Звучит цинично, но автопроизводители не заинтересованы делать хорошую защиту
Выходит, первое, что должен сделать покупатель — это поменять заводскую защиту на защиту стороннего производителя, в которой уверен? Влечет ли это какие-нибудь последствия типа потери фирменной гарантии?
Ок. Представим схему: в брелке и в машине есть своя пара публичных и приватных ключей, которыми подписывается случайный набор байт (уникальный при каждом сеансе связи) в том или ином виде. Вопрос: каким образом перехват поможет получить ключи?
Да, я согласен, что уникальный ключ для каждого клиента усложнит жизнь «злоумышленникам», НО для каждого клиента тогда надо будет готовить уникальные железяку, прошивку, ключ-файлы и т.п., что в процессе массового производства не лучшая идея. Вам придется напрямую обращаться в фирму для восстановления это ключа, что может занять от пары дней до нескольких месяцев, а могут вообще ответить отказом. Если вы потеряете свой уникальный брелок от элитной машины, ваше авто будет стоять в гараже и у вас будет только два пути: ждать пока пришлют этот брелок или менять всю охранную систему под новый ключ.
Почему-то мне кажется, что в астрономические цены на люксовые машины можно заложить и индивидуальные ключи (тем более, что никаких сложностей при массовом их производстве нет), и сервис по быстрому их восстановлению.
Например многие .NET разработчики просили о возможности которая уже давно была доступна C++ программистам: просмотр результатов возвращаемых функцией прямо в отладчике, даже если эти значения не сохранялись в объявленных переменных
Таких раньше «кулаками» называли, с определенными последствиями.
Это слегка не верно. Кулак — это вовсе не простой трудолюбивый, а потому зажиточный крестьянин (таких называли «середняки»). Кулаки занимались (полу)рабской эксплуатацией других крестьян, ростовщичеством, в отдельных случаях тем, что мы называем «организованная преступность». Пример кулаков из современности — нашумевшая банда Цапка.
Есть много правдоподобных ошибочных доказательств. Некоторые из них были известны уже во времена самого Ферма. Высока вероятность, что сам Ферма нашел одно из них.
И часы синхронизируете по защищённому протоколу? Всё как положено?
Мне кажется, что мы можем допустить рассинхронизацию часов между клиентом и сервером на некоторое количество минут m. Если клиентский timestamp вылезает за этот порог, то считаем его невалидным. Если не вылезает, то проверяем список HMAC запросов от этого клиента за последние 2m минут. Если нашли совпадение, то это replay-атака. Если не нашли, то можем выполнить запрос.
www.dropbox.com/help/7/en