Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP, opennews (??), 10-Янв-21, (0) [смотреть все] Самый лучший метод , Аноним (1), 12:51 , 10-Янв-21, (1) +2 // точно, всего то и надо тихо и незаметно разобрать токен, 171 залипнуть 187 , Леголас (ok), 13:03 , 10-Янв-21, (9) +7 // Не надо ничего возвращать как было Из токена ты получаешь взад закрытый ключ,, Онаним (?), 13:06 , 10-Янв-21, (12) +7 // Во всех нормальных ключах закрытый ключ нельзя извлечь или залить - он генерируе, pofigist (?), 14:58 , 10-Янв-21, (30) +2 Написал ниже, повторюсь В свою собственную начинку можно залить что угодно И пр, Онаним (?), 15:19 , 10-Янв-21, (43) +4 Надо еще счетчик подписей, кроме закрытого ключа украсть, иначе палево Пациенту , Аноним (116), 09:40 , 11-Янв-21, (116) –4 Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто про, pofigist (?), 09:42 , 12-Янв-21, (128) Так и я о том Маленький арм и софтовый эмулятор , Онаним (?), 09:49 , 12-Янв-21, (129) Зачем маленький ARM-то Заменяем драйвер ключа на свой, с эмулятором и вуаля , pofigist (?), 11:03 , 12-Янв-21, (133) Это заметно А эмулятор что, такая жа пластмаска, поди там разберись что у нее р, Аноним (144), 02:24 , 13-Янв-21, (144) Только на своей стороне такое можно, хоть стационарник с qemu и все делать прогр, Аноним (135), 12:19 , 12-Янв-21, (135) ничего ты никуда не заливаеш, так как там нет такой возможности в принципе , Аноним (102), 01:41 , 11-Янв-21, (102) –1 ложь первоначально на чипе ничего нет и первичная зугрузка прожиг ключа произ, Аноним (105), 02:18 , 11-Янв-21, (105) –1 Мой дорогой, анонимный и безграмотный друг - учи матчасть Закрытый ключь - не за, pofigist (?), 10:04 , 11-Янв-21, (117) ключь ох ёёё безграмотный друг, говоришь нюню , слакавод (?), 08:01 , 13-Янв-21, (152) залипнуть с иишечкой и оборудованием за сотни нефти на несколько часов ря, Аноним (78), 20:36 , 10-Янв-21, (78) // Месячная зарплата нормального айтишника - не такие уж и сотни нефти , Аноним (-), 04:26 , 11-Янв-21, (109) +1 Для сведения - один ослик у них под лям стоит, остальное хз, но навскидку тоже н, Аноним (115), 06:31 , 11-Янв-21, (115) нормальный айтишник получает два ляма долларов в год если ты получаешь меньше - , Атон (?), 22:38 , 12-Янв-21, (142) Блин, чувак, тебе не говорили что кроме ceo и топов и народ попроще Менять карт, Аноним (-), 02:28 , 13-Янв-21, (146) +1 АЙтишники не меняют картриджи Для картриджей у айтишников есть пихота, линейны, Атон (?), 09:23 , 13-Янв-21, (153) –1 Даже самые пижонские флюки, теки и даже экзоты типа gsm-анализаторов вроде дешев, Аноним (144), 02:26 , 13-Янв-21, (145) Не дорого ли за паяльник , Michael Shigorin (ok), 12:52 , 10-Янв-21, (2) +8 // Langer ICR HH 500-6Это уже не паяльник, а действительно серьёзный измеритель пол, Онаним (?), 12:54 , 10-Янв-21, (3) +5 // Михаил не имел ввиду, что этот прибор - паяльник Он имел ввиду, что то же можно, Страдивариус (?), 13:00 , 10-Янв-21, (6) +7 // Терморектальный криптоанализ скрытно не сделаешь А вот утерянный ключ проанализи, Онаним (?), 13:00 , 10-Янв-21, (7) +6 И речь даже не о создании дубликатов, которые не нужны - утерянный ключ и так ес, Онаним (?), 13:02 , 10-Янв-21, (8) +2 Вопрос, зачем его анализировать, если он у тебя в руках Разве что, надеяться, ч, funny.falcon (?), 13:06 , 10-Янв-21, (11) Тоже возможно, кстати Не надо возвращать разобранный токен Берём свой с точно , Онаним (?), 13:08 , 10-Янв-21, (13) +4 Его нельзя залить - приватный ключь не доступен через внешний интерфейс , pofigist (?), 15:00 , 10-Янв-21, (31) –3 Внимательнее другой начинкой В свою собственную начинку можно залить что угодно, Онаним (?), 15:02 , 10-Янв-21, (32) +4 Там есть нюансы Кто-то ещё делает ключи, в которые ключь можно залить Если нет, pofigist (?), 15:07 , 10-Янв-21, (36) –2 Эмулятор токена на маленьком ARM в принципе не особо проблема Выйдет много деше, Онаним (?), 15:13 , 10-Янв-21, (39) +3 Его можно за полдня на кухне откатать Фирмвару прогать наверное немного подольш, Аноним (-), 02:30 , 13-Янв-21, (147) PIN-код неизвестен, anonymous (??), 13:27 , 10-Янв-21, (17) +1 В зависимости от механики слияния пин-кода с ключом он может вообще быть не нужн, Онаним (?), 13:55 , 10-Янв-21, (19) И вот это - неэффективно или неправильно используемый pin - гораздо более серьез, пох. (?), 14:11 , 10-Янв-21, (22) Абсолютно так Более того, допустим у беспроводных ключей типа гостиничных рум-ло, Онаним (?), 15:14 , 10-Янв-21, (40) Как минимум должно запуститься криптографическое преобразование, чтобы наводки с, Страдивариус (?), 17:28 , 11-Янв-21, (123) Тут есть момент Если ограничивает число попыток контроллер, а операции шифрован, Онаним (?), 19:32 , 11-Янв-21, (124) 12345678 подходит в 97,3 случаев, pofigist (?), 19:20 , 10-Янв-21, (74) +2 Увы да Особенно для местных брелков ЭЦП, софт настолько удолбищен, что не-IT по, Онаним (?), 09:50 , 12-Янв-21, (130) Для местных это для каких мест-то , pofigist (?), 11:04 , 12-Янв-21, (134) У нас не так много мест, использующих ни с кем не совместимое шифрование D, Онаним (?), 15:25 , 12-Янв-21, (138) У вас - это где А обязательно нужно совместимое шифрование Чтоб как с Crypto AG, pofigist (?), 16:30 , 12-Янв-21, (139) Почему бы стандартизованный AES не использовать вместо госта, например Про асимм, Онаним (?), 20:17 , 12-Янв-21, (140) OpenSSL с гостом собрать тоже та ещё тема Шифры понимает, контейнеры нет , Онаним (?), 20:17 , 12-Янв-21, (141) Номер ГОСТа на твой AES назови, прежде чем называть его стандартом , pofigist (?), 09:47 , 13-Янв-21, (154) +1 Ахах, это да Есть стандарты, а есть госты , Онаним (?), 10:20 , 13-Янв-21, (155) –1 Есть стандарты - они называются ГОСТы Нет ГОСТа Нестандарт Считаешь иначе Увол, pofigist (?), 10:31 , 13-Янв-21, (156) +1 Тоже факт, к сожалению К счастью, я работаю там, где российские ГОСТы никакого з, Онаним (?), 10:41 , 13-Янв-21, (157) –1 В шаурмятнице за углом Ты заблуждаешься - имеют , pofigist (?), 11:11 , 13-Янв-21, (158) Что, всё Get The F cks из головы не выветрится PS чем дольше избирательно отвор, Michael Shigorin (ok), 14:41 , 13-Янв-21, (160) –1 Воот Избирательное отворачивание от реальности это какраз думать что есть еще к, pofigist (?), 14:55 , 13-Янв-21, (161) 100500 , Онаним (?), 19:10 , 13-Янв-21, (162) В 89-91 да, многих здорово стукнуло В этот раз скорее всего