Комментарии 76
вывезти с Родины через границу нечто, содержащее в себе функцию шифрования, пусть даже на стандартных компонентах и общеизвестных алгоритмах, непросто.
А как вы завозите их на Родину, раз производство за рубежом? Есть нотификация? Или для стран таможенного союза вы их у себя производите?
Ясно же для чего такие запреты делаются — создаются рабочие места нотификаторов, образуется некоторое количество подарочных рабочих мест для друзей и партнеров, опять же процентик за нотификационные услуги можно где-нибудь в Панаме на антикварные виолончели поменять. Масса плюсов, никаких минусов.
Иными словами, разработка и производство — не заинтересуют. Только перемещение через границу.
Но так вы же и защищаете пароли, это не то самое исключение требующее лицензирования, которое упоминается?
И вообще там как-то странно записано в положении «деятельность с использованием», а не «деятельность связанная с разработкой...».
Спасибо за интересную ссылку!
Более того, наверняка до сих пор не дали юридического определения криптографическим алгоритмам…
Просто с первого взгляда пункт 3 вообще к разработке не относится (и она всегда лицензируется), а только к использованию, но скорее всего имелось ввиду, что использование включает в себя разработку.
p.s. А нельзя экспортировать комплект без прошивки как макетную плату?
Можете сказать какова себестоимость изделия с учетом затрат на программирование и тестирование? Интересно через сколько плат вы сможете окупить ваши затраты на разработку.
Также получается, что вы потратили примерно человеко-год на разработку, а сколько денег на материалы и оборудование для первого прототипа?
И вообще у меня есть полно вполне проработанных идей аналогичных устройств под западных потребителей, под которые уже достаточно изучен спрос, но на которые нет исполнителей (так как я сам очень занят). Интересуют? Подарю бесплатно.
Я бы послушал ваши идеи, не профессионал, но иногда собираю всякую мелкую хрень на stm32…
Если собирать детальками с алиэкспресса — одна плата выйдет в пределах двадцати долларов при «партии» в 10 штук.
Интересует не с Алиекспреса — там столько контрафакта, что уж лучше через мировых дистрибьюторов.
Я бы послушал ваши идеи, не профессионал, но иногда собираю всякую мелкую хрень на stm32…
У меня идеи для профессионалов — там нечто сложнее флешки и нужно довести проект до продаж — на одной/двух штуках денег не заработаешь и затраты не окупишь.
Ну то есть как вот можно придираться к десятку пунктов, начиная с «почему нет провода, я же его выломаю с первой попытки» и заканчивая тем, что на планшетах/телефоне пользоваться нельзя (нет, USB клавиатуру я с планшетом не ношу).
То есть к этому брелку надо носить базу с тем же keepass на телефоне, со всеми прилагающимися атаками.
Насчёт использования с планшетом/телефоном: совершенно верно, пока только с внешней клавиатурой. USB-затычка с колёсиком есть в планах на будущее.
Поделитесь остальными 8-ю пунктами?
Мне нужен не провод, а reliability.
> USB-затычка с колёсиком есть в планах на будущее.
А в этих планах как в него пароли забивать, с колесика?
И «USB-затычка» — это вы про какой именно USB говорите?
То есть, видимо, план примерно такой: планшет -> TypeC-to-USB-f -> «провод» -> пастильда -> клава.
Это, напомню, ради удобного ввода пароля.
Мне нужен не провод, а reliability.
Могу посоветовать вам to solder подходящий провод прямо к плате.
А в этих планах как в него пароли забивать, с колесика?
Никак, оно будет служить только для навигации и выбора пароля для ввода.
И «USB-затычка» — это вы про какой именно USB говорите?
Вот что имелось в виду:
PS: А если сделать all-in-one — будет дешевле чем два девайса, только один контроллер и на мелочовке можно сэкономить.
Вы меня не слышите. Для такого предложения надо, хотя бы, крепление для стяжки на плате предусмотреть. Или провод на олове болтаться будет?
Впрочем, понятно: вы продаёте не готовое решение, а гиковскую хрень на поиграться.
> Никак, оно будет служить только для навигации и выбора пароля для ввода.
Ну, такое себе. А мастер пароль то откуда взять?
> Вот что имелось в виду:
Мне фантазии не хватило понять что там
open hardwareполучается.
По соотношению трудозатрат видно, что на самом деле представляет собой разработка электроники
Я бы не стал так категорично, учитывая совсем небольшую сложность вашего устройства с точки зрения электроники.
Толком кнопки «заказать» нет.
Алсо, ваш сайт после загрузки занимает 144Мб (!!!) оперативной памяти. для сравнения — эта страница habrahabr занимает 16, и на машине с нехваткой ресурсов тормозит ужасно.
За замечание по сайту спасибо. Машин с нехваткой ресурсов нету, вот и не заметили.
А мне почему-то казалось, что вы каждый сайт (ну уж свой — точно) проверяете на Малинке с полугигабайтом ОЗУ...
Под «нехваткой ресурсов» я имел в виду всего лишь ситуацию когда у меня что-то фигачит в бэкграунде, и если foreground жрёт процессор больше 3-5 секунд, то его тротлят. Как показал эксперимент, ваш сайт жрёт 140% CPU в течение примерно 20 секунд.
У меня ОС быстрее грузится, чем вас сайт.
Речь о pastilda.com или thirdpin.ru?
Thirdpin.ru (я про него первый раз слышу) грузится нормально, занимает 18Мб после загрузки. Вполне соответствует нормальному сайту.
