Комментарии 76
не нашел ссылку, где почитать про эту вашу Пастильду
А как решается вопрос с подменой самого устройства? Насколько я понял, доступ к kps базе открытый, т.е. можно скопировать базу на другую пастильду, перепрошитую злоумышленником, которая, к примеру, может сохранять пароль и по сочетанию клавиш писать его в открытом виде
вывезти с Родины через границу нечто, содержащее в себе функцию шифрования, пусть даже на стандартных компонентах и общеизвестных алгоритмах, непросто.
А как вы завозите их на Родину, раз производство за рубежом? Есть нотификация? Или для стран таможенного союза вы их у себя производите?
Да, для местных мы производим здесь.
Интересно, какой тогда смысл подобных запретов? Производили бы всё в России — подняли бы экономику…
Нам не надо чтоб было удобно, нам надо чтоб вы за… долбались…
НЛО прилетело и опубликовало эту надпись здесь
Вы что, хотите экономику поднимать? Либерал что ли?
Ясно же для чего такие запреты делаются — создаются рабочие места нотификаторов, образуется некоторое количество подарочных рабочих мест для друзей и партнеров, опять же процентик за нотификационные услуги можно где-нибудь в Панаме на антикварные виолончели поменять. Масса плюсов, никаких минусов.
Ясно же для чего такие запреты делаются — создаются рабочие места нотификаторов, образуется некоторое количество подарочных рабочих мест для друзей и партнеров, опять же процентик за нотификационные услуги можно где-нибудь в Панаме на антикварные виолончели поменять. Масса плюсов, никаких минусов.
Вы так уверенно это говорите, как будто разработка, производство и продажа здесь таких устройств не может заинтересовать некоторые службы…
Согласно пункту 3 Постановления Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств» деятельность, связанная с разработкой и производством товаров, содержащих шифровальные (криптографические) средства, имеющих функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей не требует лицензирования.
Иными словами, разработка и производство — не заинтересуют. Только перемещение через границу.
Иными словами, разработка и производство — не заинтересуют. Только перемещение через границу.
О, что-то новенькое…
Но так вы же и защищаете пароли, это не то самое исключение требующее лицензирования, которое упоминается?
И вообще там как-то странно записано в положении «деятельность с использованием», а не «деятельность связанная с разработкой...».
Спасибо за интересную ссылку!
Но так вы же и защищаете пароли, это не то самое исключение требующее лицензирования, которое упоминается?
И вообще там как-то странно записано в положении «деятельность с использованием», а не «деятельность связанная с разработкой...».
Спасибо за интересную ссылку!
Ох уж эти юризмы. Слова «за исключением» всё запутывают, на самом деле предложение имеет следующий смысл: если в устройстве нет шифрования файлов и текстов, а есть только шифрование паролей — лицензирования не требуется.
Насчёт конкретных видов деятельности существует отдельный перечень, там есть и разработка, и производство
Да я знаю, что в этих юридических документах без поллитры не разберёшься.
Более того, наверняка до сих пор не дали юридического определения криптографическим алгоритмам…
Просто с первого взгляда пункт 3 вообще к разработке не относится (и она всегда лицензируется), а только к использованию, но скорее всего имелось ввиду, что использование включает в себя разработку.
p.s. А нельзя экспортировать комплект без прошивки как макетную плату?
Более того, наверняка до сих пор не дали юридического определения криптографическим алгоритмам…
Просто с первого взгляда пункт 3 вообще к разработке не относится (и она всегда лицензируется), а только к использованию, но скорее всего имелось ввиду, что использование включает в себя разработку.
p.s. А нельзя экспортировать комплект без прошивки как макетную плату?
Можете сказать какова себестоимость изделия с учетом затрат на программирование и тестирование? Интересно через сколько плат вы сможете окупить ваши затраты на разработку.
Также получается, что вы потратили примерно человеко-год на разработку, а сколько денег на материалы и оборудование для первого прототипа?
И вообще у меня есть полно вполне проработанных идей аналогичных устройств под западных потребителей, под которые уже достаточно изучен спрос, но на которые нет исполнителей (так как я сам очень занят). Интересуют? Подарю бесплатно.
