NOVÁK, A. Užití protokolu ACP pro platební systémy [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2013.
Cílem práce studenta Nováka mělo být navhrnout platební systém na platformě protokolu ACP, tedy vypracovat odpovídající komunikační scénáře a plně je definovat a zhodnotit z hlediska bezpečnosti, univerzality a datové náročnosti. Přes časté konzultace je výsledek velmi slabý. Navržené scénáře nejsou zdůvodněny a zejména nejsou plně definovány, například nejsou definovány formáty datových polí (AVP). Student měl zdůvodnit, jaké byly důvody návrhu schémářů tak, jak jsou předkládány. Bezpečnostní hodnocení je nekompletní, například i přes moje výslovné upozornění nebyla vyřešenost zranitelnost navržených scénářů útokem man-in-the-middle na první zprávu START, přenášející nechráněné údaje o čísle účtu a částce. Stejně tak není řešeno nebo zdůvodněno utajení účastníků a obsahu transakcí. Z formálního hlediska vytýkám nelogické členění celé práce, hierarchie nadpisů nedává smysl. Práci hodnotím celkově E/55.
Cílem práce bylo vytvořit scénáře využití protokolu ACP v platebních systémech a tyto scénáře zhodnotit. V první kapitole autor uvádí přehled existujících platebních systémů. Slabinou této kapitoly je skutečnost, že uvedený přehled je nesystematický, nekonzistentní a prost jakékoliv analýzy. Autor tak prakticky nezískal žádné znalosti, které by mohl uplatnit ve svých scénářích. Druhá kapitola je věnována popisu protokolu ACP. Jádrem práce je třetí kapitola, kde jsou uvedeny dva scénáře použití protokolu ACP v platebních systémech. Oba tyto scénáře lze hodnotit jako vágní, nedostatečně zdůvodněné a prakticky neimlepementovatelné. Například ve scénáři z kapitoly 3.2.1 není zdůvodněno, proč zákazník posílá ve zprávě Start namísto identifikátoru objednávky její heš. Vždyť se prakticky jedná o variabilní symbol platby, který není zapotřebí utajovat. Popis obsahu zpráv Offer a Specification je nejasný a zmatený - autor tam uvedl i takový nesmysl, že se v těchto zprávách přenášejí soukromé klíče! U přenosu tajného PINu autor neuvádí, že tento přenos musí být v zašifrované podobě. Autor dále evidentně netuší, že existují mezinárodní kódy bank a účtů. V tab. 3.1 (s. 35) jsou uvedeny informace přenášené v jednotlivých zprávách, ale autor pro ně nedefinoval vhodná AVP. Analýza bezpečnosti scénářů (s. 39) je nekomplexní a neodborná. Jakým způsobem je například zabráněno útoku, v němž útočník v první zprávě Start nahradí číslo účtu obchodníka svým číslem účtu? Celkově konstatuji, že zadání nebylo splněno. Navržené scénáře jsou nepoužitelné a obsahují hrubé věcné i bezpečnostní chyby. Z tohoto důvodu práci hodnotím 46 body, tj. stupněm F - Nevyhovující.
eVSKP id 66613