будет то же самое , Онаним (?), 19:11 , 13-Янв-21, (163) Более того - а что, если тебе сделать терморектальный криптоанализ, ты сможешь с, Аноним (65), 18:24 , 10-Янв-21, (65) +1 Пользователи токенов хранимые внутри токена ключи обычно не знают и нередко тол, Аноним84701 (ok), 14:39 , 10-Янв-21, (26) +1 А паяльником можно не только заставить человека что-то рассказать, но и что-то с, Аноним (47), 16:07 , 10-Янв-21, (47) +1 спасибо, товарищ майор, мы, в целом, догадываемся , пох. (?), 17:27 , 10-Янв-21, (60) Гм, Вы же понимаете, что ёрничанье было вовсе не про извлечение ключа -- кому он, Michael Shigorin (ok), 21:23 , 10-Янв-21, (86) –1 и как пяльник поможет извлечь закрытый ключи из чипа, куда нет доступа даже у , Аноним (102), 01:44 , 11-Янв-21, (103) Паяльник, как метод взлома криптографии, монополизирован властьпридержащими Все, Ordu (ok), 13:22 , 10-Янв-21, (16) // Если у тебя есть 10k чтобы их взять и выложить за такое оборудование, то ту уже, Аноним (47), 14:47 , 10-Янв-21, (28) –2 // Это стоимость автомобиля Такого чтоб не совсем корыто Держать под колпаком все, Ordu (ok), 15:47 , 10-Янв-21, (46) +1 Те, у кого есть бабки на автомобиль - купят себе автомобиль Взять и выложить та, Аноним (47), 16:11 , 10-Янв-21, (48) –3 Не надо мне рассказывать, как европейцы о о живут Располагаю информацией , Аноним (47), 21:07 , 10-Янв-21, (81) –1 О о , не о о , но нормальному программисту в Германии накопить 10к на до, Owlet (?), 21:22 , 10-Янв-21, (84) А это что, типа много для нормального программиста в России , Michael Shigorin (ok), 21:38 , 10-Янв-21, (90) –5 А он уже туда приехал , Led (ok), 22:12 , 10-Янв-21, (96) +5 А он и не уезжал , Michael Shigorin (ok), 22:27 , 10-Янв-21, (97) –4 Интересно, это по кого Мифический человеко-месяц , Аноним (-), 05:39 , 11-Янв-21, (112) Верю, что Вы всё же способны отмотать стек на два уровня выше своего вопроса А, Michael Shigorin (ok), 15:15 , 03-Июл-21, (166) Ну лох здесь, положим, Вы -- потому что ведётесь на сказки про доходы, не глядя , Michael Shigorin (ok), 21:18 , 10-Янв-21, (82) –1 Нравятся мне эти разоблачения от людей, которые на западе были пару раз проездом, Owlet (?), 21:24 , 10-Янв-21, (87) +2 Да не от , а в сторону Мы-то помним, как для Линуса на остаток от 4k скидывал, Michael Shigorin (ok), 21:39 , 10-Янв-21, (92) –2 5к евро брутто в месяц - это прикидочно на руки 3 2-3 5к в лучшем случае, квар, Аноним (-), 23:30 , 10-Янв-21, (101) Ну так 5к евриков - это средненькая зарплата, для сеньора-программера уже малова, CrazyAlex (?), 13:03 , 11-Янв-21, (119) Да вполне норамальная Учитывай, что в Европе Германии, о которой зашла речь -, Аноним (121), 14:37 , 11-Янв-21, (121) Для специализированных челов которые круты - так и поболее бывает Ничего, шигори, Аноним (-), 02:34 , 13-Янв-21, (148) +1 Миша, не отвлекайся, молись, постись, слушай радио Радонеж и пей таблетки , Аноним (110), 05:24 , 11-Янв-21, (110) Расходы - да, знаете, если железку за 10k купить то это, конечно, расходы Вот и, Аноним (111), 05:34 , 11-Янв-21, (111) +1 0 Не знаю никаких Дудей 1 Ты кто вообще такой, чтобы судить, кто заслуживает п, Аноним (47), 13:18 , 