Если собирать детальками с алиэкспресса — одна плата выйдет в пределах двадцати долларов при «партии» в 10 штук.
Я бы послушал ваши идеи, не профессионал, но иногда собираю всякую мелкую хрень на stm32…
Я бы послушал ваши идеи, не профессионал, но иногда собираю всякую мелкую хрень на stm32…
Если собирать детальками с алиэкспресса — одна плата выйдет в пределах двадцати долларов при «партии» в 10 штук.
Интересует не с Алиекспреса — там столько контрафакта, что уж лучше через мировых дистрибьюторов.
Я бы послушал ваши идеи, не профессионал, но иногда собираю всякую мелкую хрень на stm32…
У меня идеи для профессионалов — там нечто сложнее флешки и нужно довести проект до продаж — на одной/двух штуках денег не заработаешь и затраты не окупишь.
Производство примерно по $25. С учетом прошивки, тестирования, доставки и комиссии Crowd Supply выходит по $32 за штучку. Прибыльно оно станет где-то после 3,5 тысяч продаж. Насчёт идей написал в личку.
Давно хочу пароли к физическому брелку привязать… Но все девайсы почему-то безумно неудобны даже в мелочах.
Ну то есть как вот можно придираться к десятку пунктов, начиная с «почему нет провода, я же его выломаю с первой попытки» и заканчивая тем, что на планшетах/телефоне пользоваться нельзя (нет, USB клавиатуру я с планшетом не ношу).
То есть к этому брелку надо носить базу с тем же keepass на телефоне, со всеми прилагающимися атаками.
Ну то есть как вот можно придираться к десятку пунктов, начиная с «почему нет провода, я же его выломаю с первой попытки» и заканчивая тем, что на планшетах/телефоне пользоваться нельзя (нет, USB клавиатуру я с планшетом не ношу).
То есть к этому брелку надо носить базу с тем же keepass на телефоне, со всеми прилагающимися атаками.
Провод usb легко купить отдельно, если он вам так уж нужен.
Насчёт использования с планшетом/телефоном: совершенно верно, пока только с внешней клавиатурой. USB-затычка с колёсиком есть в планах на будущее.
Поделитесь остальными 8-ю пунктами?
Насчёт использования с планшетом/телефоном: совершенно верно, пока только с внешней клавиатурой. USB-затычка с колёсиком есть в планах на будущее.
Поделитесь остальными 8-ю пунктами?
Висящий USB разъем, гарантированно через непродолжительное время начнет не контачить.
> Провод usb легко купить отдельно, если он вам так уж нужен.
Мне нужен не провод, а reliability.
> USB-затычка с колёсиком есть в планах на будущее.
А в этих планах как в него пароли забивать, с колесика?
И «USB-затычка» — это вы про какой именно USB говорите?
То есть, видимо, план примерно такой: планшет -> TypeC-to-USB-f -> «провод» -> пастильда -> клава.
Это, напомню, ради удобного ввода пароля.
Мне нужен не провод, а reliability.
> USB-затычка с колёсиком есть в планах на будущее.
А в этих планах как в него пароли забивать, с колесика?
И «USB-затычка» — это вы про какой именно USB говорите?
То есть, видимо, план примерно такой: планшет -> TypeC-to-USB-f -> «провод» -> пастильда -> клава.
Это, напомню, ради удобного ввода пароля.
Мне нужен не провод, а reliability.
Могу посоветовать вам to solder подходящий провод прямо к плате.
А в этих планах как в него пароли забивать, с колесика?
Никак, оно будет служить только для навигации и выбора пароля для ввода.
И «USB-затычка» — это вы про какой именно USB говорите?
Вот что имелось в виду:
Там еще маленький oled-экран нужен. Чтобы было понятно что именно выбрано.
PS: А если сделать all-in-one — будет дешевле чем два девайса, только один контроллер и на мелочовке можно сэкономить.
PS: А если сделать all-in-one — будет дешевле чем два девайса, только один контроллер и на мелочовке можно сэкономить.
> Могу посоветовать вам to solder подходящий провод прямо к плате.
