|
2.9, Леголас (ok), 13:03, 10/01/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
точно, всего то и надо: тихо и незаметно разобрать токен, «залипнуть» на несколько часов рядом с ним, а опосля вернуть всё как было -- ниндзя без работы не останутся
| |
|
3.12, Онаним (?), 13:06, 10/01/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Не надо ничего возвращать как было. Из токена ты получаешь "взад" закрытый ключ, который далее заливаешь в выглядящий точно так же токен. Это если предположить "возврат владельцу". В общем же случае токеном может быть вовсе не брелок для аутентификации например, а TPM-модуль, или что-то ещё, где наличия закрытого ключа может быть достаточно для получения доступа ко всем хранящимся зашифрованным данным.
| |
|
4.30, pofigist (?), 14:58, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Во всех нормальных ключах закрытый ключ нельзя извлечь или залить - он генерируется внутри ключа и недоступен через внешние интерфейсы...
| |
|
5.43, Онаним (?), 15:19, 10/01/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
Написал ниже, повторюсь.
В свою собственную начинку можно залить что угодно. И представиться исходным ключом, выполняя его функцию.
Эмулятор ключа на маленьком ARM - не шибко дорого, не считая реверсинга протокола.
| |
|
6.116, Аноним (116), 09:40, 11/01/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
Надо еще счетчик подписей, кроме закрытого ключа украсть, иначе палево.
Пациенту воры должны оставлять идентичный чип, с тем же серийным номером, тоесть тот-же. Иначе судебные эксперты могут увидеть подмену ключа.
Счетчик можно искусственно увеличить на необходимое ворам количество подписей.
10 часов, пока человек отсыпается в выходные вполне хватит для воровства закрытого ключа, счетчика и скрытия следов манипуляции с корпусом. Или любой ночи если ключ остается на работе.
Короче прощайте квартиры, фирмы, собственность
https://www.opennet.ru/openforum/vsluhforumID10/5564.html
https://www.opennet.ru/openforum/vsluhforumID10/5567.html
встречаем "госуслуги" от Путина и "единой россии"
| |
6.128, pofigist (?), 09:42, 12/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣
| |
|
7.129, Онаним (?), 09:49, 12/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣
Так и я о том. Маленький арм и софтовый эмулятор :)
| |
|
8.135, Аноним (135), 12:19, 12/01/2021 [^] [^^] [^^^] [ответить] | +/– | Только на своей стороне такое можно, хоть стационарник с qemu и все делать прогр... текст свёрнут, показать | |
|
|
|
|
4.102, Аноним (102), 01:41, 11/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
ничего ты никуда не заливаеш, так как там нет такой возможности в принципе.
| |
|
5.105, Аноним (105), 02:18, 11/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
ложь. первоначально на чипе ничего нет и первичная зугрузка (прожиг) ключа производит сам пользователь.
другой вопрос скажем если речь идет о разовой атаке, то на кой хрен возвращать ключи.
чинить сейф после взлома?
| |
|
6.117, pofigist (?), 10:04, 11/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Мой дорогой, анонимный и безграмотный друг - учи матчасть!
Закрытый ключь - не заливается, а генерируется внутри ключа и всегда находится в зоне памяти, аппаратно недоступной с внешних интерфейсов.
| |
|
|
|
3.78, Аноним (78), 20:36, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
...залипнуть <<с иишечкой и оборудованием за сотни нефти>> на несколько часов рядом с ним...
Добавил пропущенное
| |
|
4.109, Аноним (-), 04:26, 11/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Месячная зарплата нормального айтишника - не такие уж и сотни нефти.
| |
|
5.115, Аноним (115), 06:31, 11/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Для сведения - один ослик у них под лям стоит, остальное хз, но навскидку тоже не оч. дешёвое.
| |
|
6.142, Атон (?), 22:38, 12/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
нормальный айтишник получает два ляма долларов в год.
если ты получаешь меньше - катись вон из профессии.
| |
|
7.146, Аноним (-), 02:28, 13/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> нормальный айтишник получает два ляма долларов в год.
Блин, чувак, тебе не говорили что кроме ceo и топов и народ попроще? Менять картридж CEO - пижонство!
| |
|
8.153, Атон (?), 09:23, 13/01/2021 [^] [^^] [^^^] [ответить] | –1 +/– | АЙтишники не меняют картриджи Для картриджей у айтишников есть пихота, линейны... текст свёрнут, показать | |
|
|
6.145, Аноним (144), 02:26, 13/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Для сведения - один ослик у них под лям стоит, остальное хз,
> но навскидку тоже не оч. дешёвое.