11-Янв-21, (120) Когда в США налоги тратят на биометрию - это полезно Когда в РФ налоги тратя, Онаним (?), 09:55 , 12-Янв-21, (131) Вот именно А я не хочу жить в местности населенной агрессивными глупыми зомби Ф, Аноним (-), 03:19 , 13-Янв-21, (149) Властями предержащими , Sgt. Gram (?), 15:17 , 10-Янв-21, (41) +2 // Моя бабушка говорила властьпридержащими И мне начхать на тебя , Ordu (ok), 15:41 , 10-Янв-21, (45) –6 Зато бутылки более мобильны и универсальны Клиенту всегда можно предложить выбр, Аноним (52), 16:43 , 10-Янв-21, (52) +2 // Как тебе бутылка поможет от разломаного и спущеного в унитаз токена Как максиму, Аноним (-), 18:32 , 10-Янв-21, (67) Толи дело паяльник Конечно, дедуля, иди в ногу со временем, зеленые технологии, Аноним (100), 23:27 , 10-Янв-21, (100) Мне бы Вашу уверенность Если кто не понял -- 2 было о том, что метод-то интерес, Michael Shigorin (ok), 19:28 , 10-Янв-21, (76) –3 // Как ты сравниваешь экономически Чисто по стоимости оборудования Ты понимаешь, , Ordu (ok), 19:55 , 10-Янв-21, (77) +3 Человек, который использует этот метод для атаки на другого человека - уже уголо, Аноним (47), 21:20 , 10-Янв-21, (83) А вот здесь попрошу подробнее - С упором на законность и экономику, разумеетс, Michael Shigorin (ok), 21:30 , 10-Янв-21, (88) –2 Мне кажется, это мой вопрос, не Мой аргумент -- самый общий из возможных если , Ordu (ok), 06:25 , 11-Янв-21, (114) А, и я вот подумал, что экономический анализ расклада обязательно должен учесть,, Ordu (ok), 04:56 , 12-Янв-21, (127) В развитой цывилизации нет криптографии , Аноним (27), 14:41 , 10-Янв-21, (27) // В достаточно развитой цивилизации криптография неотличима от магии , Ordu (ok), 17:55 , 10-Янв-21, (63) // Если посмотреть на современное крипто, не настолько уж и неправда Сколько челов, Аноним (-), 18:36 , 10-Янв-21, (68) +3 Да, правильнее было бы сказать так Любая достаточно развитая технология неотличи, Ordu (ok), 19:01 , 10-Янв-21, (73) +2 Ну вот про крипто это особенно верно Реально очень специфичный раздел черной ма, Аноним (-), 05:51 , 11-Янв-21, (113) А что ещё ты любишь совать , Аноним (-), 11:43 , 11-Янв-21, (118) необходимо наличие физического доступа к токену перестал читать, КО (?), 12:54 , 10-Янв-21, (4) –1 // Ну в общем да Сферическая атака в вакууме на утерянный ключ, который к тому же , Онаним (?), 12:56 , 10-Янв-21, (5) +1 // Почему сразу на утерянный Людей можно купить Если покупать их ключ на время, и, Ordu (ok), 13:36 , 10-Янв-21, (18)   // То есть, кинуть пацана - купить ключ на время, а себе оставить, беспалева, копию, пох. (?), 14:09 , 10-Янв-21, (21) –2   Зачем же без палева Он вполне осознанно пойдёт на риск Главное заплатить ему д, Ordu (ok), 14:51 , 10-Янв-21, (29) +1   Бухнул Клофелин Очнулся - ключ на месте Все ок А вот вам индейское жилище - , pofigist (?), 15:02 , 10-Янв-21, (33) +2 // Да можно даже и не бухнуть Пошёл в сауну попариться, в бассейне поплавать Ключ, Онаним (?), 15:04 , 10-Янв-21, (34) +2 Ну и шлюх никто не отменял, ога Вариантов уйма Даже Джон Ребел не хранит клю, pofigist (?), 15:09 , 10-Янв-21, (37) +1 Я иногда вижу брелки в таком состоянии, что вот насчёт неиспользуемости