Вы меня не слышите. Для такого предложения надо, хотя бы, крепление для стяжки на плате предусмотреть. Или провод на олове болтаться будет?
Впрочем, понятно: вы продаёте не готовое решение, а гиковскую хрень на поиграться.
> Никак, оно будет служить только для навигации и выбора пароля для ввода.
Ну, такое себе. А мастер пароль то откуда взять?
> Вот что имелось в виду:
Мне фантазии не хватило понять что там
Вы меня не слышите. Для такого предложения надо, хотя бы, крепление для стяжки на плате предусмотреть. Или провод на олове болтаться будет?
Впрочем, понятно: вы продаёте не готовое решение, а гиковскую хрень на поиграться.
> Никак, оно будет служить только для навигации и выбора пароля для ввода.
Ну, такое себе. А мастер пароль то откуда взять?
> Вот что имелось в виду:
Мне фантазии не хватило понять что там
Решил самостоятельно собрать ваше устройство, а у вас ни pcb, ни GERBERов ни перечня элементов в репозитории. Довольно странное
open hardwareполучается.
По соотношению трудозатрат видно, что на самом деле представляет собой разработка электроники
Я бы не стал так категорично, учитывая совсем небольшую сложность вашего устройства с точки зрения электроники.
Жду, когда у вас закончатся болезни роста и появится консистентность. У вас заказ стоит $65 (+shipping), а в таблице сравнения написано $50.
Толком кнопки «заказать» нет.
Алсо, ваш сайт после загрузки занимает 144Мб (!!!) оперативной памяти. для сравнения — эта страница habrahabr занимает 16, и на машине с нехваткой ресурсов тормозит ужасно.
Толком кнопки «заказать» нет.
Алсо, ваш сайт после загрузки занимает 144Мб (!!!) оперативной памяти. для сравнения — эта страница habrahabr занимает 16, и на машине с нехваткой ресурсов тормозит ужасно.
$50 это early bid, все дела. Теперь по 65.
За замечание по сайту спасибо. Машин с нехваткой ресурсов нету, вот и не заметили.
За замечание по сайту спасибо. Машин с нехваткой ресурсов нету, вот и не заметили.
А мне почему-то казалось, что вы каждый сайт (ну уж свой — точно) проверяете на Малинке с полугигабайтом ОЗУ...
Ну вот я зашёл на ваш сайт, с него на сайт краудсорсинга — и я в недоумении, ибо цифры не сходятся. Кнопки нету.
Под «нехваткой ресурсов» я имел в виду всего лишь ситуацию когда у меня что-то фигачит в бэкграунде, и если foreground жрёт процессор больше 3-5 секунд, то его тротлят. Как показал эксперимент, ваш сайт жрёт 140% CPU в течение примерно 20 секунд.
У меня ОС быстрее грузится, чем вас сайт.
Под «нехваткой ресурсов» я имел в виду всего лишь ситуацию когда у меня что-то фигачит в бэкграунде, и если foreground жрёт процессор больше 3-5 секунд, то его тротлят. Как показал эксперимент, ваш сайт жрёт 140% CPU в течение примерно 20 секунд.
У меня ОС быстрее грузится, чем вас сайт.
Речь о pastilda.com или thirdpin.ru?
pastilda.com.
Thirdpin.ru (я про него первый раз слышу) грузится нормально, занимает 18Мб после загрузки. Вполне соответствует нормальному сайту.
Thirdpin.ru (я про него первый раз слышу) грузится нормально, занимает 18Мб после загрузки. Вполне соответствует нормальному сайту.
Увы, не совсем… :) У семи нянек дите без глазу криптографов сайт с самоподписанным сертификатом, да еще и просрочен уже полтора года… %)
А сайт пастильда — да, жоский ваще. Пришлось разрешать аж 4 дополнительных домена, с одного из которых запустились 88 (восемьдесят восемь, Карл… -_-) скриптов, только чтобы увидеть что-то, кроме белого экрана через 10 секунд…
Теперь по делу вопросы к авторам:
1) Какую версию базы используете? Хотелось бы не уходить от 1 версии, она лучше на старье поддержана.
