Jump to content
Калькуляторы

Рутокен + SSH

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00.

Share this post


Link to post
Share on other sites

Практическая печаль с токенами в том

Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраном и зарезанными любыми лишними интерфейсам. Которое показывает тебе, что именно ты там подписываешь и каждый раз при запросе спрашивает "а точно надо?". Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Share this post


Link to post
Share on other sites

Возвращаясь к теме - нужно действительно брать смарт. Только попытаться сделать не классический OTP - их надоедает набирать, а так как сейчас у некоторых сделано (у Гугла и Микрософт точно видел). При попытке логина На смарте (который второй фактор) всплывает окошко и просит подтвердить, что действительно заходишь. Нажатием одной кнопки.

Share this post


Link to post
Share on other sites
Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраном
Не спасёт. Во-первых, потому что главная проблема в прокладке между стулом и ПК, а во-вторых, на сей доверенный чудо-девайс придётся передавать реальные данные в транспортном формате ДБО, иначе всё это исключительно профанация.

 

Проблему с ДБО подтверждаю. Лично знаю случаи. Кстати, две ЭЦП на платёжку — уже решают, только понятно дело, не с одного и того же компа.

Share this post


Link to post
Share on other sites
Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ.

Я именно это и имел ввиду.

Кстати, если токен для подписи принимает что то кроме хэша, например рандом, то это фейл. Ровно как и если он этот рандом получает скажем хэшируя хэш.

Ибо при известном рандоме закрытый ключ легко извлекается после второй подписи. Соньку так сломали.

 

Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем.

Оно скорее когда терминал не очень доверенный.

 

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00.

Тут бы проблему решил девайс который показывал что подписывают у себя на экране...

Смартфон мне в этом плане не нравится тем, что там слишком избыточный функционал и большая поверхность атаки.

Share this post


Link to post
Share on other sites

Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Есть девайсы от питерской фирмы, работающие по принципу промежуточного хаба. У ей унутре таймер, 30 секунд - и порты отключаются, не успел - вставляй токен заново. Название конторы поищу в почте. Также есть опыт написания скрипта для devcon.exe, коий из планировщика также гасит токены каждый час, хоть какая-то защита.

Edited by jffulcrum

Share this post


Link to post
Share on other sites

Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов.

А вот, кстати, почему они(USB токены) еще сохранились для банковских клиентов? Вроде бы банки в любом случае карточку с чипом выдают. Поэтому достаточно стандартный карт-ридер к ней приложить - и получится в точности такой же токен. Только стандартнее в обслуживании. Карточки-то банк выпускает десятками тысяч.

 

Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак?

Share this post


Link to post
Share on other sites

Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак?

в своё время прикручивали магнитные карты(через USB читалку-как-клавиатуру). работало.

о всяких безопасностях-рисках-атаках думать самостоятельно)

 

полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать)

чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет?

Share this post


Link to post
Share on other sites

полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать)

Я про обычные контактные. У меня даже ридер для таких валяется.

 

чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет?

Я больше про то, есть ли возможность обнулить весь чип и зашить в него свое приложение. А то банковское уж очень неудобное для использования с этой целью.

Share this post


Link to post
Share on other sites

Не пойдет?

" and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже.

Share this post


Link to post
Share on other sites

" and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже.

У меня есть большие сомнения, что смарткарты типа банковских чипов позволят запустить более-менее устойчивое крипто, которое годится для ssh.

Если они вообще вас пустят в свои потроха.

Share this post


Link to post
Share on other sites

Что-то последние сообщения погрызлить, а ссылки искать снова лень.

Я так понял конечный вердикт - карточку использовать не получится?

Ну, ОК. А как насчет старых SIM-ок? Они точно какую-то криптографию уметь должны.

Share this post


Link to post
Share on other sites

Забудь.

Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах.

Только на домофонах дешман который только серийник имеет, а есть взрослые вещи даже с джаво машиной внутри и криптоускорителями.

Заодно решается проблема что оно постоянно будет в комп воткнуто.

 

Впрочем, полагают и смарт карты есть отдельные.

И TPM модули внешние по юзби.