конкретн, Онаним (?), 15:17 , 10-Янв-21, (42) +1 Я вижу другое пространство для атак bitlocker у нас повально с чем используют , Онаним (?), 13:04 , 10-Янв-21, (10) +2 // Основная мораль тут - не надо полагаться на физическую защищённость этих чипов, , Crazy Alex (ok), 16:59 , 10-Янв-21, (55) +1 // Более того - технически TPM это обычно просто проц С какой-то фирмварью Наглух, Аноним (-), 18:42 , 10-Янв-21, (69) +2 bitlocker ХА Этот ваш bitlocker в момент апгрейда винды при перезагрузках к, Аноним (102), 01:48 , 11-Янв-21, (104) Как вариант можно экран не снаружи микросхемы делать, а внутри Тогда придётся л, Аноним (14), 13:10 , 10-Янв-21, (14) Выявлен метод блокирования сообщений на опеннете, посредством ошибки, ссылающейс, Аноним (15), 13:15 , 10-Янв-21, (15) +1 // Это я так понимаю защита от совсем тупого спама скрипткиддями, а не анонимности , Онаним (?), 15:21 , 10-Янв-21, (44) +3 Хорошо, erthink (ok), 14:00 , 10-Янв-21, (20) –1 Значит надо 1 Забрать токен у владельца2 Разобрать, подключить к измерителю3 , Аноним (25), 14:22 , 10-Янв-21, (25) +1 // исследователи за 3 года превентивно заинженирили ключ с токена, а деятели - эЭ,, Аноним (75), 19:26 , 10-Янв-21, (75) FIDO U2F как правило работает без пин-кода, ъеъ (?), 20:38 , 20-Янв-21, (165) Простой вопрос - а нам то оно нах Тут 100 аудитории даже не слашало об этой ф, Аноним (53), 16:47 , 10-Янв-21, (53) –2 // Ну если вы не слышали - это ваши проблемы U2F ключи спокойно уже можно использо, Kuromi (ok), 17:18 , 10-Янв-21, (58) +1 // Банки а мы и не спим Хинт ВТБ ДОБИЛ надежную и _уже_ развернутую двухфакторк, пох. (?), 17:33 , 10-Янв-21, (61) Ясно, никому ненужное ненужно , Аноним (-), 18:46 , 10-Янв-21, (70) –1 Аппаратный ключ GnuPG можно сделать самому за 5 бел рублей https habr com ru, Сейд (ok), 21:22 , 10-Янв-21, (85) –2 // Это не GPG, Kuromi (ok), 21:34 , 10-Янв-21, (89) А что это , Сейд (ok), 21:39 , 10-Янв-21, (91) –1 Это аппаратный ключ конкретно эти - roaming authenticator, а еще есть платфомен, Kuromi (ok), 02:53 , 11-Янв-21, (106) –1 Если мы именно об u2f говорим - то тоже спокойно делается https hackaday com 2, Crazy Alex (ok), 03:16 , 11-Янв-21, (107) Да, есть проекты по самопальным U2F ключам, но тут есть 2 момента 1 Сейчас сосб, Kuromi (ok), 03:39 , 11-Янв-21, (108) Лишь бы не пользоваться pgp Короче дешевое поделие для лохов Покупай, налетай,, Аноним (122), 14:44 , 11-Янв-21, (122) +1 PGP прекрасен, но ни браузерs его не поддерживаю,т ни вэбсервисы Смысл же U2F W, Kuromi (ok), 01:44 , 12-Янв-21, (126) Они поддерживают ssh ключи, в смысле, git-хостинги А вебсервисам и не надо подд, Аноним (-), 03:32 , 13-Янв-21, (150) +1 Вот это интересная идея , Аноним (-), 23:21 , 10-Янв-21, (99) +1 Т е история с ультразвуком от CPU при дешифровке RSA никого ничему не научила , asdasd (?), 20:41 , 10-Янв-21, (79) +1 // Т е история с пишинечитай кого то ничему не научила Прочтение минуты вашего вр, Аноним (78), 21:01 , 10-Янв-21, (80) +2 то был акустический https www cs tau ac il tromer acoustic , это электромагни, Аноним (-), 21:54 , 10-Янв-21, (93) // https www tau ac il tromer mobilesc , Аноним (-), 21:58 , 10-Янв-21, (94) Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации в ра, Аноним (95), 22:02 , 10-Янв-21, (95) –4 // Генерирование ключей и генерирование цифровой подписи - это разные вещи , Аноним (98), 22:48 , 10-Янв-21, (98) +1 зачем делать копия ключа, если у вас на руках уже оригинальный ключ вы всё равн, Аноним (125), 21:52 , 11-Янв-21, (125) // https www opennet ru openforum vsluhforumID10 5564 html как например , pofigist (?), 13:45 , 14-Янв-21, (164) Надо же, а мужики из АНБ просто забирают ключ через ужаленный бэкдор, который Гу, Аноним (136), 13:25 , 12-Янв-21, (136) // удаленный, Аноним (136), 13:25 , 12-Янв-21, (137) +1 Ужаленный во что В джеппу, судя по синим труселям , Аноним (-), 03:33 , 13-Янв-21, (151) +1 Сфеерический в вакууме, Аноним (143), 23:33 , 12-Янв-21, (143) 1,2,4,14,15,20,25,53,79,95,125,136,143

Сообщения

[Сортировка по времени | RSS]

	18. "Выявлен метод клонирования ключей из криптографических токен..."	+/–
	Сообщение от Ordu (ok), 10-Янв-21, 13:36
	> Сферическая атака в вакууме на утерянный ключ, который к тому же ещё разломать придётся. Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время, и потом вернуть ключ обратно, почти как новый... В смысле, почти как старый, то возможно стоимость этого окажется не больше, чем стоимость оборудования для съёма ключа. Тут другой вопрос в том, что результаты исследования были опубликованы. А это значит, что любая вменяемая служба безопасности предпримет меры к тому, чтобы, как минимум, сокрыть слив ключа было бы сложно. А производители ключей придумают что-нибудь своё, чтобы стоимость снятия ключа ещё поднять. Откуда и вывод, что ценность это исследование представляет в основном для этих самых служб безопасности и производителей токенов. > Самое поганое, что судя по оборудованию, подобная атака потенциально возможна почти на любые типы ключей. Возможна атака на любые типы ключей. Если не эта, то какая-нибудь другая. Но вопрос не в возможности атаки, возможность даже не обсуждается, вопрос в стоимости этой самой атаки. Если стоимость выше того, что можно получить через эту атаку, то и нахрен она кому нужна такая? Только террористы будут проводить атаку себе в ущерб, но если они не без бошки совсем, то и их случай вполне можно анализировать методами капиталистической экономики, сводя всё к вечнозелёным баксам.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Выявлен метод клонирования ключей из криптографических токен..."	–2 +/–
	Сообщение от пох. (?), 10-Янв-21, 14:09
	> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время, То есть, кинуть пацана - купить ключ на время, а себе оставить, беспалева, копию навсегда? Ну, как-то это... не по понятиям.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Выявлен метод клонирования ключей из криптографических токен..."	+1 +/–
	Сообщение от Ordu (ok), 10-Янв-21, 14:51
	>> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время, > То есть, кинуть пацана - купить ключ на время, а себе оставить, > беспалева, копию навсегда? Зачем же без палева? Он вполне осознанно пойдёт на риск. Главное заплатить ему достаточно.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема