Comments 39
Вот точно такой же висит сейчас на ключах. Спасибо, будем звонить и узнавать.
Опять за ним ехать…
Однако.
Написал запросец в корпорацию, которая мне дала токен…
Написал запросец в корпорацию, которая мне дала токен…
Вот чего я не могу понять, так это зачем надо было RSA хранить криптографические ключи после зашивки их в токены и передачи клиенту? И зачем секретный алгоритм? Текущее значение часов шифруйте любым надёжным блочным шифром на том самом ключе, который надо хранить клиенту (а не RSA) в токене и на сервере аутентификации, от шифрованного блока откусывайте сколько надо циферок и показывайте. Фсё. Кто мне может объяснить, зачем здесь security through obscurity?
Гм… А нет ли более подробного ответа, нежели минусование?
> зачем надо было RSA хранить криптографические ключи
Затем, чтобы американское правительство имело доступ ко всему, что защищено этой технологией. Или затем, что так можно содрать больше бабла, но уж точно не ради безопасности пользователей. А секретный алгоритм — это чтобы никто не догадался насколько всё уныло.
З.Ы. плюсанул и послал лучики поноса хомячкам минусующим нормальный коммент.
Затем, чтобы американское правительство имело доступ ко всему, что защищено этой технологией. Или затем, что так можно содрать больше бабла, но уж точно не ради безопасности пользователей. А секретный алгоритм — это чтобы никто не догадался насколько всё уныло.
З.Ы. плюсанул и послал лучики поноса хомячкам минусующим нормальный коммент.
позвольте предположить, что возможно данный алгоритм действий задумывался для сетей, которые могут быть ограничены от интернета\корпоративной сети?
И возможно для того что бы не передавать секретный ключ по возможно открытым каналам связи?
Если не прав, поправьте пожалуйста
И возможно для того что бы не передавать секретный ключ по возможно открытым каналам связи?
Если не прав, поправьте пожалуйста
А зачем вообще передавать секретный ключ?
хм. вообще-то не зачем. Ошибся. вопрос шел о хранении криптографических ключей.
насколько я понял, система может работать без выработки вторым абонентом секретного ключа, что делает её привлекательной. Ну а если алгоритм секретный, то это не позволяет проверить его криптостойкость, что несоменно минус.
насколько я понял, система может работать без выработки вторым абонентом секретного ключа, что делает её привлекательной. Ну а если алгоритм секретный, то это не позволяет проверить его криптостойкость, что несоменно минус.
UFO just landed and posted this here
> А идея с шифрованием текущего значения времени какая-то совсем не от мира сего. Все ведь знают текущее время.
Сорри, не соглашусь. Текущее время знают все, а вот ключ, на котором шифруется это время чтоб получить криптограмму знает только токен и сервер. Как Вы, зная текущее время, но не зная ключа криптограмму вычислите?
Сорри, не соглашусь. Текущее время знают все, а вот ключ, на котором шифруется это время чтоб получить криптограмму знает только токен и сервер. Как Вы, зная текущее время, но не зная ключа криптограмму вычислите?
UFO just landed and posted this here
Блочный шифр тоже может работать генератором псевдослучайных чисел, причём качественным с точки зрения невозможности предсказания неизвестных элементов последовательности по имеющимся. Почитайте вот тут.
UFO just landed and posted this here
Хорошо. Предположим, Вы реализуете сервер аутентификации этих самых токенов. Пришёл к Вам запос — те самые цифирки с экрана. Чтоб проверить, что Вас не обманывают, Вам надо _точно_ знать текущее состояние токена. Как сервер будет знать текущее значение ГПСЧ токена?
Единственная общая _неконстантная_ информация между сервером и токеном — текущее значение времени (причём по Гринвичу). Я не спорю, Вы можете придумать свой стойкий генератор псевдослучйных чисел в токене, выдающий новое число каждые 10 секунд. Но это всё равно будут «часы», пусть не с инкрементом секунд, только более сложные с точки зрения поддержки на сервере.
Единственная общая _неконстантная_ информация между сервером и токеном — текущее значение времени (причём по Гринвичу). Я не спорю, Вы можете придумать свой стойкий генератор псевдослучйных чисел в токене, выдающий новое число каждые 10 секунд. Но это всё равно будут «часы», пусть не с инкрементом секунд, только более сложные с точки зрения поддержки на сервере.
UFO just landed and posted this here
Т.е. Вы предлагаете хранить на сервере базу «времён запуска» для тысяч токенов? Не самый простой вариант, не так ли?
Попробуйте реализовать Ваш ГПСЧ в токене и сам сервер, на С или Java, что Вам больше нравится. И увидите, как простота на стороне токена обернётся лишней сложностью на сервере.
Попробуйте реализовать Ваш ГПСЧ в токене и сам сервер, на С или Java, что Вам больше нравится. И увидите, как простота на стороне токена обернётся лишней сложностью на сервере.
UFO just landed and posted this here
Давайте не будем спорить. Опишите полностью свой ГПСЧ в токене и, самое главное, как Вы будете верифицировать запросы на сервере. Свой вариант протокола я описал в первом моём посте к этой статье. Давайте сравним.
UFO just landed and posted this here
За моё сердце не беспокойтесь :)
Напишите реализацию сервера, только учтите, что у Вас потенциально может быть миллиард разных токенов (скажем, китайское правительство подписало с Вами контраки на разработку gosuslugi.cn, с аутентификацией на токенах), не умрёт ли сервер, делая по миллиарду вычислений каждые 60 секунд?
Напишите реализацию сервера, только учтите, что у Вас потенциально может быть миллиард разных токенов (скажем, китайское правительство подписало с Вами контраки на разработку gosuslugi.cn, с аутентификацией на токенах), не умрёт ли сервер, делая по миллиарду вычислений каждые 60 секунд?
контракИ->контракТ
сорри, пишу без русских букв на клавиатуре
сорри, пишу без русских букв на клавиатуре
UFO just landed and posted this here
Если Вы считаете, что постоянные предвычисления для каждого токена — это не есть проблема, не буду с Вами спорить.
Алгоритм, реально использующийся в токенах RSA, мы пока не знаем, поживём — увидим.
Алгоритм, реально использующийся в токенах RSA, мы пока не знаем, поживём — увидим.
UFO just landed and posted this here
Дык оно нужно один раз в момент аутентификации, а не каждые сколько-то секунд для _всех_ токенов в базе.
UFO just landed and posted this here
1. Я удивлюсь, если у RSA требуется постоянно проводить предвычисления на каждый токен.
2. Синхронизация очень простая, называется часы. Достаточно вычислить криптограмму на текующую минуту и на пару предыдущих, если пользователь долго циферки вводил. И, кстати, Ваш вариант тоже требует такую же точную синхронизацию.
Всё, давайте, пожалуйста, больше не будем спорить, всё что можно уже обспорили.
2. Синхронизация очень простая, называется часы. Достаточно вычислить криптограмму на текующую минуту и на пару предыдущих, если пользователь долго циферки вводил. И, кстати, Ваш вариант тоже требует такую же точную синхронизацию.
Всё, давайте, пожалуйста, больше не будем спорить, всё что можно уже обспорили.
Конечно бесплатно выдают. Их товар не ключи, а сама безопасность.
А у меня их 8 разных… И не от одной организации…
Обратите внимание, компания, специализирующая на безопасности, имеющая 70% на рынке OTP токенов, да и просто хорошие парни… В общем крепость такого уровня при всей многоуровневой защите была взята обычным пиьсмом с .xls вложением.
Проектируй не проектируй системы, а человеческий фактор вносит изрядной долю неопределенности впрочессе обеспечения безопасности.
Проектируй не проектируй системы, а человеческий фактор вносит изрядной долю неопределенности впрочессе обеспечения безопасности.
А что, где-то уже есть подробное описание, как всё случилось?
Что же вы так подставляетесь? :) Ализар прямо в тексте поста привел ссылку на расследование самой RSA с подробным изложением и анатомией атаки.
Ой, слона-то я и не приметил…
Хм, а для software tokens надо что-то делать?:)
Также есть возможность получить пробу в виде 2ух токенов и для этого необязательно быть юридическим лицом: www.rsa.com/go/profile2.asp
Заказывал очень давно, компанию как и должность можно выдумать. Высылают UPS, поэтому ждать долго не придется.
P.s Довольно таки неплохой набор брелоков или возможность изучить девайс ;)
Заказывал очень давно, компанию как и должность можно выдумать. Высылают UPS, поэтому ждать долго не придется.
P.s Довольно таки неплохой набор брелоков или возможность изучить девайс ;)
Sign up to leave a comment.
RSA бесплатно заменит токены SecurID всем корпоративным клиентам