The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP

10.01.2021 11:03

Исследователи безопасности из компании NinjaLab разработали новый вид атаки по сторонним каналам (CVE-2021-3011), позволяющей клонировать ECDSA-ключи, хранимые в USB-токенах на базе чипов NXP. Атака продемонстрирована для токенов двухфакторной аутентификции Google Titan на базе чипа NXP A700X, но теоретически применима и для криптографических токенов Yubico и Feitian, использующих тот же чип.

Предложенный метод позволяет атакующему воссоздать хранимые в токене ключи ECDSA на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время формирования цифровых подписей. Исследователи показали, что электромагнитный сигнал коррелирует с информацией об эфемерном ключе ECDSA, которой достаточно для восстановления секретного ключа с использованием методов машинного обучения.

В частности, характер изменения сигнала позволяет выделить информацию об отдельных битах во время выполнения умножения на скаляр при операциях с эллиптической кривой. Для ECDSA определения даже нескольких битов с информацией о векторе инициализации (nonce) достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для восстановления секретного ключа в токене Google Titan достаточно анализа около 6000 операций с цифровыми подписями на основе ключа ECDSA, используемых для двухфакторной аутентификации FIDO U2F при подключении к учётной записи Google.

Для поиска слабых мест в реализации алгоритма ECDSA в чипах NXP ECDSA использовалась открытая платформа для создания смарткарт NXP J3D081 (JavaCard), которая очень похожа на чипы NXP A700X и использует идентичную криптографическую библиотеку, но при этом предоставляет больше возможностей для изучения работы движка ECDSA. Для восстановления ключа из JavaCard оказалось достаточно анализа около 4000 операций.

Для проведения атаки необходимо наличие физического доступа к токену, т.е. токен на длительное время должен оказаться доступен для исследования атакующим. Более того, чип экранирован алюминиевым экраном, поэтому требуется разбор корпуса, что затрудняет скрытие следов атаки, например, токены Google Titan запаяны в пластик и без видимых следов разобрать их не получится (как вариант предлагается печать на 3D-принтере нового корпуса). На восстановления ключа для одной учётной записи FIDO U2F необходимо около 6 часов плюс ещё около 4 часов требуется для разборки и сборки токена.

Для атаки также требуется достаточно дорогое оборудование, стоимостью приблизительно 10 тысяч евро, навыки по реверс инжинирингу микросхем и специальное программное обеспечение, которое публично не распространяется (возможность атаки подтверждена Google и NXP). В процессе атаки использовался измерительный комплекс Langer ICR HH 500-6, применяемый для испытаний микросхем на электромагнитную совместимость, усилитель Langer BT 706, микроманипулятор Thorlabs PT3/M с разрешением 10 мкм и четырёхканальный осциллограф PicoScope 6404D.

В качестве реализуемого на стороне сервера метода для частичной защиты от применения клонированных токенов при двухфакторной аутентификции предлагается использовать механизм счётчиков, описанный в спецификации FIDO U2F. Стандарт FIDO U2F изначально подразумевает наличие только одного набора ключей, что обусловлено тем, что протокол поддерживает только две базовые операции - регистрация и аутентификация.

На стадии регистрации генерируется новая пара ключей, закрытый ключ сохраняется в токене, а открытый передаётся на сервер. Операция аутентификации на стороне токена создаёт цифровую подпись ECDSA для переданных сервером данных, которая затем может быть проверена на сервере при помощи открытого ключа. Закрытый ключ всегда остаётся в токене и не может быть скопирован, поэтому при необходимости привязки нового токена создаётся новая пара ключей, а старый ключ помещается в список отозванных ключей.

Суть предлагаемого в FIDO U2F механизма защиты от клонирования ключей в том, что токен ведёт счётчик выполненных операций и передаёт его на сервер, который сравнивает переданное значение и значение, сохранённое при выполнении прошлой операции с тем же токеном. Если переданное значение оказалось меньше сохранённого, то делается вывод о наличии нескольких устройств с идентичной парой ключей. Данный механизм уже используется при аутентификации в сервисах Google и позволяет блокировать учётные записи при выявлении активности с клонированных токенов.

Среди подверженных атаке продуктов отмечены:

  • Google Titan Security Key
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40
  • NXP J3D081_M59_DF
  • NXP J3A081
  • NXP J2E081_M64
  • NXP J3D145_M59
  • NXP J3D081_M59
  • NXP J3E145_M64
  • NXP J3E081_M64_DF


  1. Главная ссылка к новости (https://ninjalab.io/a-side-jou...)
  2. OpenNews: Google представил открытый проект OpenTitan для создания заслуживающих доверия чипов
  3. OpenNews: Google представил открытый стек OpenSK для создания криптографических токенов
  4. OpenNews: Новая техника атаки по сторонним каналам, позволяющая восстановить ключи ECDSA
  5. OpenNews: Уязвимость TPM-Fail, позволяющая восстановить ключи, хранимые в TPM-модулях
  6. OpenNews: Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54385-nxp
Ключевые слова: nxp, google, titan, token, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (148) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:51, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Самый лучший метод!
     