Даже самые пижонские флюки, теки и даже экзоты типа gsm-анализаторов вроде дешевле ляма? Или это про рубли было?
| |
|
|
|
|
|
|
2.3, Онаним (?), 12:54, 10/01/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Langer ICR HH 500-6
Это уже не паяльник, а действительно серьёзный измеритель полей малой мощности.
Видимо атака основывается на чтении поля, наведённого IC.
| |
|
3.6, Страдивариус (?), 13:00, 10/01/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Михаил не имел ввиду, что этот прибор - паяльник. Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ
| |
|
4.7, Онаним (?), 13:00, 10/01/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Терморектальный криптоанализ скрытно не сделаешь.
А вот утерянный ключ проанализировать скрытно - вполне.
| |
|
5.8, Онаним (?), 13:02, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
И речь даже не о создании дубликатов, которые не нужны - утерянный ключ и так есть.
Речь о получении исходного закрытого ключа из IC, которые его просто так не отдают.
Вряд ли подобная атака ограничивается одним вендором.
| |
5.11, funny.falcon (?), 13:06, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Вопрос, зачем его анализировать, если он у тебя в руках? Разве что, надеяться, что хозяин не заметит, что корпус стал немного другим, и не заподозрит, что его разбирали.
| |
|
6.13, Онаним (?), 13:08, 10/01/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
Тоже возможно, кстати. Не надо возвращать разобранный токен. Берём свой с точно таким же корпусом, но другой начинкой. Заливаем исходный private key. Возвращаем владельцу.
| |
|
7.31, pofigist (?), 15:00, 10/01/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Его нельзя залить - приватный ключь не доступен через внешний интерфейс.
| |
|
8.32, Онаним (?), 15:02, 10/01/2021 [^] [^^] [^^^] [ответить] | +4 +/– | Внимательнее другой начинкой В свою собственную начинку можно залить что угод... текст свёрнут, показать | |
|
|
10.39, Онаним (?), 15:13, 10/01/2021 [^] [^^] [^^^] [ответить] | +3 +/– | Эмулятор токена на маленьком ARM в принципе не особо проблема Выйдет много деше... текст свёрнут, показать | |
|
|
|
|
|
7.19, Онаним (?), 13:55, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> PIN-код неизвестен
В зависимости от механики слияния пин-кода с ключом он может вообще быть не нужным.
Ну и сложность пин-кода не большая, в итоге для например расшифровки данных он банально подбирается.
| |
|
8.22, пох. (?), 14:11, 10/01/2021 [^] [^^] [^^^] [ответить] | +/– | И вот это - неэффективно или неправильно используемый pin - гораздо более серьез... текст свёрнут, показать | |
|
9.40, Онаним (?), 15:14, 10/01/2021 [^] [^^] [^^^] [ответить] | +/– | Абсолютно так Более того, допустим у беспроводных ключей типа гостиничных рум-л... текст свёрнут, показать | |
|
|
|
|
5.65, Аноним (65), 18:24, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Терморектальный криптоанализ скрытно не сделаешь.
Более того - а что, если тебе сделать терморектальный криптоанализ, ты сможешь сказать ключ КОТОРЫМ ОПЕРИРОВАЛ ЧИП? Ты этот ключ хоть раз в жизни видел? Как максимум ты можешь поспособствовать получению токена. Но если ты его быстренько разломал и спустил в унитаз когда запахло жареным, например, шансы получить его все-таки маргинальны. И придется обойтись без него.
| |
|
4.26, Аноним84701 (ok), 14:39, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ
Пользователи токенов хранимые внутри токена ключи обычно не знают (и нередко только смутно и в общих чертах, если вообще, подозревают о их наличии).