 

Но это деньги, с халявными симками и банковскими картами у тебя вряд ли что то получится, по крайней мере в стиле: "хуяк-хуяк и в продакшин", скорее всего нужно будет убить кучу времени и похакать их, если вообще получится.

Share this post


Link to post
Share on other sites
Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах.
Только не iButton, а Dallas серии DS19XX. Всё упирается в ридеры, точнее их отсутствие и «стандартные» 12V для программирования. А если ты имел в виду DS1963S или DS1961S — на сайте прямо написано: «идете на..й», в смысле, «NDA required».

Share this post


Link to post
Share on other sites

Это уже не мои проблемы.

12В из 5В получить не проблема.

Share this post


Link to post
Share on other sites
12В из 5В получить не проблема.
Может быть и не проблема, проблема получить NDA.

 

Eсли брать DS199{2,3,5,6}, то им и не нужны 12V: извини, не знал. Но чем это *принципиально* отличается от флешки? Всё это приветы из «тёмных» времён, да и относится оно больше к СКУД, нежели к защищённым носителям.

 

Кстати, у нас выпускают К1446ВГ5П — клон DS2502. Идёт в качестве домофонных таблеток. Килобит памяти в нагрузку.

Share this post


Link to post
Share on other sites

Всё упирается в ридеры, точнее их отсутствие

https://www.aladdin-rd.ru/catalog/ibutton/readers

https://www.securitycode.ru/products/pak_sobol/models/

Сам по себе usb-ридер - чуть модифицированный USB2COM, то есть две микрухи: USB-UART (pl2303 или ftdi) и UART-RS232(max232) и обвес для 1-wire по COM-порту. Самостоятельно разводится за вечер под пиво радиолюбителем.

Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться.

Тот же pci "соболь", вставленный в сервак, наглухо его вешал стабильно раз в две недели, лечилось это только обесточиванием кнопкой на блоке питания, обычный ресет не помогал.

Share this post


Link to post
Share on other sites
Самостоятельно разводится за вечер под пиво радиолюбителем.
Даже комментировать не буду. Термодатчик, может быть, таким макаром считать и получится. Через раз. Для всего остального — нужен аппаратный интерфейс. Радиолюбителю намного проще использовать STM32 через USB. Не знаю как там с криптографией — тоже наверное NDA — но это прекрасно реализуется и программно.
За такие деньги не то что настоящий смартфон можно купить, можно и отдельный компьютер.
Спасибо, поблевал.

Share this post


Link to post
Share on other sites

Ну, я из <$10 могу сделать HOTP, но вот с TOTP засада - RTC на дешевых платках нет.

Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Вобщем надо думать :)

Share this post


Link to post
Share on other sites
Вобщем надо думать :)
Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :)

Share this post


Link to post
Share on other sites
Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Капслоком мигать :)

Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается.

 

Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :)

Вот ты поржать написал, а я задумался: а что если ибуттон вместо серийника начнёт выдавать что то по длиннее.

Полюбому в какихнить замках или скуд может и буфер переполнится и стёк сорвать...

Share this post


Link to post
Share on other sites
Вот ты поржать написал
Не то чтобы поржать... Реальный вектор атаки... А если винда 32-битная, т.е. есть ntvdm, всё ещё страшнее.

 

Насчёт СКУД — не ты один догадался. Понятно дело — уязвимо. На страже стоят только security by obscurity и Неуловимый Джо: два супергероя, до сих пор не позволившие нашей цивилизации слиться в унитаз.

Share this post


Link to post
Share on other sites
Если я введу плату в режим HID - непонятно как получить тогда время с компа.

Капслоком мигать :)

Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается.

Практически у всей компьютерной техники есть звуковые вход-выход. Можно ими пользоваться. И даже без полноценной реализации модема c AT командами - просто реализацией кодирования/модуляции обойтись. Или, если уж совсем дешево и сердито - DTMF. Для передачи полусотни бит timestamp или другого параметра пойдет. Заодно необходимость в USB отпадает.

 

Или - линейным баркодом на экране рисуем и просто фотодиодом просим провести.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this