Перейти к содержимому
Калькуляторы

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Практическая печаль с токенами в том

Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраном и зарезанными любыми лишними интерфейсам. Которое показывает тебе, что именно ты там подписываешь и каждый раз при запросе спрашивает "а точно надо?". Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к теме - нужно действительно брать смарт. Только попытаться сделать не классический OTP - их надоедает набирать, а так как сейчас у некоторых сделано (у Гугла и Микрософт точно видел). При попытке логина На смарте (который второй фактор) всплывает окошко и просит подтвердить, что действительно заходишь. Нажатием одной кнопки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраном
Не спасёт. Во-первых, потому что главная проблема в прокладке между стулом и ПК, а во-вторых, на сей доверенный чудо-девайс придётся передавать реальные данные в транспортном формате ДБО, иначе всё это исключительно профанация.

 

Проблему с ДБО подтверждаю. Лично знаю случаи. Кстати, две ЭЦП на платёжку — уже решают, только понятно дело, не с одного и того же компа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ.

Я именно это и имел ввиду.

Кстати, если токен для подписи принимает что то кроме хэша, например рандом, то это фейл. Ровно как и если он этот рандом получает скажем хэшируя хэш.

Ибо при известном рандоме закрытый ключ легко извлекается после второй подписи. Соньку так сломали.

 

Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем.

Оно скорее когда терминал не очень доверенный.

 

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00.

Тут бы проблему решил девайс который показывал что подписывают у себя на экране...

Смартфон мне в этом плане не нравится тем, что там слишком избыточный функционал и большая поверхность атаки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Есть девайсы от питерской фирмы, работающие по принципу промежуточного хаба. У ей унутре таймер, 30 секунд - и порты отключаются, не успел - вставляй токен заново. Название конторы поищу в почте. Также есть опыт написания скрипта для devcon.exe, коий из планировщика также гасит токены каждый час, хоть какая-то защита.

Изменено пользователем jffulcrum

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов.

А вот, кстати, почему они(USB токены) еще сохранились для банковских клиентов? Вроде бы банки в любом случае карточку с чипом выдают. Поэтому достаточно стандартный карт-ридер к ней приложить - и получится в точности такой же токен. Только стандартнее в обслуживании. Карточки-то банк выпускает десятками тысяч.

 

Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак?

в своё время прикручивали магнитные карты(через USB читалку-как-клавиатуру). работало.

о всяких безопасностях-рисках-атаках думать самостоятельно)

 

полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать)

чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать)

Я про обычные контактные. У меня даже ридер для таких валяется.

 

чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет?

Я больше про то, есть ли возможность обнулить весь чип и зашить в него свое приложение. А то банковское уж очень неудобное для использования с этой целью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не пойдет?

" and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

" and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже.

У меня есть большие сомнения, что смарткарты типа банковских чипов позволят запустить более-менее устойчивое крипто, которое годится для ssh.

Если они вообще вас пустят в свои потроха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то последние сообщения погрызлить, а ссылки искать снова лень.

Я так понял конечный вердикт - карточку использовать не получится?

Ну, ОК. А как насчет старых SIM-ок? Они точно какую-то криптографию уметь должны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь.

Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах.

Только на домофонах дешман который только серийник имеет, а есть взрослые вещи даже с джаво машиной внутри и криптоускорителями.

Заодно решается проблема что оно постоянно будет в комп воткнуто.

 

Впрочем, полагают и смарт карты есть отдельные.

И TPM модули внешние по юзби.

 

Но это деньги, с халявными симками и банковскими картами у тебя вряд ли что то получится, по крайней мере в стиле: "хуяк-хуяк и в продакшин", скорее всего нужно будет убить кучу времени и похакать их, если вообще получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах.
Только не iButton, а Dallas серии DS19XX. Всё упирается в ридеры, точнее их отсутствие и «стандартные» 12V для программирования. А если ты имел в виду DS1963S или DS1961S — на сайте прямо написано: «идете на..й», в смысле, «NDA required».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это уже не мои проблемы.

12В из 5В получить не проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12В из 5В получить не проблема.
Может быть и не проблема, проблема получить NDA.

 

Eсли брать DS199{2,3,5,6}, то им и не нужны 12V: извини, не знал. Но чем это *принципиально* отличается от флешки? Всё это приветы из «тёмных» времён, да и относится оно больше к СКУД, нежели к защищённым носителям.

 

Кстати, у нас выпускают К1446ВГ5П — клон DS2502. Идёт в качестве домофонных таблеток. Килобит памяти в нагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё упирается в ридеры, точнее их отсутствие

https://www.aladdin-rd.ru/catalog/ibutton/readers

https://www.securitycode.ru/products/pak_sobol/models/

Сам по себе usb-ридер - чуть модифицированный USB2COM, то есть две микрухи: USB-UART (pl2303 или ftdi) и UART-RS232(max232) и обвес для 1-wire по COM-порту. Самостоятельно разводится за вечер под пиво радиолюбителем.

Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Тот же pci "соболь", вставленный в сервак, наглухо его вешал стабильно раз в две недели, лечилось это только обесточиванием кнопкой на блоке питания, обычный ресет не помогал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самостоятельно разводится за вечер под пиво радиолюбителем.
Даже комментировать не буду. Термодатчик, может быть, таким макаром считать и получится. Через раз. Для всего остального — нужен аппаратный интерфейс. Радиолюбителю намного проще использовать STM32 через USB. Не знаю как там с криптографией — тоже наверное NDA — но это прекрасно реализуется и программно.
За такие деньги не то что настоящий смартфон можно купить, можно и отдельный компьютер.
Спасибо, поблевал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, я из <$10 могу сделать HOTP, но вот с TOTP засада - RTC на дешевых платках нет.

Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Вобщем надо думать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вобщем надо думать :)
Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Капслоком мигать :)

Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается.

 

Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :)

Вот ты поржать написал, а я задумался: а что если ибуттон вместо серийника начнёт выдавать что то по длиннее.

Полюбому в какихнить замках или скуд может и буфер переполнится и стёк сорвать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот ты поржать написал
Не то чтобы поржать... Реальный вектор атаки... А если винда 32-битная, т.е. есть ntvdm, всё ещё страшнее.

 

Насчёт СКУД — не ты один догадался. Понятно дело — уязвимо. На страже стоят только security by obscurity и Неуловимый Джо: два супергероя, до сих пор не позволившие нашей цивилизации слиться в унитаз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Капслоком мигать :)

Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается.

Практически у всей компьютерной техники есть звуковые вход-выход. Можно ими пользоваться. И даже без полноценной реализации модема c AT командами - просто реализацией кодирования/модуляции обойтись. Или, если уж совсем дешево и сердито - DTMF. Для передачи полусотни бит timestamp или другого параметра пойдет. Заодно необходимость в USB отпадает.

 

Или - линейным баркодом на экране рисуем и просто фотодиодом просим провести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно проще - serial, но завязывать с браузером сложнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.