Так что терморектальная криптостойкость тут как раз на высоте.
| |
|
5.47, Аноним (47), 16:07, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
А паяльником можно не только заставить человека что-то рассказать, но и что-то сделать для обладателя паяльника. Зачем извлекать ключ и "ключ украли, сделки были недействительны, это всё киберпреступники, верните мне назад деньги на счёт", если можно "находясь в здравом уме и твёрдой памяти добровольно заключил сделку" (а если вдруг недобровольно, то вот он, паяльник, далеко не убран и ещё не остыл, думать надо, прежде чем клеветать на столь уважаемых людей)?
| |
5.86, Michael Shigorin (ok), 21:23, 10/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Пользователи токенов хранимые внутри токена ключи обычно не знают
Гм, Вы же понимаете, что ёрничанье было вовсе не про извлечение ключа -- кому он нужен сам по себе...
PS для особо дальновидных: нет, я не поддерживаю такие методы; но если я строю оборону, то мне полезно уметь думать и так, как думает атакующий.
| |
|
4.103, Аноним (102), 01:44, 11/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
и как "пяльник" поможет извлечь закрытый ключи из чипа, куда нет доступа даже у владельца самого ключа?
| |
|
|
2.16, Ordu (ok), 13:22, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Паяльник, как метод взлома криптографии, монополизирован властьпридержащими. Всем остальным его крайне затруднительно использовать. Дешевле $10k влить в более изощрённые инструменты.
| |
|
3.28, Аноним (47), 14:47, 10/01/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Если у тебя есть $10k чтобы их взять и выложить за такое оборудование, то ту уже под полностью под колпаком власть придержащих. Не говоря уже о том, что все покупки подобного оборудования тщательно мониторятся. Это не буханка хлеба.
| |
|
4.46, Ordu (ok), 15:47, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если у тебя есть $10k чтобы их взять и выложить за такое
> оборудование, то ту уже под полностью под колпаком власть придержащих.
Это стоимость автомобиля. Такого чтоб не совсем корыто. Держать под колпаком всех, у кого есть бабки на автомобиль, колпаков не хватит.
> Не
> говоря уже о том, что все покупки подобного оборудования тщательно мониторятся.
> Это не буханка хлеба.
Мониторятся, наверное. Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.
| |
|
5.48, Аноним (47), 16:11, 10/01/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Те, у кого есть бабки на автомобиль - купят себе автомобиль. Взять и выложить такие бабки на детские игрушки они себе позволить не могут.
>Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.
Конечно заметит. Просто в базу запись пойдёт с пометкой "налоги уплачены" с обязательным отстёгиванием большей части куда надо. Иначе замечальщика самого в расход пустят.
| |
|
|
Часть нити удалена модератором |
7.81, Аноним (47), 21:07, 10/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не надо мне рассказывать, как европейцы "о*****о" живут. Располагаю информацией из первых рук.
| |
|
8.87, Owlet (?), 21:24, 10/01/2021 [^] [^^] [^^^] [ответить] | +2 +/– | Нравятся мне эти разоблачения от людей, которые на западе были пару раз проездом... текст свёрнут, показать | |
|
9.101, Аноним (-), 23:30, 10/01/2021 [^] [^^] [^^^] [ответить] | +/– | 5к евро брутто в месяц - это прикидочно на руки 3 2-3 5к в лучшем случае, квар... большой текст свёрнут, показать | |
|
8.111, Аноним (111), 05:34, 11/01/2021 [^] [^^] [^^^] [ответить] | +1 +/– | Расходы - да, знаете, если железку за 10k купить то это, конечно, расходы Вот ... большой текст свёрнут, показать | |
|
9.120, Аноним (47), 13:18, 11/01/2021 [^] [^^] [^^^] [ответить] | +/– | 0 Не знаю никаких Дудей 1 Ты кто вообще такой, чтобы судить, кто заслуживает ... большой текст свёрнут, показать | |
|
10.149, Аноним (-), 03:19, 13/01/2021 [^] [^^] [^^^] [ответить] | +/– | Вот именно А я не хочу жить в местности населенной агрессивными глупыми зомби ... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
4.45, Ordu (ok), 15:41, 10/01/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
>> властьпридержащими
> Властями предержащими.