2) Есть ли в планах девайс другой формы, чтобы уменьшить длину между юсб разъемами? Для повышения прочности.
3) Очень крутое решение с переходником, я только до этого не додумался самостоятельно, но есть вопрос — прокидывает ли он полностью всю инфу? Скажем, ИД девайса повторяет? Это важно в свете недавних статей о «хакерских» юсб брелках и усилении безопасности.
4) Как синхронизировать базу с компом?
Успехов!
А сайт пастильда — да, жоский ваще. Пришлось разрешать аж 4 дополнительных домена, с одного из которых запустились 88 (восемьдесят восемь, Карл… -_-) скриптов, только чтобы увидеть что-то, кроме белого экрана через 10 секунд…
Теперь по делу вопросы к авторам:
1) Какую версию базы используете? Хотелось бы не уходить от 1 версии, она лучше на старье поддержана.
2) Есть ли в планах девайс другой формы, чтобы уменьшить длину между юсб разъемами? Для повышения прочности.
3) Очень крутое решение с переходником, я только до этого не додумался самостоятельно, но есть вопрос — прокидывает ли он полностью всю инфу? Скажем, ИД девайса повторяет? Это важно в свете недавних статей о «хакерских» юсб брелках и усилении безопасности.
4) Как синхронизировать базу с компом?
Успехов!
Нет никакого смысла делать программно-аппаратное решение, должно быть только аппаратное (ибо плюсов масса).
Это и есть аппаратное решение. После создания базы Keepass можно удалить, вводу паролей это не помешает.
- Зачем их тогда создавать?
- Это не безопасно (ради чего всё задумывалось).
- Зачем вообще тратить ресурс на компьютерный софт и сомнительную совместимость.
Зачем их тогда создавать?
Напишу иначе. После того как база создана можно удалить приложение Keepass с ПК. Для работы Пастильды внешний софт не нужен.
Это не безопасно (ради чего всё задумывалось).
Поподробнее, пожалуйста.
Зачем вообще тратить ресурс на компьютерный софт и сомнительную совместимость.
Мы не тратили ресурс на компьютерный софт, только на встроенный. Про совместимость прошу пояснить.
Для работы Пастильды внешний софт не нужен
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
"Это не безопасно" — Поподробнее, пожалуйста.
Суть внешнего устройства, свести к минимум запоминание паролей большой сложности и закрытия их от "чужого". Если вводить их с компьютера, то обычно кейлогеры перехватывают/мониторят клавиатуру и весь набираемый пароль сразу считывается (правда в случае с железкой, процес происходит точно так же, но с другой скоростью), здесь главное скорее защита от имеющихся паролей внутри устройства, если они имеют выход в "свет" (на ПК через софт), то они сразу могут быть считаны зловредами.
Про совместимость прошу пояснить.
На какие виды ОС делали поддержку "администрирования/менеджмента" паролей/приложение (МакОС, ПиСи, Никсы)? Совместимость/работа на всех ОС.
Вообще идеальное параноидальное устройство — это когда под свой драйвер устройства, скажем через буфер обмена (хотя бы), производится переброс/обмен/заполнение полей форм. Но буфер обмена тоже доступен для перехвата. Можно конечно напрямую писать в поле окна, но такой функционал не у всех окон доступен. В общем от защиты устройство никогда не сделать, а вот просто хранилище "от одной кнопки" — было бы полезно.
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
Работает как хост устройство для hid клавиатуры и как hid клавиатура для компьютера/ноутбука/etc. Пробрасывает репорты клавиатуры в обычном режиме, иначе перехватывает действия пользователя (ввод мастер пароля, выбор пароля). По сути вставляется между пк и клавиатурой
А как железка без экрана и толком кнопок управления, может понять, когда и что вводить?
Куда и что вводить определяет пользователь. Кнопок на устройстве вообще нет, выбор записи производится с клавиатуры (стрелочками).
На какие виды ОС делали поддержку «администрирования/менеджмента» паролей
Для создания базы паролей используется KeePass, он существует для Windows, Linux, MacOS, iOS, Android и т.д. Полный список тут.