А сайт пастильда — да, жоский ваще. Пришлось разрешать аж 4 дополнительных домена, с одного из которых запустились 88 (восемьдесят восемь, Карл… -_-) скриптов, только чтобы увидеть что-то, кроме белого экрана через 10 секунд…
Теперь по делу вопросы к авторам:
1) Какую версию базы используете? Хотелось бы не уходить от 1 версии, она лучше на старье поддержана.
2) Есть ли в планах девайс другой формы, чтобы уменьшить длину между юсб разъемами? Для повышения прочности.
3) Очень крутое решение с переходником, я только до этого не додумался самостоятельно, но есть вопрос — прокидывает ли он полностью всю инфу? Скажем, ИД девайса повторяет? Это важно в свете недавних статей о «хакерских» юсб брелках и усилении безопасности.
4) Как синхронизировать базу с компом?
Успехов!
Нет никакого смысла делать программно-аппаратное решение, должно быть только аппаратное (ибо плюсов масса).
Это и есть аппаратное решение. После создания базы Keepass можно удалить, вводу паролей это не помешает.
- Зачем их тогда создавать?
- Это не безопасно (ради чего всё задумывалось).
- Зачем вообще тратить ресурс на компьютерный софт и сомнительную совместимость.
Зачем их тогда создавать?
Напишу иначе. После того как база создана можно удалить приложение Keepass с ПК. Для работы Пастильды внешний софт не нужен.
Это не безопасно (ради чего всё задумывалось).
Поподробнее, пожалуйста.
Зачем вообще тратить ресурс на компьютерный софт и сомнительную совместимость.
Мы не тратили ресурс на компьютерный софт, только на встроенный. Про совместимость прошу пояснить.
Для работы Пастильды внешний софт не нужен
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
"Это не безопасно" — Поподробнее, пожалуйста.
Суть внешнего устройства, свести к минимум запоминание паролей большой сложности и закрытия их от "чужого". Если вводить их с компьютера, то обычно кейлогеры перехватывают/мониторят клавиатуру и весь набираемый пароль сразу считывается (правда в случае с железкой, процес происходит точно так же, но с другой скоростью), здесь главное скорее защита от имеющихся паролей внутри устройства, если они имеют выход в "свет" (на ПК через софт), то они сразу могут быть считаны зловредами.
Про совместимость прошу пояснить.
На какие виды ОС делали поддержку "администрирования/менеджмента" паролей/приложение (МакОС, ПиСи, Никсы)? Совместимость/работа на всех ОС.
Вообще идеальное параноидальное устройство — это когда под свой драйвер устройства, скажем через буфер обмена (хотя бы), производится переброс/обмен/заполнение полей форм. Но буфер обмена тоже доступен для перехвата. Можно конечно напрямую писать в поле окна, но такой функционал не у всех окон доступен. В общем от защиты устройство никогда не сделать, а вот просто хранилище "от одной кнопки" — было бы полезно.
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
Работает как хост устройство для hid клавиатуры и как hid клавиатура для компьютера/ноутбука/etc. Пробрасывает репорты клавиатуры в обычном режиме, иначе перехватывает действия пользователя (ввод мастер пароля, выбор пароля). По сути вставляется между пк и клавиатурой
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
Куда и что вводить определяет пользователь. Кнопок на устройстве вообще нет, выбор записи производится с клавиатуры (стрелочками).
На какие виды ОС делали поддержку «администрирования/менеджмента» паролей
Для создания базы паролей используется KeePass, он существует для Windows, Linux, MacOS, iOS, Android и т.д. Полный список тут.
Сам интерфейс Пастильды, как и ввод паролей с её помощью, не требует установленного софта совсем. Оно работает в любом текстовом поле ввода, на любой ОС, в том числе в BIOS. Единственное необходимое условие — поддержка usb-hid клавиатур. Мы постарались подробно описать принцип в публикациях на хабре, crowdsupply и bitbucket, рекомендую ознакомиться.
Что касается кейлоггеров, Пастильда не защитит те пароли, что вводит сама, т.к. делает это эмулируя клавиатуру. Однако мастер-пароль останется в безопасности, так как он не доходит до хоста.
Добавьте меня в список рассылки, чтобы знать, когда у вас появится версия с озвученными выше параметрами, без лишнего USB-female разъема и в компактном корпусе.
Еще один нескромный вопрос по поводу краудфандинга и продаж за рубежом — где платятся налоги?
Чтобы перестать вводить пароли руками, забыть их и в один прекрасный день потерять всё?
Да, я понимаю что хочется защиты. Это решается не переносом пароля на «виртуальную клавиатуру». Это решается добавление второго уровня защиты в виде того же мобильного аутентификатора или использованием аппаратного ключа.
Невнимательные господа могут сказать «и чем же твой аппаратный ключ отличается от виртуально клавиатуры?». Отличается он тем, что один аппаратный ключ я кладу в сейф и забываю о нём. И в случае чего у меня есть запасной ключ в сейфе. А виртуальную клавиатуру я в сейф положить не могу, потому что пароли в отличии от полноценных аппаратных ключей требуют регулярной смены.
(Хотя не помню, можно ли базе в KeepAss пароли русские задавать...)
Можно на костылях сделать канеш, но лучше знать заранее.
И еще плиз на эти вопросы ответьте, если можно. :)
З.Ы. надеюсь я когда нить «вырасту»
Какую комбинацию клавиш надо нажать, чтобы Пастильда вставила только пароль, а не логин и пароль?
Пастильда: нишевый краудфандинг