Buongiorno a tutta la lista, volevo chiedervi cosa ne pensate della sicurezza dei biglietti di Trenitalia che si possono acquistare on-line (non i ticketless, ma gli online ticket per i treni regionali).
Da quello che ho visto, comprando un biglietto viene generato un pdf con i dati relativi al viaggiatore e al viaggio (nome cognome, partenza, destinazione, giorno, orario, treno ecc.) insieme a un codice a barre in due dimensioni (quindi una funzione bidirezionale) che contiene tutti i dati che abbiamo appena detto. Inoltre c'e' una sorta di codice di controllo che probabilmente e' la solita funzione di hash unidirezionale. Nella fase di verifica (che non ho mai visto dal vivo) immagino che l'addetto FS abbia un lettore di codice a barre bidimensionale che gli faccia apparire su uno schermo tutti i dati scritti sul biglietto, insieme alla conferma del fatto che il codice di controllo e' corretto. Quindi, se questo fosse lo scenario, la sicurezza degli OnlineTicket di Trenitalia si baserebbe su una funzione di hash che riceve in pasto i dati del biglietto insieme a una chiave simmetrica segreta che, a questo punto, deve essere anche sul lettore... Hummm, mi sembra un po' strano, c'e' qualcuno che ne sa di piu'? Saluti Raffaele
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