Сам интерфейс Пастильды, как и ввод паролей с её помощью, не требует установленного софта совсем. Оно работает в любом текстовом поле ввода, на любой ОС, в том числе в BIOS. Единственное необходимое условие — поддержка usb-hid клавиатур. Мы постарались подробно описать принцип в публикациях на хабре, crowdsupply и bitbucket, рекомендую ознакомиться.
Что касается кейлоггеров, Пастильда не защитит те пароли, что вводит сама, т.к. делает это эмулируя клавиатуру. Однако мастер-пароль останется в безопасности, так как он не доходит до хоста.
Еще лет 10 назад был уверен, что мне ничего такого не надо — память отличная, все пучком. Лет 5 назад стал пользоваться пассворд менеджерами. Сейчас готов прямо сегодня купить подобное у-во, если оно гарантированно работает с OS X (учитывая USB-C разъем) и BT клавиатурой.
Добавьте меня в список рассылки, чтобы знать, когда у вас появится версия с озвученными выше параметрами, без лишнего USB-female разъема и в компактном корпусе.
Добавьте меня в список рассылки, чтобы знать, когда у вас появится версия с озвученными выше параметрами, без лишнего USB-female разъема и в компактном корпусе.
Еще один нескромный вопрос по поводу краудфандинга и продаж за рубежом — где платятся налоги?
И ещё я бы прикрутил маленький oled экранчик, на котором бы названия записей из базы выводились, а то насколько понял тут логины (которые у меня одинаковые часто) перелистываются в поле ввода. Или я недопонял логику работы с устройством?
Зачем это?
Чтобы перестать вводить пароли руками, забыть их и в один прекрасный день потерять всё?
Да, я понимаю что хочется защиты. Это решается не переносом пароля на «виртуальную клавиатуру». Это решается добавление второго уровня защиты в виде того же мобильного аутентификатора или использованием аппаратного ключа.
Невнимательные господа могут сказать «и чем же твой аппаратный ключ отличается от виртуально клавиатуры?». Отличается он тем, что один аппаратный ключ я кладу в сейф и забываю о нём. И в случае чего у меня есть запасной ключ в сейфе. А виртуальную клавиатуру я в сейф положить не могу, потому что пароли в отличии от полноценных аппаратных ключей требуют регулярной смены.
Чтобы перестать вводить пароли руками, забыть их и в один прекрасный день потерять всё?
Да, я понимаю что хочется защиты. Это решается не переносом пароля на «виртуальную клавиатуру». Это решается добавление второго уровня защиты в виде того же мобильного аутентификатора или использованием аппаратного ключа.
Невнимательные господа могут сказать «и чем же твой аппаратный ключ отличается от виртуально клавиатуры?». Отличается он тем, что один аппаратный ключ я кладу в сейф и забываю о нём. И в случае чего у меня есть запасной ключ в сейфе. А виртуальную клавиатуру я в сейф положить не могу, потому что пароли в отличии от полноценных аппаратных ключей требуют регулярной смены.
И ещё вопрос: как реализована функция переключения языка?
(Хотя не помню, можно ли базе в KeepAss пароли русские задавать...)
(Хотя не помню, можно ли базе в KeepAss пароли русские задавать...)
Присоединяюсь, тоже важный вопрос, что будет с юникодовыми паролями.
Можно на костылях сделать канеш, но лучше знать заранее.
Можно на костылях сделать канеш, но лучше знать заранее.
Переключение языка для ввода сработает как обычно. А пароли пока поддерживаются только на латинице.
«Пока» — а что в планах?
И еще плиз на эти вопросы ответьте, если можно. :)
И еще плиз на эти вопросы ответьте, если можно. :)
Первое открытие вашего сайта перебрасывает меня на английскую версию. Вы считаете, что это более привлекательно с точки зрения маркетинга?
Вырасту, устроюсь на работу, накоплю «лишнее» 65 баксов, и куплю.
З.Ы. надеюсь я когда нить «вырасту»
З.Ы. надеюсь я когда нить «вырасту»
Какую комбинацию клавиш надо нажать, чтобы Пастильда вставила только пароль, а не логин и пароль?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пастильда: нишевый краудфандинг