Моя бабушка говорила "властьпридержащими". И мне начхать на тебя.
| |
|
3.52, Аноним (52), 16:43, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Паяльник, как метод взлома криптографии, монополизирован
Зато бутылки более мобильны и универсальны. Клиенту всегда можно предложить выбрать цвет. Так что эти ваши жрущие энергию приблуды устарели
| |
|
4.67, Аноним (-), 18:32, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Как тебе бутылка поможет от разломаного и спущеного в унитаз токена? Как максимум она может моральное удовлетворение какому-нибудь садисту принести, но никаких дивидендов кроме этого в такой ситуации вроде бы не просматривается. Даде трижды обутыленый пользователь не восстановит ключ который он не знал.
| |
|
5.100, Аноним (100), 23:27, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Толи дело паяльник . Конечно, дедуля, иди в ногу со временем, зеленые технологии и все такое
| |
|
|
3.76, Michael Shigorin (ok), 19:28, 10/01/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Паяльник, как метод взлома криптографии, монополизирован властьпридержащими.
Мне бы Вашу уверенность.
Если кто не понял -- #2 было о том, что метод-то интересный, но в очередной классической щитомечевой проблеме вчистую проигрывает экономически, при этом не давая очевидных преимуществ (зато давая возможность предсказуемо поймать за руку на удалённой стороне). Поэтому в то, что при необходимости выберут его, а не пытки водой, как в Гуантанамо -- у меня вот никакой нет. Хорошо, что у нас-то не девяностые, когда много кому хватало и утюга наружно... это вот янки теперь не позавидуешь -- на полстраны спектрографов и прочего барахла не напасёшься (да и расистское это оборудование, поди, ниггерам непонятное), а всего лишь банить -- явно полумера.
| |
|
4.77, Ordu (ok), 19:55, 10/01/2021 [^] [^^] [^^^] [ответить] | +3 +/– | Как ты сравниваешь экономически Чисто по стоимости оборудования Ты понимаешь, ... большой текст свёрнут, показать | |
|
5.83, Аноним (47), 21:20, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
>для того, чтобы воспользоваться паяльником, тебе придётся либо искать исполнителей в среде уголовников
Человек, который использует этот метод для атаки на другого человека - уже уголовник.
>эпизод членовредительства с последующей инвалидностью или даже "мокрухи"?
А что есть много причин оставлять пытаемых в живых? Если человека пытают, то уже изначально готовы его замочить.
| |
5.88, Michael Shigorin (ok), 21:30, 10/01/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
> С этим оборудованием тоже риски есть -- оборудование и ключ тоже как-то
> где-то достать надо, но это _другие_ риски.
А вот здесь попрошу подробнее ;-) С упором на законность и экономику, разумеется -- Вы совершенно точно поняли намёк.
> У тебя вроде там знакомый живёт, ты говорил?
Достаточно -- и уехавших, и местных.
| |
|
6.114, Ordu (ok), 06:25, 11/01/2021 [^] [^^] [^^^] [ответить] | +/– | Мне кажется, это мой вопрос, не Мой аргумент -- самый общий из возможных если ... большой текст свёрнут, показать | |
6.127, Ordu (ok), 04:56, 12/01/2021 [^] [^^] [^^^] [ответить] | +/– | А, и я вот подумал, что экономический анализ расклада обязательно должен учесть,... большой текст свёрнут, показать | |
|
|
|
|
|
3.63, Ordu (ok), 17:55, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
> В развитой цывилизации нет криптографии.
В достаточно развитой цивилизации криптография неотличима от магии.
| |
|
4.68, Аноним (-), 18:36, 10/01/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если посмотреть на современное крипто, не настолько уж и неправда. Сколько человек вообще на самом деле понимает как это работает, и тем более - в деталях? Какой процент вебмакак хотя-бы очень приблизительно догадывается что на самом деле случится, когда они дернут вон ту функцию?
- Как работает машина?
- Ну, я поворачиваю ключ, машина делает дрр, я жму на педальки и она едет.
По-моему нормальное описание последовательности заклинаний или шаманских ритуалов, не? :)
| |
|
5.73, Ordu (ok), 19:01, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да, правильнее было бы сказать так:
Любая достаточно развитая технология неотличима от магии.
Но я не Артур Кларк, чтобы такие глубокие мудрости толкать. Я скромнее.
| |
|
6.113, Аноним (-), 05:51, 11/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот про крипто это особенно верно. Реально очень специфичный раздел черной магии, понимаемый очень немногими, писать новые заклинания умеют только великие. Остальным, если они не тупые светит разве что применение готовых заклятий и ритуалов, в надежде что это не #$%нет из-за кривых рук и неправильных слов. И даже это удается немногим, так что их остальные сдуру за нормальных волшебников потом считают. Хоть они и фокусники декоративные на самом то деле.
| |
|
|
|
|
|
1.4, КО (?), 12:54, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"необходимо наличие физического доступа к токену"
перестал читать
| |
|
2.5, Онаним (?), 12:56, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну в общем да. Сферическая атака в вакууме на утерянный ключ, который к тому же ещё разломать придётся.
С другой стороны, при комбинации с человеческим фактором (i.e. несообщение об утере ключа)...
Самое поганое, что судя по оборудованию, подобная атака потенциально возможна почти на любые типы ключей.
| |
|
3.18, Ordu (ok), 13:36, 10/01/2021 [^] [^^] [^^^] [ответить] | +/– | Почему сразу на утерянный Людей можно купить Если покупать их ключ на время, и... большой текст свёрнут, показать | |
|
4.21, пох. (?), 14:09, 10/01/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,
То есть, кинуть пацана - купить ключ на время, а себе оставить, беспалева, копию навсегда?
Ну, как-то это... не по понятиям.
| |
|
5.29, Ordu (ok), 14:51, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,
> То есть, кинуть пацана - купить ключ на время, а себе оставить,
> беспалева, копию навсегда?
Зачем же без палева? Он вполне осознанно пойдёт на риск. Главное заплатить ему достаточно.
| |
|
|
3.33, pofigist (?), 15:02, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Бухнул. Клофелин. Очнулся - ключ на месте. Все ок? А вот вам индейское жилище - фигвам...
| |
|
4.34, Онаним (?), 15:04, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да можно даже и не бухнуть. Пошёл в сауну попариться, в бассейне поплавать. Ключ оставил в сейфе номера.
Пришёл - ключ на месте.
| |
|
5.37, pofigist (?), 15:09, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну и шлюх никто не отменял, ога... Вариантов уйма. Даже Джон Ребел не хранит ключь в анусе...😂
| |
|
6.42, Онаним (?), 15:17, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я иногда вижу брелки в таком состоянии, что вот насчёт неиспользуемости конкретно этого места хранения у меня большие сомнения.
| |
|
|
|
|
2.10, Онаним (?), 13:04, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я вижу другое пространство для атак: bitlocker у нас повально с чем используют? Правильно, с TPM. Который тоже ключ в теории просто так не отдаёт. Ну так вот...
| |
|
3.55, Crazy Alex (ok), 16:59, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Основная мораль тут - не надо полагаться на физическую защищённость этих чипов, уязвимости будут всегда. И на одну засвеченную десяток испульзуемых втихуюу будет, не говоря о бёкдорах, всунутых спецслужбами - secure element - явно лакомая добыча, быдет крайне странно, если бэкдоров в нём не будет, с шансами - и что-то с удалённым доступом.
А для защиты от любопытного соседа-айтишника или не сильно богатого вора хватит и массовых чипов без великой секьюрности, зато дешёвых настолько, что лишнюю функциональность в виде бэкдоров туда впихивать некуда.
| |
|
4.69, Аноним (-), 18:42, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Более того - технически TPM это обычно просто проц. С какой-то фирмварью. Наглухо проприетарной, конечно. А то что оно себя ведет хорошо - предлагается поверить джентльменам на слово.
При том иногда джентльмены конкретно напирают на удачу. Например, довольно популярный MIFARE от филипса-NXP рассказывает про секурную проприетарную криптографию. С 48-битным ключом. Джентльмены удачи иногда бывают такие затейники, когда хочется продать чипов, да побольше.
| |
|
3.104, Аноним (102), 01:48, 11/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
bitlocker ? ХА! Этот ваш bitlocker в момент апгрейда винды (при перезагрузках) ключи шифрования в открытом виде на диск складывает иначе оно загрузится не сможет, ЛОЛ!
| |
|
|
1.14, Аноним (14), 13:10, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как вариант можно экран не снаружи микросхемы делать, а внутри. Тогда придётся лазером за 100 000 $ или наждачкой за р10 стачивать корпус микросхемы.
| |
1.15, Аноним (15), 13:15, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Выявлен метод блокирования сообщений на опеннете, посредством ошибки, ссылающейся на "излишнюю анонимность". Поправьте мол свой Refefer в вашем браузере,чтобы тут писать. Вообще не палятся ни разу.
| |
|
2.44, Онаним (?), 15:21, 10/01/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это я так понимаю защита от совсем тупого спама скрипткиддями, а не анонимности )
| |
|
1.25, Аноним (25), 14:22, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Значит надо:
1. Забрать токен у владельца
2. Разобрать, подключить к измерителю
3. Узнать пароль или пинкод у владельца. Ведь измеритель измеряет всё во время подписывания, а как подписывать если доступа к ключу нет?
| |
|
2.75, Аноним (75), 19:26, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
исследователи за 3 года превентивно заинженирили ключ с токена, а деятели - "эЭ, а пин-код?"
| |
|
1.53, Аноним (53), 16:47, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Простой вопрос - а нам то оно нах ? Тут 100% аудитории даже не слашало об этой фигне, а 10% готовы использовать это в своих мечтах.
| |
|
2.58, Kuromi (ok), 17:18, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну если вы не слышали - это ваши проблемы. U2F ключи спокойно уже можно использовать в аккаунтах Гугл, Дропбокс, Гитхаб, Namecheap и так далее - смотрите тут https://www.dongleauth.info/
Да, поддержка токенов не очень, по двум причинам - 1) пока что мало сайтов поддерживает 2) Довольно недешево (в РФ особенно - 5-6 тысяч за ключ).
Внедрение идет медленно - https://elie.net/blog/security/the-bleak-picture-of-two-factor-authentication-
Банки, по традиции, тормозят больше всего, хотя вот там-то выигрышь был бы смый большой (чему удивляться, если они там TOTP осилить не могут, а если осиливают, то представляют это как ПРОРЫВ)
| |
|
3.61, пох. (?), 17:33, 10/01/2021 [^] [^^] [^^^] [ответить]
| +/– |
Банки: "а мы и не спим".
Хинт: ВТБ ДОБИЛ надежную и _уже_ развернутую двухфакторку (успехов, кстати, что-то вытащить из смарткарты наружу - особенно смарткарты, не имеющий дурацких радио-деталей). В пользу гуаноsms.
Потому что выигрыш тут в пользу не тех пацанов.
| |
|
|
|
6.106, Kuromi (ok), 02:53, 11/01/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А что это?
Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах (и не только, тот же PAM поддерживает их) с помощью стандарта U2F и WebAuthn. В дальнейшем будут использоваться и для беспарольной авторизации.
Скажем условно если бы на NPN всех горе-разработчиков заставили бы такие ключи использовать - хрен бы там кто залоивал малварь по нескольку раз в неделю через сломанные аккаунты.
| |
|
7.122, Аноним (122), 14:44, 11/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах
Лишь бы не пользоваться pgp. Короче дешевое поделие для лохов. Покупай, налетай, дарагой еще биткоин у циган в переходе есть, самий лучий да, гугль мугль !
| |
|
|
9.150, Аноним (-), 03:32, 13/01/2021 [^] [^^] [^^^] [ответить] | +1 +/– | Они поддерживают ssh ключи, в смысле, git-хостинги А вебсервисам и не надо подд... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
1.79, asdasd (?), 20:41, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время генерации цифровых подписей
Т.е. история с ультразвуком от CPU при дешифровке RSA никого ничему не научила? Барьер копейки стоит, это первое что в таки вещи вкидывать нужно, от помех хотябы.
| |
|
2.80, Аноним (78), 21:01, 10/01/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Т.е. история с пишинечитай кого то ничему не научила? Прочтение минуты вашего времени стоит, это первое что нужно сделать перед тем как вкидывать такие вещи в комментарии хотя бы.
| |
|
1.95, Аноним (95), 22:02, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ] | –4 +/– | Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации в ра... большой текст свёрнут, показать | |
|
2.98, Аноним (98), 22:48, 10/01/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации
Генерирование ключей и генерирование цифровой подписи - это разные вещи.
| |
|
1.125, Аноним (125), 21:52, 11/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
зачем делать копия ключа, если у вас на руках уже оригинальный ключ! вы всё равно им больше одного раза не воспользуетесь.
хацкеры, такие хацкеры.
| |
1.136, Аноним (136), 13:25, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Для проведения атаки необходимо наличие физического доступа к токену
Надо же, а мужики из АНБ просто забирают ключ через ужаленный бэкдор, который Гугль любезно оставил в своём закрытом коде.
Но только тсс!.. Не будем палить контору, договорились? ;-)
| |
|