<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Oct 1, 2015 at 9:31 AM, John Levine <span dir="ltr"><<a href="mailto:johnl@iecc.com" target="_blank">johnl@iecc.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">In article <CAB7TAM=86+aXkfzgdax66JPNQ1GKgzpwqJvwrEeCaOfL=<a href="mailto:5dLmA@mail.gmail.com">5dLmA@mail.gmail.com</a>> you write:<br>
>-=-=-=-=-=-<br>
<span class="">><br>
>> With chip+signature, you say that's not my signature, and now it's up<br>
>> to to the merchant and the bank to produce a signature that looks like<br>
>> yours.<br>
><br>
><br>
>Here in the USA, you're generally asked to sign a digitizer pad, which<br>
>means.....<br>
<br>
</span>I always write "not me" or "fluffy" on the digitizer pad.<div class=""><div class="h5"><br></div></div></blockquote><div> </div><div>There are two issues here.  </div><div>-) One is distribution and installation of technology.</div><div>Any change that does not have a transition plan would be difficult to </div><div>install in a system as large as the bank card system.   In this case </div><div>policy can change... once technology has been installed.</div><div><br></div><div>Now for the crypto part to keep this discussion here.<br></div><div>-) The not-me fluffy digitizer pad trick could be a simple smart phone generated </div><div>code or word.  <br><br>Consider an application that could use date time and a personal seed</div><div>to generate a short code to scribble on the pad.  The application</div><div>can log the date time and general location.. local, or in the cloud.<br>Digitized pads are sloppy but,  Tom52  (TomXX only the XX is generated</div><div>in large easy to see characters)  or something close would </div><div>be used once at a single date and time that could be logged for audit</div><div>by something as simple as an email to self message.  Some sufficiently </div><div>unpredictable two digit code to add behind a signature word like Fluffy</div><div>would set the stage for "show me the signature" no it is not ... 52</div><div>was not used at that location and not used within an hour/day of the</div><div>reported transaction.  <br><br>Something like the google + trick for email filters.   Where the chars</div><div>to the right of + are ignored but useful. </div></div><div class="gmail_extra"><br></div><div class="gmail_extra">$ date | md5sum | cut -c 7,11</div><div class="gmail_extra">5a</div><div><br></div>Signed   -- Fluffy5A<br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>