     
  • 2.9, Леголас (ok), 13:03, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    точно, всего то и надо: тихо и незаметно разобрать токен, «залипнуть» на несколько часов рядом с ним, а опосля вернуть всё как было -- ниндзя без работы не останутся
     
     
  • 3.12, Онаним (?), 13:06, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Не надо ничего возвращать как было. Из токена ты получаешь "взад" закрытый ключ, который далее заливаешь в выглядящий точно так же токен. Это если предположить "возврат владельцу". В общем же случае токеном может быть вовсе не брелок для аутентификации например, а TPM-модуль, или что-то ещё, где наличия закрытого ключа может быть достаточно для получения доступа ко всем хранящимся зашифрованным данным.
     
     
  • 4.30, pofigist (?), 14:58, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Во всех нормальных ключах закрытый ключ нельзя извлечь или залить - он генерируется внутри ключа и недоступен через внешние интерфейсы...
     
     
  • 5.43, Онаним (?), 15:19, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Написал ниже, повторюсь.

    В свою собственную начинку можно залить что угодно. И представиться исходным ключом, выполняя его функцию.
    Эмулятор ключа на маленьком ARM - не шибко дорого, не считая реверсинга протокола.

     
     
  • 6.116, Аноним (116), 09:40, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Надо еще счетчик подписей, кроме закрытого ключа украсть, иначе палево.

    Пациенту воры должны оставлять идентичный чип, с тем же серийным номером, тоесть тот-же. Иначе судебные эксперты могут увидеть подмену ключа.

    Счетчик можно искусственно увеличить на необходимое ворам количество подписей.

    10 часов, пока человек отсыпается в выходные вполне хватит для воровства закрытого ключа, счетчика и скрытия следов манипуляции с корпусом. Или любой ночи если ключ остается на работе.

    Короче прощайте квартиры, фирмы, собственность
    https://www.opennet.ru/openforum/vsluhforumID10/5564.html
    https://www.opennet.ru/openforum/vsluhforumID10/5567.html
    встречаем "госуслуги" от Путина и "единой россии"

     
  • 6.128, pofigist (?), 09:42, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣
     
     
  • 7.129, Онаним (?), 09:49, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣

    Так и я о том. Маленький арм и софтовый эмулятор :)

     
     
  • 8.133, pofigist (?), 11:03, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем маленький ARM-то Заменяем драйвер ключа на свой, с эмулятором и вуаля ... текст свёрнут, показать
     
     
  • 9.144, Аноним (144), 02:24, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это заметно А эмулятор что, такая жа пластмаска, поди там разберись что у нее р... текст свёрнут, показать
     
  • 8.135, Аноним (135), 12:19, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только на своей стороне такое можно, хоть стационарник с qemu и все делать прогр... текст свёрнут, показать
     
  • 4.102, Аноним (102), 01:41, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ничего ты никуда не заливаеш, так как там нет такой возможности в принципе.
     
     
  • 5.105, Аноним (105), 02:18, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ложь. первоначально на чипе ничего нет и первичная зугрузка (прожиг) ключа производит сам пользователь.
    другой вопрос скажем если речь идет о разовой атаке, то на кой хрен возвращать ключи.
    чинить сейф после взлома?
     
     
  • 6.117, pofigist (?), 10:04, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мой дорогой, анонимный и безграмотный друг - учи матчасть!
    Закрытый ключь - не заливается, а генерируется внутри ключа и всегда находится в зоне памяти, аппаратно недоступной с внешних интерфейсов.
     
     
  • 7.152, слакавод (?), 08:01, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "ключь..."

    ох ёёё... безграмотный друг, говоришь... нюню...

     
  • 3.78, Аноним (78), 20:36, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ...залипнуть <<с иишечкой и оборудованием за сотни нефти>> на несколько часов рядом с ним...
    Добавил пропущенное
     
     
  • 4.109, Аноним (-), 04:26, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Месячная зарплата нормального айтишника - не такие уж и сотни нефти.
     
     
  • 5.115, Аноним (115), 06:31, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для сведения - один ослик у них под лям стоит, остальное хз, но навскидку тоже не оч. дешёвое.
     
     
  • 6.142, Атон (?), 22:38, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    нормальный айтишник получает два ляма долларов в год.

    если ты получаешь меньше - катись вон из профессии.

     
     
  • 7.146, Аноним (-), 02:28, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > нормальный айтишник получает два ляма долларов в год.

    Блин, чувак, тебе не говорили что кроме ceo и топов и народ попроще? Менять картридж CEO - пижонство!

     
     
  • 8.153, Атон (?), 09:23, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    АЙтишники не меняют картриджи Для картриджей у айтишников есть пихота, линейны... текст свёрнут, показать
     
  • 6.145, Аноним (144), 02:26, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Для сведения - один ослик у них под лям стоит, остальное хз,
    > но навскидку тоже не оч. дешёвое.

    Даже самые пижонские флюки, теки и даже экзоты типа gsm-анализаторов вроде дешевле ляма? Или это про рубли было?

     

  • 1.2, Michael Shigorin (ok), 12:52, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > стоимостью приблизительно 10 тысяч евро

    Не дорого ли за паяльник?

     
     
  • 2.3, Онаним (?), 12:54, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Langer ICR HH 500-6

    Это уже не паяльник, а действительно серьёзный измеритель полей малой мощности.
    Видимо атака основывается на чтении поля, наведённого IC.

     
     
  • 3.6, Страдивариус (?), 13:00, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Михаил не имел ввиду, что этот прибор - паяльник. Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ
     
     
  • 4.7, Онаним (?), 13:00, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Терморектальный криптоанализ скрытно не сделаешь.
    А вот утерянный ключ проанализировать скрытно - вполне.
     
     
  • 5.8, Онаним (?), 13:02, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И речь даже не о создании дубликатов, которые не нужны - утерянный ключ и так есть.
    Речь о получении исходного закрытого ключа из IC, которые его просто так не отдают.
    Вряд ли подобная атака ограничивается одним вендором.
     
  • 5.11, funny.falcon (?), 13:06, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос, зачем его анализировать, если он у тебя в руках? Разве что, надеяться, что хозяин не заметит, что корпус стал немного другим, и не заподозрит, что его разбирали.
     
     
  • 6.13, Онаним (?), 13:08, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тоже возможно, кстати. Не надо возвращать разобранный токен. Берём свой с точно таким же корпусом, но другой начинкой. Заливаем исходный private key. Возвращаем владельцу.
     
     
  • 7.31, pofigist (?), 15:00, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Его нельзя залить - приватный ключь не доступен через внешний интерфейс.
     
     
  • 8.32, Онаним (?), 15:02, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Внимательнее другой начинкой В свою собственную начинку можно залить что угод... текст свёрнут, показать
     
     
  • 9.36, pofigist (?), 15:07, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Там есть нюансы Кто-то ещё делает ключи, в которые ключь можно залить Если нет... текст свёрнут, показать
     
     
  • 10.39, Онаним (?), 15:13, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Эмулятор токена на маленьком ARM в принципе не особо проблема Выйдет много деше... текст свёрнут, показать
     
     
  • 11.147, Аноним (-), 02:30, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Его можно за полдня на кухне откатать Фирмвару прогать наверное немного подольш... текст свёрнут, показать
     
  • 6.17, anonymous (??), 13:27, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    PIN-код неизвестен
     
     
  • 7.19, Онаним (?), 13:55, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > PIN-код неизвестен

    В зависимости от механики слияния пин-кода с ключом он может вообще быть не нужным.
    Ну и сложность пин-кода не большая, в итоге для например расшифровки данных он банально подбирается.

     
     
  • 8.22, пох. (?), 14:11, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И вот это - неэффективно или неправильно используемый pin - гораздо более серьез... текст свёрнут, показать
     
     
  • 9.40, Онаним (?), 15:14, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно так Более того, допустим у беспроводных ключей типа гостиничных рум-л... текст свёрнут, показать
     
  • 8.123, Страдивариус (?), 17:28, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как минимум должно запуститься криптографическое преобразование, чтобы наводки с... текст свёрнут, показать
     
     
  • 9.124, Онаним (?), 19:32, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут есть момент Если ограничивает число попыток контроллер, а операции шифрован... текст свёрнут, показать
     
  • 7.74, pofigist (?), 19:20, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > PIN-код неизвестен

    12345678 подходит в 97,3% случаев

     
     
  • 8.130, Онаним (?), 09:50, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Увы да Особенно для местных брелков ЭЦП, софт настолько удолбищен, что не-IT по... текст свёрнут, показать
     
     
  • 9.134, pofigist (?), 11:04, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для местных это для каких мест-то ... текст свёрнут, показать
     
     
  • 10.138, Онаним (?), 15:25, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У нас не так много мест, использующих ни с кем не совместимое шифрование D... текст свёрнут, показать
     
     
  • 11.139, pofigist (?), 16:30, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У вас - это где А обязательно нужно совместимое шифрование Чтоб как с Crypto A... текст свёрнут, показать
     
     
  • 12.140, Онаним (?), 20:17, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему бы стандартизованный AES не использовать вместо госта, например Про асим... текст свёрнут, показать
     
     
  • 13.141, Онаним (?), 20:17, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    OpenSSL с гостом собрать тоже та ещё тема Шифры понимает, контейнеры нет ... текст свёрнут, показать
     
  • 13.154, pofigist (?), 09:47, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Номер ГОСТа на твой AES назови, прежде чем называть его стандартом ... текст свёрнут, показать
     
     
  • 14.155, Онаним (?), 10:20, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ахах, это да Есть стандарты, а есть госты ... текст свёрнут, показать
     
     
  • 15.156, pofigist (?), 10:31, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть стандарты - они называются ГОСТы Нет ГОСТа Нестандарт Считаешь иначе Ув... текст свёрнут, показать
     
     
  • 16.157, Онаним (?), 10:41, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тоже факт, к сожалению К счастью, я работаю там, где российские ГОСТы никакого ... текст свёрнут, показать
     
     
  • 17.158, pofigist (?), 11:11, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В шаурмятнице за углом Ты заблуждаешься - имеют ... текст свёрнут, показать
     
  • 15.160, Michael Shigorin (ok), 14:41, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что, всё Get The F cks из головы не выветрится PS чем дольше избирательно отво... текст свёрнут, показать
     
     
  • 16.161, pofigist (?), 14:55, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Воот Избирательное отворачивание от реальности это какраз думать что есть еще к... текст свёрнут, показать
     
     
  • 17.162, Онаним (?), 19:10, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    100500 ... текст свёрнут, показать
     
  • 16.163, Онаним (?), 19:11, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В 89-91 да, многих здорово стукнуло В этот раз скорее всего будет то же самое ... текст свёрнут, показать
     
  • 5.65, Аноним (65), 18:24, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Терморектальный криптоанализ скрытно не сделаешь.

    Более того - а что, если тебе сделать терморектальный криптоанализ, ты сможешь сказать ключ КОТОРЫМ ОПЕРИРОВАЛ ЧИП? Ты этот ключ хоть раз в жизни видел? Как максимум ты можешь поспособствовать получению токена. Но если ты его быстренько разломал и спустил в унитаз когда запахло жареным, например, шансы получить его все-таки маргинальны. И придется обойтись без него.

     
  • 4.26, Аноним84701 (ok), 14:39, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ

    Пользователи токенов хранимые внутри токена ключи обычно не знают (и нередко только смутно и в общих чертах, если вообще, подозревают о их наличии).
    Так что терморектальная криптостойкость тут как раз на высоте.

     
     
  • 5.47, Аноним (47), 16:07, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А паяльником можно не только заставить человека что-то рассказать, но и что-то сделать для обладателя паяльника. Зачем извлекать ключ и "ключ украли, сделки были недействительны, это всё киберпреступники, верните мне назад деньги на счёт", если можно "находясь в здравом уме и твёрдой памяти добровольно заключил сделку" (а если вдруг недобровольно, то вот он, паяльник, далеко не убран и ещё не остыл, думать надо, прежде чем клеветать на столь уважаемых людей)?
     
     
  • 6.60, пох. (?), 17:27, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, товарищ майор, мы, в целом, догадываемся.

     
  • 5.86, Michael Shigorin (ok), 21:23, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пользователи токенов хранимые внутри токена ключи обычно не знают

    Гм, Вы же понимаете, что ёрничанье было вовсе не про извлечение ключа -- кому он нужен сам по себе...

    PS для особо дальновидных: нет, я не поддерживаю такие методы; но если я строю оборону, то мне полезно уметь думать и так, как думает атакующий.

     
  • 4.103, Аноним (102), 01:44, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и как "пяльник" поможет извлечь закрытый ключи из чипа, куда нет доступа даже у владельца самого ключа?
     
  • 2.16, Ordu (ok), 13:22, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Паяльник, как метод взлома криптографии, монополизирован властьпридержащими. Всем остальным его крайне затруднительно использовать. Дешевле $10k влить в более изощрённые инструменты.
     
     
  • 3.28, Аноним (47), 14:47, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если у тебя есть $10k чтобы их взять и выложить за такое оборудование, то ту уже под полностью под колпаком власть придержащих. Не говоря уже о том, что все покупки подобного оборудования тщательно мониторятся. Это не буханка хлеба.
     
     
  • 4.46, Ordu (ok), 15:47, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если у тебя есть $10k чтобы их взять и выложить за такое
    > оборудование, то ту уже под полностью под колпаком власть придержащих.

    Это стоимость автомобиля. Такого чтоб не совсем корыто. Держать под колпаком всех, у кого есть бабки на автомобиль, колпаков не хватит.

    > Не
    > говоря уже о том, что все покупки подобного оборудования тщательно мониторятся.
    > Это не буханка хлеба.

    Мониторятся, наверное. Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.

     
     
  • 5.48, Аноним (47), 16:11, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Те, у кого есть бабки на автомобиль - купят себе автомобиль. Взять и выложить такие бабки на детские игрушки они себе позволить не могут.

    >Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.

