEST protection:
For each card two devices with an identical secret key are made, which one store in their memory and can not be extracted or read.
The maiden device will be used by the user on payment (as mentioned above), second is pasted into bank of memory of credit card company, on an input receives time, sum, the account-receiver and on an output gives a key of transfer operation. Thus, nobody knows cards’s secret code. It’s phisical impossible.
Is unique, the function of obtaining of a key should be protected enough from effraction, i.e. obtaining of value of a secret key from value of parameters.
Для тех кто не умеет в английский, перевел Гуглом, оригинала на русском не осталось:
Дорогие господа!
У меня 2 хороших идеи для улучшения инструментов и упрочнения ваших карт.
Я надеюсь, что вы подадите заявление и поблагодарите меня финансово.
1. Оплата по результату.
Если покупатель вносит предоплату, он должен быть уверен, что получит товар / услугу:
— Покупатель перечисляет определенную сумму на счет продавца
— Продавец подтверждает, что хочет получить эту сумму — для защиты от своих «мертвых» счетов
— Покупатель имеет право в течение некоторого срока заблокировать передачу (если товар или услуга не получены)
— Покупатель и продавец не имеют права на получение заблокированного перевода
— Покупатель может разблокировать перевод
При такой схеме недобросовестные продавцы и покупатели будут определяться по великому множеству блокировок.
2. Защита платежей с помощью кредитных карт
Я предлагаю подтвердить оплату не паролем кредитной карты, а специальным ключом операции перевода, уникальным для каждой операции:
OperationKey=F (время платежа, сумма платежа, секретный ключ карты, счет-получатель).
Такой ключ можно отправить вскрытым, так как даже если его и перехватят, то перевести только данную сумму можно будет только на данный счет и только один раз.
Оценить ключ можно как по программе, так и на специальном устройстве, которое комплектуется кредитной картой (например, калькулятором), что более надежно, так как любая программа может быть взломана.
В общем схема наилучшей защиты:
Для каждой карты изготавливаются два устройства с одинаковым секретным ключом, которые хранятся в их памяти и не могут быть извлечены или прочитаны.
Первое устройство будет использоваться Пользователем при оплате (как упоминалось выше), второе вставляется в банк памяти кредитной карточной компании, на вход поступает время, сумма, счет-получатель и на выходе выдает ключ операции перевода. Таким образом, никто не знает секретный код карты. Это физически невозможно.
Единственно, функция получения ключа должна быть достаточно защищена от воздействия, т. е. получение значения секретного ключа от значения параметров.
Надеюсь тебя поблагодарили в виде щедрого транша залуп?