Previous Entry Share Next Entry
2016-01

сесурити!

бльооо, в этой статье прекрасно вообще всё. а еще она обьясняет некоторые новости более ранних лет...

TLDR: приватные ключи eToken (Крипто-Ком, Крипто-Про, Message-Pro, Сигнатура, Верба) тривиально экспортируемы с токена.

https://habrahabr.ru/post/276057/

This entry was originally posted at http://wizzard.dreamwidth.org/462059.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
max630 January 29th, 2016
Что-то я не понял - эти фигни разве не имеют документированного интерфейса, что надо реверсить библиотеки? По-моему этого было бы достаточно чтобы их не использовать.

Вообще какое-то время назад арканоид разбитался с етокенами, он должен всё знать про них.

wizzard0 January 29th, 2016
имеют конечно, но как же не пореверсить? это ж чистый фан

arkanoid January 29th, 2016
Да что там реверсить, разгадка проста: эта версия ГОСТ аппаратно не умеет. Дальше можно не объяснять. Другого способа с ним работать, чем изображать флэшку тупо быть не может.

juan_gandhi January 29th, 2016
После курса криптографии я смотрю на интернет с ужасом, а на нашу конторскую секьюрити - со смехом.

arkanoid January 29th, 2016
Наймите нормальную!

mbr January 29th, 2016
Админ? Реверсил? При наличии стандартизированного ccid у почти всех токенов (у Rutoken S разве что свой велосипед). Зачем?

Криптоконтейнеры экспортируются крипто-про без всякого там реверса.

arkanoid January 29th, 2016
Эмм, там middleware свое и файловая система совсем своя.

Их можно инициализировать через opensc, но формат будет несовместим.

swdukk January 29th, 2016
насколько я понял там свой велосипед с криптоконтейнером поэтому его конечно в том-же Linux видно как данные, но формат их неузнаваем для pcscd

black_eric January 29th, 2016
Работа с токенами может вестись по протоколу PKCS#11.
Токены могут работать в двух режимах: активном и пассивном.
В активном режиме ключевая пара генерится на токене и не извлекаема. Все операции с ключами выполняются внутри токена.
В пассивном - токен действительно фактически представляет собой запароленую флешку и ключи для работы считываются с токена.

Для работы в активном режиме его должны поддерживать токен и софт. Практически весь встреченный мной софт работал в пассивном режиме.

Токены рассматриваемые в статье на хабре заставить работать в активном режиме у меня не получилось. Похоже они его не поддерживают.

arkanoid January 29th, 2016
А ты не знал, что ли?

Над ними уже лет десять ржут.

Причем сейчас есть нормальный вариант, а еще пять лет назад не было.

wizzard0 January 31st, 2016
Не, не знал) Я ж с токенами не сталкивался практически

justy_tylor January 29th, 2016
Мне другое непонятно. Почему на этих брелках видят какую-то "секьюрити", если (даже при неизвлекаемых ключах) нет никакого контроля, что за лабуда будет ими подписана.

wizzard0 January 31st, 2016
Это другой вопрос. Который требует еще trusted UI, хотя бы. Как у Digipass, например.

justy_tylor January 31st, 2016
Тут ещё UI должен быть достаточный для прочитать/рассмотреть. Мне кажется, что какой-нибудь ноут с Qubes в этом плане надёжнее. Во всяком случае, пока массовые производители типа Lenovo гадят закладками только под версии виндов. Иначе ой.

109 January 29th, 2016
да, смешно. кстати, помнишь, какие-то чуваки для биткойна делали девайс, который по сути должен был быть полноценным HSM, но гораздо дешевле. не знаю, чем у них дело кончилось, я перестал следить.

blackyblack January 29th, 2016
Trezor что-ли? Сделали, а я кастомную прошивку для него делал.

109 January 29th, 2016
да, точно, трезор.

nponeccop January 30th, 2016
их там 100500 штук уже понаделали.

А так крипточипов разнонаправленых ща полно, по цене грязи:

http://eu.mouser.com/Search/ProductDetail.aspx?qs=fJ6RdVfMUqiJ%252bmv%2fm2SJAg%3d%3d

  • 1
?

Log in

No account? Create an account