    Конечно заметит. Просто в базу запись пойдёт с пометкой "налоги уплачены" с обязательным отстёгиванием большей части куда надо. Иначе замечальщика самого в расход пустят.

     
     
     
    Часть нити удалена модератором

  • 7.81, Аноним (47), 21:07, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не надо мне рассказывать, как европейцы "о*****о" живут. Располагаю информацией из первых рук.
     
     
  • 8.84, Owlet (?), 21:22, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О о , не о о , но нормальному программисту в Германии накопить 10к на до... текст свёрнут, показать
     
     
  • 9.90, Michael Shigorin (ok), 21:38, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А это что, типа много для нормального программиста в России ... текст свёрнут, показать
     
     
  • 10.96, Led (ok), 22:12, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А он уже туда приехал ... текст свёрнут, показать
     
     
  • 11.97, Michael Shigorin (ok), 22:27, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А он и не уезжал ... текст свёрнут, показать
     
     
  • 12.112, Аноним (-), 05:39, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, это по кого Мифический человеко-месяц ... текст свёрнут, показать
     
     
  • 13.166, Michael Shigorin (ok), 15:15, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Верю, что Вы всё же способны отмотать стек на два уровня выше своего вопроса А... текст свёрнут, показать
     
  • 7.82, Michael Shigorin (ok), 21:18, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну лох здесь, положим, Вы -- потому что ведётесь на сказки про доходы, не глядя в расходы и не оперируя собственно балансом.  А практика проста: если кто-то чего-то добился там -- здесь теми же трудами добился бы, как правило, не меньшего.

    Домашняя работа:
    http://te.legra.ph/7-prichin-ne-pereezzhat-v-Kremnievuyu-dolinu-05-07
    http://www.youtube.com/watch?v=OLIYwbmJ2pk

     
     
  • 8.87, Owlet (?), 21:24, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нравятся мне эти разоблачения от людей, которые на западе были пару раз проездом... текст свёрнут, показать
     
     
  • 9.92, Michael Shigorin (ok), 21:39, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да не от , а в сторону Мы-то помним, как для Линуса на остаток от 4k скидыва... текст свёрнут, показать
     
  • 9.101, Аноним (-), 23:30, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    5к евро брутто в месяц - это прикидочно на руки 3 2-3 5к в лучшем случае, квар... большой текст свёрнут, показать
     
     
  • 10.119, CrazyAlex (?), 13:03, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так 5к евриков - это средненькая зарплата, для сеньора-программера уже малова... текст свёрнут, показать
     
     
  • 11.121, Аноним (121), 14:37, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да вполне норамальная Учитывай, что в Европе Германии, о которой зашла речь -... текст свёрнут, показать
     
  • 11.148, Аноним (-), 02:34, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для специализированных челов которые круты - так и поболее бывает Ничего, шигор... текст свёрнут, показать
     
  • 8.110, Аноним (110), 05:24, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, не отвлекайся, молись, постись, слушай радио Радонеж и пей таблетки ... текст свёрнут, показать
     
  • 8.111, Аноним (111), 05:34, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расходы - да, знаете, если железку за 10k купить то это, конечно, расходы Вот ... большой текст свёрнут, показать
     
     
  • 9.120, Аноним (47), 13:18, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    0 Не знаю никаких Дудей 1 Ты кто вообще такой, чтобы судить, кто заслуживает ... большой текст свёрнут, показать
     
     
  • 10.131, Онаним (?), 09:55, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Когда в США налоги тратят на биометрию - это полезно Когда в РФ налоги тратя... текст свёрнут, показать
     
  • 10.149, Аноним (-), 03:19, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно А я не хочу жить в местности населенной агрессивными глупыми зомби ... большой текст свёрнут, показать
     
  • 3.41, Sgt. Gram (?), 15:17, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > властьпридержащими

    Властями предержащими.

     
     
  • 4.45, Ordu (ok), 15:41, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >> властьпридержащими
    > Властями предержащими.

    Моя бабушка говорила "властьпридержащими". И мне начхать на тебя.

     
  • 3.52, Аноним (52), 16:43, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Паяльник, как метод взлома криптографии, монополизирован

    Зато бутылки более мобильны и универсальны. Клиенту всегда можно предложить выбрать цвет. Так что эти ваши жрущие энергию приблуды устарели

     
     
  • 4.67, Аноним (-), 18:32, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как тебе бутылка поможет от разломаного и спущеного в унитаз токена? Как максимум она может моральное удовлетворение какому-нибудь садисту принести, но никаких дивидендов кроме этого в такой ситуации вроде бы не просматривается. Даде трижды обутыленый пользователь не восстановит ключ который он не знал.
     
     
  • 5.100, Аноним (100), 23:27, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Толи дело паяльник . Конечно, дедуля, иди в ногу со временем, зеленые технологии и все такое
     
  • 3.76, Michael Shigorin (ok), 19:28, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Паяльник, как метод взлома криптографии, монополизирован властьпридержащими.

    Мне бы Вашу уверенность.

    Если кто не понял -- #2 было о том, что метод-то интересный, но в очередной классической щитомечевой проблеме вчистую проигрывает экономически, при этом не давая очевидных преимуществ (зато давая возможность предсказуемо поймать за руку на удалённой стороне).  Поэтому в то, что при необходимости выберут его, а не пытки водой, как в Гуантанамо -- у меня вот никакой нет.  Хорошо, что у нас-то не девяностые, когда много кому хватало и утюга наружно... это вот янки теперь не позавидуешь -- на полстраны спектрографов и прочего барахла не напасёшься (да и расистское это оборудование, поди, ниггерам непонятное), а всего лишь банить -- явно полумера.

     
     
  • 4.77, Ordu (ok), 19:55, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как ты сравниваешь экономически Чисто по стоимости оборудования Ты понимаешь, ... большой текст свёрнут, показать
     
     
  • 5.83, Аноним (47), 21:20, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >для того, чтобы воспользоваться паяльником, тебе придётся либо искать исполнителей в среде уголовников

    Человек, который использует этот метод для атаки на другого человека - уже уголовник.

    >эпизод членовредительства с последующей инвалидностью или даже "мокрухи"?

    А что есть много причин оставлять пытаемых в живых? Если человека пытают, то уже изначально готовы его замочить.

     
  • 5.88, Michael Shigorin (ok), 21:30, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > С этим оборудованием тоже риски есть -- оборудование и ключ тоже как-то
    > где-то достать надо, но это _другие_ риски.

    А вот здесь попрошу подробнее ;-)  С упором на законность и экономику, разумеется -- Вы совершенно точно поняли намёк.

    > У тебя вроде там знакомый живёт, ты говорил?

    Достаточно -- и уехавших, и местных.

     
     
  • 6.114, Ordu (ok), 06:25, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, это мой вопрос, не Мой аргумент -- самый общий из возможных если ... большой текст свёрнут, показать
     
  • 6.127, Ordu (ok), 04:56, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А, и я вот подумал, что экономический анализ расклада обязательно должен учесть,... большой текст свёрнут, показать
     
  • 2.27, Аноним (27), 14:41, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В развитой цывилизации нет криптографии.
     
     
  • 3.63, Ordu (ok), 17:55, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В развитой цывилизации нет криптографии.

    В достаточно развитой цивилизации криптография неотличима от магии.

     
     
  • 4.68, Аноним (-), 18:36, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если посмотреть на современное крипто, не настолько уж и неправда. Сколько человек вообще на самом деле понимает как это работает, и тем более - в деталях? Какой процент вебмакак хотя-бы очень приблизительно догадывается что на самом деле случится, когда они дернут вон ту функцию?

    - Как работает машина?
    - Ну, я поворачиваю ключ, машина делает дрр, я жму на педальки и она едет.

    По-моему нормальное описание последовательности заклинаний или шаманских ритуалов, не? :)

     
     
  • 5.73, Ordu (ok), 19:01, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, правильнее было бы сказать так:

    Любая достаточно развитая технология неотличима от магии.

    Но я не Артур Кларк, чтобы такие глубокие мудрости толкать. Я скромнее.

     
     
  • 6.113, Аноним (-), 05:51, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот про крипто это особенно верно. Реально очень специфичный раздел черной магии, понимаемый очень немногими, писать новые заклинания умеют только великие. Остальным, если они не тупые светит разве что применение готовых заклятий и ритуалов, в надежде что это не #$%нет из-за кривых рук и неправильных слов. И даже это удается немногим, так что их остальные сдуру за нормальных волшебников потом считают. Хоть они и фокусники декоративные на самом то деле.
     
  • 2.118, Аноним (-), 11:43, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что ещё ты любишь совать?
     

     ....большая нить свёрнута, показать (79)

  • 1.4, КО (?), 12:54, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "необходимо наличие физического доступа к токену"
    перестал читать
     
     
  • 2.5, Онаним (?), 12:56, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну в общем да. Сферическая атака в вакууме на утерянный ключ, который к тому же ещё разломать придётся.
    С другой стороны, при комбинации с человеческим фактором (i.e. несообщение об утере ключа)...
    Самое поганое, что судя по оборудованию, подобная атака потенциально возможна почти на любые типы ключей.
     
     
  • 3.18, Ordu (ok), 13:36, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему сразу на утерянный Людей можно купить Если покупать их ключ на время, и... большой текст свёрнут, показать
     
     
  • 4.21, пох. (?), 14:09, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,

    То есть, кинуть пацана - купить ключ на время, а себе оставить, беспалева, копию навсегда?

    Ну, как-то это... не по понятиям.

     
     
  • 5.29, Ordu (ok), 14:51, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,
    > То есть, кинуть пацана - купить ключ на время, а себе оставить,
    > беспалева, копию навсегда?

    Зачем же без палева? Он вполне осознанно пойдёт на риск. Главное заплатить ему достаточно.

     
  • 3.33, pofigist (?), 15:02, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бухнул. Клофелин. Очнулся - ключ на месте. Все ок? А вот вам индейское жилище - фигвам...
     
     
  • 4.34, Онаним (?), 15:04, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да можно даже и не бухнуть. Пошёл в сауну попариться, в бассейне поплавать. Ключ оставил в сейфе номера.
    Пришёл - ключ на месте.
     
     
  • 5.37, pofigist (?), 15:09, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и шлюх никто не отменял, ога... Вариантов уйма. Даже Джон Ребел не хранит ключь в анусе...😂
     
     
  • 6.42, Онаним (?), 15:17, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я иногда вижу брелки в таком состоянии, что вот насчёт неиспользуемости конкретно этого места хранения у меня большие сомнения.
     
  • 2.10, Онаним (?), 13:04, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я вижу другое пространство для атак: bitlocker у нас повально с чем используют? Правильно, с TPM. Который тоже ключ в теории просто так не отдаёт. Ну так вот...
     
     
  • 3.55, Crazy Alex (ok), 16:59, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Основная мораль тут - не надо полагаться на физическую защищённость этих чипов, уязвимости будут всегда. И на одну засвеченную десяток испульзуемых втихуюу будет, не говоря о бёкдорах, всунутых спецслужбами - secure element - явно лакомая добыча, быдет крайне странно, если бэкдоров в нём не будет, с шансами - и что-то с удалённым доступом.

    А для защиты от любопытного соседа-айтишника или не сильно богатого вора хватит и массовых чипов без великой секьюрности, зато дешёвых настолько, что лишнюю функциональность в виде бэкдоров туда впихивать некуда.

     
     
  • 4.69, Аноним (-), 18:42, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Более того - технически TPM это обычно просто проц. С какой-то фирмварью. Наглухо проприетарной, конечно. А то что оно себя ведет хорошо - предлагается поверить джентльменам на слово.

    При том иногда джентльмены конкретно напирают на удачу. Например, довольно популярный MIFARE от филипса-NXP рассказывает про секурную проприетарную криптографию. С 48-битным ключом. Джентльмены удачи иногда бывают такие затейники, когда хочется продать чипов, да побольше.

     
  • 3.104, Аноним (102), 01:48, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    bitlocker ? ХА! Этот ваш bitlocker в момент апгрейда винды (при перезагрузках) ключи шифрования в открытом виде на диск складывает иначе оно загрузится не сможет, ЛОЛ!
     

  • 1.14, Аноним (14), 13:10, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вариант можно экран не снаружи микросхемы делать, а внутри. Тогда придётся лазером за 100 000 $ или наждачкой за р10 стачивать корпус микросхемы.
     
  • 1.15, Аноним (15), 13:15, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Выявлен метод блокирования сообщений на опеннете, посредством ошибки, ссылающейся на "излишнюю анонимность". Поправьте мол свой Refefer в вашем браузере,чтобы тут писать. Вообще не палятся ни разу.
     
     
  • 2.44, Онаним (?), 15:21, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это я так понимаю защита от совсем тупого спама скрипткиддями, а не анонимности )
     

  • 1.20, erthink (ok), 14:00, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хорошо
     
  • 1.25, Аноним (25), 14:22, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Значит надо:
    1. Забрать токен у владельца
    2. Разобрать, подключить к измерителю
    3. Узнать пароль или пинкод у владельца. Ведь измеритель измеряет всё во время подписывания, а как подписывать если доступа к ключу нет?
     
     
  • 2.75, Аноним (75), 19:26, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    исследователи за 3 года превентивно заинженирили ключ с токена, а деятели - "эЭ, а пин-код?"
     
  • 2.165, ъеъ (?), 20:38, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FIDO U2F как правило работает без пин-кода
     

  • 1.53, Аноним (53), 16:47, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Простой вопрос - а нам то оно нах ? Тут 100% аудитории даже не слашало об этой фигне, а 10% готовы использовать это в своих мечтах.
     
     
  • 2.58, Kuromi (ok), 17:18, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну если вы не слышали - это ваши проблемы. U2F ключи спокойно уже можно использовать в аккаунтах Гугл, Дропбокс, Гитхаб, Namecheap  и так далее - смотрите тут https://www.dongleauth.info/
    Да, поддержка токенов не очень, по двум причинам - 1) пока что мало сайтов поддерживает 2) Довольно  недешево (в РФ особенно - 5-6 тысяч за ключ).
    Внедрение идет медленно - https://elie.net/blog/security/the-bleak-picture-of-two-factor-authentication-
    Банки, по традиции, тормозят больше всего, хотя вот там-то выигрышь был бы смый большой (чему удивляться, если они там TOTP осилить не могут, а если осиливают, то представляют это как ПРОРЫВ)
     
     
  • 3.61, пох. (?), 17:33, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Банки: "а мы и не спим".

    Хинт: ВТБ ДОБИЛ надежную и _уже_ развернутую двухфакторку (успехов, кстати, что-то вытащить из смарткарты наружу - особенно смарткарты, не имеющий дурацких радио-деталей). В пользу гуаноsms.

    Потому что выигрыш тут в пользу не тех пацанов.

     
  • 3.70, Аноним (-), 18:46, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > U2F ключи спокойно уже можно использовать в аккаунтах Гугл, Дропбокс, Гитхаб, Namecheap  и так далее - смотрите тут https://www.dongleauth.info/

    Ясно, никому ненужное ненужно.

     
  • 3.85, Сейд (ok), 21:22, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/
     
     
  • 4.89, Kuromi (ok), 21:34, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/

    Это не GPG

     
     
  • 5.91, Сейд (ok), 21:39, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что это?
     
     
  • 6.106, Kuromi (ok), 02:53, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что это?

    Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах (и не только, тот же PAM поддерживает их) с помощью стандарта U2F и WebAuthn. В дальнейшем будут использоваться и для беспарольной авторизации.
    Скажем условно если бы на NPN всех горе-разработчиков заставили бы такие ключи использовать - хрен бы там кто залоивал малварь по нескольку раз в неделю через сломанные аккаунты.

     
     
  • 7.107, Crazy Alex (ok), 03:16, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если мы именно об u2f говорим - то тоже спокойно делается:

    https://hackaday.com/2015/11/09/turning-a-teensy-into-a-u2f-key/
    https://github.com/google/OpenSK

    Наверняка и ещё варианты есть.

     
     
  • 8.108, Kuromi (ok), 03:39, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, есть проекты по самопальным U2F ключам, но тут есть 2 момента 1 Сейчас сосб... текст свёрнут, показать
     
  • 7.122, Аноним (122), 14:44, 11/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах

    Лишь бы не пользоваться pgp. Короче дешевое поделие для лохов. Покупай, налетай, дарагой еще биткоин у циган в переходе есть, самий лучий да, гугль мугль !

     
     
  • 8.126, Kuromi (ok), 01:44, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PGP прекрасен, но ни браузерs его не поддерживаю,т ни вэбсервисы Смысл же U2F W... текст свёрнут, показать
     
     
  • 9.150, Аноним (-), 03:32, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они поддерживают ssh ключи, в смысле, git-хостинги А вебсервисам и не надо подд... текст свёрнут, показать
     
  • 4.99, Аноним (-), 23:21, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/

    Вот это интересная идея.

     

  • 1.79, asdasd (?), 20:41, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время генерации цифровых подписей

    Т.е. история с ультразвуком от CPU при дешифровке RSA никого ничему не научила? Барьер копейки стоит, это первое что в таки вещи вкидывать нужно, от помех хотябы.

     
     
  • 2.80, Аноним (78), 21:01, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Т.е. история с пишинечитай кого то ничему не научила? Прочтение минуты вашего времени стоит, это первое что нужно сделать перед тем как вкидывать такие вещи в комментарии хотя бы.
     
  • 2.93, Аноним (-), 21:54, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    то был акустический https://www.cs.tau.ac.il/~tromer/acoustic/, это электромагнитный типа такого https://link.springer.com/chapter/10.1007%2F978-3-319-29485-8_14
     
     
  • 3.94, Аноним (-), 21:58, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.tau.ac.il/~tromer/mobilesc/
     

  • 1.95, Аноним (95), 22:02, 10/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации в ра... большой текст свёрнут, показать
     
     
  • 2.98, Аноним (98), 22:48, 10/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации

    Генерирование ключей и генерирование цифровой подписи - это разные вещи.

     

  • 1.125, Аноним (125), 21:52, 11/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем делать копия ключа, если у вас на руках уже оригинальный ключ! вы всё равно им больше одного раза не воспользуетесь.
    хацкеры, такие хацкеры.
     
     
  • 2.164, pofigist (?), 13:45, 14/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID10/5564.html как например.
     

  • 1.136, Аноним (136), 13:25, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для проведения атаки необходимо наличие физического доступа к токену

    Надо же, а мужики из АНБ просто забирают ключ через ужаленный бэкдор, который Гугль любезно оставил в своём закрытом коде.

    Но только тсс!.. Не будем палить контору, договорились? ;-)

     
     
  • 2.137, Аноним (136), 13:25, 12/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *удаленный
     
  • 2.151, Аноним (-), 03:33, 13/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ужаленный во что? В джеппу, судя по синим труселям? :)
     

  • 1.143, Аноним (143), 23:33, 12/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сфеерический в вакууме
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру