У программиста из США остались две попытки для открытия самоуничтожающейся флешки. Там ключ к биткойнам на $237 млн

    Программист Стефан Томас пытается вспомнить пароль к 7002 биткойнам. Источник фото: Nicholas Albrecht/The New York Times.

    New York Times рассказала о необычной ситуации, с которой столкнулся программист Стефан Томас из Сан-Франциско. У него осталось две попытки угадать пароль к самоуничтожающейся флешке IronKey. На ней находится ключ к 7002 биткойнам. Томас уже безуспешно потратил восемь из десяти попыток, чтобы получить доступ к $237 млн.

    Томас рассказал, что его привлек биткойн отчасти потому, что криптовалюта находится вне контроля стран или компаний. В 2011 году, когда он жил в Швейцарии, один из первых фанатов только появившейся криптовалюты подарил Томасу 7002 биткойна в качестве награды за создание анимационного видео «Что такое биткойн?». Этот ролик потом познакомил многих пользователей с новой технологией.

    Несколько лет назад Томас сохранил на защищенной флешке закрытые ключи к криптокошельку, в котором хранятся 7002 биткойна. Программист записал на листе бумаги пароль от флешки. Спустя годы бумажный носитель потерялся.

    Томас несколько раз пытался вспомнить пароль. Он вводил, как ему казалось, правильные символы, но флешка со встроенным крипточипом не принимала эти данные. Если он введет еще два раза неправильный пароль, то накопитель заблокируется, а все данные на нем перезапишутся.

    Свое текущее состояние Томас охарактеризовал как отчаяние. Он перебрал все варианты, которые смог представить, но они не работают.

    В настоящее время Томас поместил свой IronKey в безопасное место на тот случай, если появится новый способ взлома сложных паролей. По его словам, если держать накопитель подальше от глаз, то это помогает ему не думать об утерянном криптокошельке.

    Томас не уточнил, когда он приобрел этот носитель. В 2007 году о «самоуничтожающейся» флешке IronKey была публикация на Хабре.

    Kingston купила технологию IronKey в 2016 году. Компания выпускает современные модели подобного накопителя с 256-битным шифрованием XTS-AES на аппаратном уровне и сертификацией FIPS 140-2 уровня 3. Флешка защищена от атак класса BadUSB, а микросхемы памяти залиты эпоксидной смолой. Корпус флешки выполнен из анодированного алюминия. Она имеет защиту от пыли и ударов и водонепроницаемую конструкцию для соответствия военным стандартам MIL-STD-810F.

    По данным компании Chainalysis, из существующих сейчас 18,5 миллионов биткойнов около пятой части (примерно на $140 млрд), находятся в утерянных или иным образом забытых криптокошельках.

    Компания Wallet Recovery Services, специалисты которой помогают находить потерянные ключи к криптокошелькам, сообщила «New York Times» об увеличении запросов от пользователей. Теперь компании каждый день приходит по 70 заявок. Это в три раза больше, чем было в прошлом году.

    За последние три месяца стоимость биткойна выросла в два с половиной раза. 6 января курс биткойна впервые превысил $35 тысяч, а днем спустя стоимость монеты достигла $40 тыс. Сейчас биткойн упал обратно на уровень $35 тыс.

    New York Times в публикации пояснила, что сейчас многие владельцы биткойнов, у которых заблокированы кошельки, говорят о бесконечных днях и ночах разочарования, когда они пытались получить к ним доступ. Часть из них владели криптовалютой с первых дней ее существования, когда никто не был уверен, что биткойны будут так дорого оценены рынком.

    Издание New York Times привела в своей публикации еще два примера таких ситуаций.

    34-летний Габриэль Абед, предприниматель из Барбадоса, потерял около 800 биткойнов (сейчас около $25 млн), когда в 2011 году его коллега отформатировал ноутбук с закрытыми ключами от криптокошелька.

    Предприниматель из Лос-Анджелеса Брэд Ясар на заре биткойна добыл несколько тысяч криптомонет, а криптокошельки хранил на дисках своих настольных компьютеров. Он потерял пароли к ним много лет назад и потратил сотни часов, пытаясь получить к ним доступ. Сейчас он также спрятал жесткие диски с этих ПК, чтобы они не напоминали о недоступном богатстве.

    New York Times подытожила, что людям необходимо изучить технологию и понять, как важно хранить пароли и ключи и не потерять их, прежде чем начать работать с криптовалютой. Не только обычные пользователи теряют пароли и ключи к криптокошелькам, а даже хэдж-фонды и крупные компании. В этом случае потери доходят до десятков тысяч биткойнов.
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 325

      +1

      Говорят, ребята из Microsoft умеют снимать дампы с замороженной памяти. ;)

        +1
        Оперативной памяти? ru.wikipedia.org/wiki/Cold_boot_attack
          0
          Самому. Почему бы ему не сходить на сеанс регрессивного гипноза? Вдруг
          это работает. В этом случае передайте ему пожалуйста, что я возьму всего
          10% за идею.
          –2
          Говорят, ребята из Microsoft умеют снимать дампы с замороженной памяти. ;)


          Очевидно, что это у вас такая шутка.

          Но все же:

          Не они.
          И не говорят — а это точно.
          Но это касается замороженной съемной памяти компьютеров. Во флешке память не съемная.
          И да — информация там не в открытом виде, так что снимать дампы памяти бессмысленно, даже если бы была возможность.
            +20
            Ну почему же бессмысленно? сделав дамп можно будет избежать ограничение числа попыток ввода пароля
              0

              А где мануал взять на дамп, не подскажите?

                +1
                Если есть доступ к памяти, то гуглите «dd» — там всё есть. Если же нет, то надо считать данные с ячеек памяти напрямую. Это делается в лабораторных условиях профессионалами. Маменькиным хацкерам туда лучше пальчики не совать. В конце концов, оборудование обойдётся в копеечку для простого смертного. К тому же, у указанных в статье носителей есть дополнительная защита от подобного рода манипуляций, что ещё больше усугубляет ситуацию.
                0
                Если бы Всё было так просто… Дело в том чтобы снять дамп надо ввести пароль. Нет физического доступа к ячейкам памяти, пока не введён пароль. Там даже затруднено создание дампа при помощи рентгеноскопии, электронного микроскопа и прочее. Но даже скопировав все данные, нам останется недоступен закрытый ключ в SE зоне чипа, которая защищена от просмотра и даже физического взлома(послойное копирование чипа). Информация должна стоить миллиарды, чтобы был смысл заняться взломом чипа. А там, глядишь, создадут под это дело атомный репликатор…
                  0
                  Но придется доверить свою флешку, а на ней сумма за которую могут убить
                    +1

                    Возможно, лучше продать флешку "как есть".

                      0
                      А кто ее купит?
                      0

                      Берём защищённую флешку
                      Ставим на неё какой-то пароль
                      Всем рассказываем, что там 100500 биткоинов
                      Продаём её как есть

                      Profit

              +15
              Еще одна история об отсутствии бакапов.
              В любом случае странно, сколько там данные на флэшке хранятся без подключения к липестричеству? Пароль может не подходить даже потому, что флэшка уже частично данные потеряла.
                +27
                Еще одна история об отсутствии бакапов.
                Скорее о преждевременной оптимизации.

                На кой черт он зашифровал флешку? Была реальная опасность того, что слямзят пароли от каких-то «бетховенов» про которые кроме него в 2011 году не знал ни один человек в радиусе 100 морских миль?

                Нормальные параноики шифруют весь диск компа AES-Twofish-Serpent и вводят 80-символьный пароль по пять раз в день, который не забудут, даже если захотят. И спят спокойно и ничего не теряют.

                В случае товарища просто включилось простое человеческое «А вдруг?!».
                При этом при записи сверхсекретного пароля на бумажку «а вдруг» не включилось, что забавно.
                  +4
                  В 2011г о биткоинах немало людей уже знало, да и по тем ценам это было $7-9тыс.
                    +4
                    Если верить Гуглу, в апреле 2011 один биткоин можно было купить за доллар. Даже в 2014 он продавался за 500 долларов.

                    Понял, о чем вы.
                    +4

                    Да не "а вдруг", а "хм, прикольная цацка эта IronKey, надо бы поиграться. Но с чем? О, а запишу-ка туда свой битковый кошелёк!". Потому и пароль на бумажке.

                      0
                      Не зашифровать флешку, которая под это заточена… ну как бы, и на гоночном болиде можно ездить со скоростью 30км/ч и перевозить мешок картошки…
                        0
                        Пароли лучше хранить ему религия запретила? Ключи от гоночного болида он тоже потеряет… перевозя мешок картошки или лядей.
                      +3
                      Еще одна история об отсутствии бакапов.

                      А в чем тогда смысл самоуничтожающейся флешки, если у тебя есть вечный бэкап?
                        +9
                        Бекап можно держать далеко под землёй в сейфе, а флешкой пользоваться на постоянной основе.
                        Украсть флешку проще, чем бекап в сейфе. Поэтому на флешке лучше защита.
                          0
                          Смысл такой флешки тоже отнюдь не в том чтобы потерять пароль от неё. А помнить все пароли(если они не примитивные, подбираемые вручную школьниками) в нынешних условиях бывает трудновато.
                        +21
                        Как говорится, люди делятся на 2 типа:
                        — Те кто делает бекапы
                        — Те кто будет делать бекапы
                          +19
                          Главное — не забыть пароль и от бэкапа.
                            +7
                            Главное — проверять иногда эти бекапы, а то флешки/ссд не вечно хранят информацию, кроме того, пароль таким образом будет всегда под рукой (ну больше вероятности этого точнее)
                              0
                              Перевести двоичные данные в изображение и на пленку записать, как в GitHub сделали :D
                              0
                              Главное — делать бэкапы на бэкапы.
                                0
                                Чем это лучше просто нескольких бекапов на разных носителях, а в идеале и в разных географических точках?
                                  0
                                  Ничем, тащемта. Надо понимать, что во всех этих случаях основная идея — снижение вероятности отказа. Она не может быть нулевой, а довести её до крайне низких величин можно разными способами. Контроль целостности бэкапа, либо дублирование бэкапов на разных носителях и т.п. это всё лишь способы достижения одной цели.
                              +9
                              А я своим студентам говорил так: ваши данные потеряются со стопроцентной вероятностью. Это всего лишь вопрос времени. Заметил, что осознание, что данные БУДУТ потеряны реально помогает перестать лениться и начать делать бекапы.
                                +5
                                В какой-то момент я понял, что важно не столько то, что данные потеряются, а то, что очень сложно понять, какие именно данные потеряются. Если данные просто потерялись, то выкинул их (или стянул с бэкапа) и спокоен. А в случае, если данные потерялись, и ты этого не заметил, происходит грустная ситуация, когда данные потихоньку теряются, ты их потихоньку бэкапишь (например, появилось новое средство для бэкапа) и с каждым следующим бэкапом данных потихоньку становится все меньше и меньше…
                                  –2
                                  zfs с периодическим скрубом спасёт отца русской демократии. Ну и периодический бэкап, желательно в физически удаленной локации, мало ли пожар/маски шоу/100500 тыщ других причин.
                                    0
                                    Интересно было бы где-нибудь почитать про такой «бэкап здорового человека».
                                    У меня тоже есть скрипт, вручную написанный чтобы проверять важные мне файлы. Единственная проблема с этим скриптом — мне влом его запускать, так как полная проверка может занять 4-5 часов.
                                    Плюс, что делать, когда система по каким-то причинам не поддерживает zfs? Например, это чьето чужое облако. Или я не хочу устанавливать на свою виндовую систему еще один лишний раздел
                                      0
                                      Поставить скрипт на запуск по расписанию. И не надо ничего помнить и бороться с ленью.
                                      Вообще глубоко темой не загонялся, нет настолько важных данных. Настроил ZFS рэйд и бэкап на комп в другом городе. Мне достаточно. Но мягко говоря задача не выгляди хоть сколько уникальной => должны быть устоявшиеся методики решения.
                                        +1
                                        Ну расписание такая вещь. Может сработать, может не сработать. За этим тоже нужно следить. Я както пытался создать задачу в виндовом планировщике, но что-то у меня не получилось. Видимо, я слишком тупой (то ли задача не срабатывала, то ли срабатывала, но слишком рано, до запуска нужных служб, то ли еще что-то было. Это не связано с бэкапами, другая потребность была). А в каком-нибудь андроиде встроиный шедулер любит убивать фоновые процессы, так что как ни ставь в приложениях действия по расписанию, они все равно не сработают.

                                        > нет настолько важных данных
                                        Зачем тогда бэкапы? :)

                                        То есть мне например все же важно вовремя узнавать, потерялись какие данные или нет. Если я это знаю, то могу как-то отреагировать, например перевыкачать именно эти данные с другого бэкапа. А если я об этом не узнаю, то с каждым следующим бэкапом поврежденных данных будет все больше и больше, только и всего

                                        > И не надо ничего помнить и бороться с ленью
                                        К томуже у меня основной комп включен далеко не всегда, и если скрипт запустится незадолго до выключения компа, то он не отработает (а работать такой скрипт будет очень долго)
                                        0
                                        Вариантов много и очень разных. Как минимум всегда можно узнать что данные повреждены:
                                        sha256sum file
                                        par2
                                        btrfs
                                        zfs
                                        7z
                                        fsarchiver
                                        dar
                                          0
                                          Кстати, вот есть архивирования с заданным процентом на восстановление повреждённых данных. Но есть ли хоть один способ собрать архив из нескольких повреждённых, кроме как ручками? Ну вот с сидюка считался битый файл и на жестком у вас тот же архив побился из-за проблем диска, вот что делать обычному человеку, кроме как грустить?
                                            0
                                            В этом случае поможет par2 github.com/Parchive/par2cmdline
                                              0
                                              Как-то стала такая проблема… нашел утилитку, которая могла собрать файл из разных частей других файлов и даже сгенерированным шаблоном(нулями забить мегабайтный блок) надо только составить ей «план сборки».
                                              0
                                              Да, но это нужно както не лениться делать на постоянной основе
                                              +1

                                              У меня используется конфигурация raid1 поверх dm-integrity. Убивается аж три зайца — во-первых, смерть диска не фатальна, во-вторых, криптоконтейнер бонусом (aes-gcm-random, шифрование и аутентификация), а самое главное — защита от незаметного повреждения.


                                              Так уж получается, что если зайти в спецификацию диска, взять оттуда bit error rate и перемножить на количество тех самых бит, получается очень грустная картина. В предельном случае не всегда гарантируется успешное чтение всего диска :)


                                              Потому логика тут такая — если dm-integrity при чтении видит, что хеш не совпадает — то наверх возвращается I/O error. Совсем такая же, как будто сектор физически не читается. Дальше в дело вступает raid1, который при получении такой ошибки просто читает тот же сектор с другого диска, и попутно исправляет ошибку на сбойном, записывая правильные данные. Вероятность того, что ошибки будут в одном и том же месте, очень маленькая. Еженедельный запуск raid-check не дает им накапливаться, но при этом совсем ненавязчив.


                                              Плюс решения в том, что оно абсолютно прозрачно для использования, и создает абстракцию надежного диска, куда можно просто класть файлы, и они там будут лежать.


                                              Минусы такого решения:


                                              • Хеши жрут ощутимое количество места, от диска на 10 маркетинговых терабайт сначала остается 9.1 реальных, а потом 8.6 за вычетом хешей.
                                              • Для того, чтобы гарантировать атомарность записи (иначе есть риск испортить сектор при сбое питания, когда данные уже записаны, а хеш еще нет) dm-integrity использует журналирование. Потому производительность на запись очень далека от идеала. Но для моего сценария "холодного хранения" это не проблема.
                                              • Если включать шифрование, неплохо бы не потерять ключи :) К счастью в силу их небольшого размера их можно хоть на граните гравировать.



                                              P.S.: Куда интереснее вопрос с георепликацией, чтобы пожар/потоп/маски-шоу и прочий форс-мажор не становился фатальной проблемой. Вот тут я решений, которые бы представляли похожую абстракцию "надежного диска" не знаю. Самое близкое — два инстанса minio и отдельный процесс синхронизации, при этом один инстанс становится строго мастером, а второй строго репликой.

                                                0
                                                P.S.: Куда интереснее вопрос с георепликацией, чтобы пожар/потоп/маски-шоу и прочий форс-мажор не становился фатальной проблемой
                                                Так вы сами частично ответили на свой вопрос, репликация. Можно самому придумывать, можно реплицировать хранилку в ДЦ или другую площадку, или взять hp simplicity (такие решения есть практически от любого вендора и железные и софтовые), но это не совсем про бэкапы.
                                                Для бэкапов и архивов есть ленты LTO с 20 годами хранения информации и стримерами от настольных (HPE STOREEVER LTO-8 ULTRIUM 30750) до библиотек (HP ESL G3)
                                          0
                                          Осознание таких вещей лучше всего происходит через собственный опыт )))
                                            +3
                                            Совершенно верно. Могу рассказать как это случилось у меня.
                                            Дело было в те давние времена, когда через интернет качались книги и mp3-шки, а обмен крупной информацией происходил через компакт диски и жесткие диски. И вот я, со своим огромным 80 Гигабайтным винтом пошел в гости к приятелю. Винт был единственным, а дело было зимой, поэтому я принял все меры предосторожности — завернул винт в пакетик, пакетик положил во внутренний карман пальто и пошел, благо не далеко было. У приятеля мы со всеми мерами предосторожности подключили мой винт и напереписывались под завязку ) Затем, я прошел в коридор, положил свой винт во внутренний карман пальто, вернулся в комнату за компакт дисками. И ТУТ У ПАЛЬТО ОБОРВАЛАСЬ ПЕТЕЛЬКА!!! Вначале я ничего плохого не подумал, точнее не хотелось думать плохое, но когда пришел домой и подключил винт оказалось что дело плохо. Винт издает щелкающие звуки, но загружаться не хочет…
                                            До меня несколько дней доходило, сколько всего пропало. Это было как вспышки в голове «это пропало», «блин и это пропало». Параллельно я купил себе новый винт (работать-то надо) и продолжал думать как же быть. И на одном из форумов я прочел, что винты от WD имеют не очень хороший термодатчик, и для того чтобы его запустить, его нужно нагреть. Терять мне уже было нечего и я решил попробовать. Завернул винт в полотенце, положил на кастрюлю с кипятком, он нагрелся до 40-50 градусов и тогда я его подключил. И, о чудо! Винт подхватился и с него стало возможно скачать информацию! Примерно полночи я переписывал информацию, при этом старый винт временами угрожающе щелкал и копирование останавливалось, но в итоге, переписалось все. Что называется, легко отделался.
                                              0
                                              У меня на аналогичную 80-ку со всем самым важным внезапно сам(!) поставился пароль. Т.к. материнка даже не поддерживала штатно его ввод я долго не мог понять почему диск определяется но не читается. Только в рекавери-фирме его сняли, за минуту при мне, и долго не могли поверить что я его не ставил вообще. Но урок в плане бекапов тоже был хороший.
                                                0
                                                Странно, снимается он только после окончания процесса очистки диска, и раньше 30-40 минут «снять пароль» физически невозможно.
                                                  0
                                                  Насколько помню, они просто подобрали инженерный пароль с нескольких попыток, на старых дисках была такая «уязвимость»
                                          +6
                                          3
                                          те, кто еще и тестирует бекапы
                                            +1
                                            есть её и третья стадия:
                                            — тех, кто делает бэкапы, а затем их проверяет
                                              0
                                              Третья стадия просветления самая сложная. А как их проверять? Например, забэкапил я весь диск, а потом как их проверить?
                                                +1
                                                Иногда открывать (диск можно подключить как виртуальный на худой конец) и смотреть что там внутри лежит и внутри файла, вздыхать с облегчением и закрывать бекап
                                                  0
                                                  Сверить суммы?
                                                    0
                                                    в идеале нужно валидировать содержимое, как тут уже предложили
                                                      0
                                                      Стирать все данные на текущем диске и восстанавливать бекап. Только так можно надёжно убедится, что он работает. Восстановление бекапа должно быть штатной процедурой.
                                                        0
                                                        И что будет, когда выяснится, что бекап нерабочий? Должен быть другой способ.
                                                          +1
                                                          Благо это выяснится сразу, а не через полгода, когда был потерян диск с этими самыми биткоинами. И как бы резервных копий должно быть три.
                                                          А другого способоа проверить восстанавливаемость бекапов, кроме восстановления этих бекапов, нету. Можно иметь другой пустой диск и восстанавливать бекап на него.
                                                            +4

                                                            В приличном обществе восстанавливают бэкапы для проверки всё же или на тестовое железо, или на виртуалки.

                                                              0
                                                              А если бэкап сделан, например, WinRar-ом? Достаточно прогнать тест сделанного архива, или тоже надо обязательно распаковывать полностью? :-)
                                                                0

                                                                Тест у архиваторов — распаковка в ОЗУ с проверкой, что сходятся контрольные суммы. Но этот тест не гарантирует, что изначальные файлы не были повреждены до архивации. Если вы этими файлами регулярно пользуетесь — скорее всего, хватит теста.

                                                                  0
                                                                  Во-первых, бэкапить с ключами -t (test files after archiving) и -ilog[error.log] (write errors to log file).
                                                                  Во-вторых, периодически посматривать в лог ошибок. Если там сплошные «access denied» и «file not found» — это терпимо (когда бэкапим прямо на работающей системе). А вот если там вылазят ошибки CRC — это сигнальчик, что бэкапы битые.
                                                                  У меня такое было, когда начала сбоить одна из планок памяти.
                                                                0
                                                                Ну вот, кстати, я с прода делаю бекапы и восстанавливаю их окружение для разработки. Получается, что и доступность бекапа проверяю, и кое-какие данные.
                                                                0
                                                                Когда выяснится — можно восстановить бэкап из бэкапа бэкапа.
                                                                  0
                                                                  Который тоже окажется нерабочим.
                                                              +1
                                                              Восстанавливать штатными средствами, как вы делали бы это в случае необходимости. Т.е. в случае диска — разворачивать его на пустой диск, как минимум. Или на виртуалку.
                                                            0
                                                            Те кто не делает бекапы и те кто уже делает бекапы
                                                              +4
                                                              — И остальные 80%, которые обещают себе, что будут делать бэкапы.
                                                              +13
                                                              Можно же побитово на программаторе снять дамп. И брутфорсить сию флешку до победного конца.
                                                                +17
                                                                Флешки IronKey сертифицированы по FIPS 140-2 Level 3. Это значит, что к самому чипу доступ физически затруднен (читай вся флешка залита эпоксидкой в монолитный «кирпич»).
                                                                Ключи хранятся внутри чипа, генерятся по крипто-стойкому алгоритму и не имеют известных бэкдоров. Допустим мы не можем достать ключи.
                                                                Даже если снять дамп с NAND-а (который магически извлекли из эпоксидки без повреждения), то еще надо:
                                                                1. Собрать образ обратно в логическое пространство, что делается по содержимому этого пространства и практически невозможно из-за шифрования
                                                                2. Даже если собрать пространство, то придется похакать АЕС ключи, что как известно занимает триллионы лет
                                                                  +2

                                                                  Но он же примерно помнит пароль. Хотя бы его примерную длину, использованные символы. Так что уже не триллионы лет. Осталось договориться с производителем флешек помочь снять с неё дамп. За долю потерянных биткоинов. Ещё можно попробовать вспомнить под гипнозом.

                                                                    +2
                                                                    Но тогда не получится такой статьи!
                                                                    Наверное даже бизнес можно замутить на ютубе «последняя попытка ввода пароля...» )))
                                                                      0
                                                                      Кстати хорошая идея. Замутить прямую трансляцию на ютубе: Последняя попытка ввода...! миллионы долларов...! отчаянье..! надежда..! спешите видеть!!!
                                                                      (не забудьте так-же посмотреть рекламку, нажать там и перейти туда)

                                                                      Распиарить акцию на хабрах всего мира и заработать себе хоть маленькую компенсацию на лечение нервов )
                                                                      +9
                                                                      Но он же примерно помнит пароль. Хотя бы его примерную длину, использованные символы. Так что уже не триллионы лет.

                                                                      вы немного путаете понятия.
                                                                      По ФИПСу оно работает примерно так
                                                                      1. Есть юзер пароль. От него сначала считается хеш. Это как минимум одинарный SHA256(но это маловероятно, слишком просто). Часто используется pbkdf2 или SHA256 HMAC. Причем при использовании таких хешей возможно использование соли и дополнительного пароля, который легко может быть каким-нибудь серийным номером проца или еще чего похлеще (довольно часто встречается). Все это сразу ставит точку на любом брут-форсе.
                                                                      2. Полученный хеш шифрует (AES-ом) мастер-ключ (этот такой ключ, который шифрует данные пользователя). Этот зашифрованный ключ хранится в защищенной памяти контроллера. Защищенную память нельзя (в идеале) прочитать извне. т.е сам ключ (даже зашифрованный) может не покидать контроллер
                                                                      3. Дальше есть отдельный чип или чипы NAND, этот там где хранятся данные пользователя. Все эти данные шифрованы мастер-ключом (разумеется все операции по зашифровке/расшифровке происходят в защищенной памяти контроллера).

                                                                      Если вы знаете пароль, хотя бы частично, то можно бы было расшифровать мастер-ключ, при условии, что его можно прочитать (но это скорее всего невозможно).
                                                                      А вот если у вас есть только образ NAND, то хакать уже придется сам мастер-ключ, а не хеш пароля. А мастер-ключ к паролю отношения не имеет
                                                                        –1

                                                                        Ну ОК, у нас проблема — истекающий счётчик числа попыток. Неужели производитель флешки даже за 1 млн $ в биткоинах не сможет помочь? Например, перепрошить ключ и заморозить счётчик. И помочь автоматизировать перебор.

                                                                          +15
                                                                          Это бы означало что ничего дороже 1 миллиона долларов там хранить нельзя.
                                                                          Гостайны примерно туда же. Кто ж согласится продать все секреты всего за миллион?
                                                                            +2
                                                                            С другой стороны подозрительно, если производитель флешек не оставил «черный ход» для спецлужб, которые могут снять защиту не за миллион, а хорошо если за копейку
                                                                              0
                                                                              Ну чисто по смыслу, можно условно снять состояние памяти, повторить схему флешки на плис и начать брутфорсить там возможные пароли.
                                                                                0
                                                                                Нельзя. Ключ в контроллере. Отдельном, физическом контроллере. Хранится в флеше, не в маске (на микроскопе не увидеть), плюс десяток защит по предотвращению спиливания послойно. Вводите пароль неправильно — контроллер перезаписывает ключ, все, финита ля комедия. Изменить логику контроллера нельзя. Вытащить оттуда ключ нельзя (он и при нормальной работе принципиально неизвлекаем, как в банковских карточках).
                                                                                  +1
                                                                                  Ну опять всё упирается в цену разбора контроллера таким образом, чтобы было возможно просто снять с него данные. Вот пример извлечения таких данных: Извлечение ключа из токена с неизвлекаемым ключом. В таких токенах тоже стоят контроллеры про которые вы говорите. То есть всё опять упирается в то, что физически, если у нас есть достаточно точная аппаратура (микроскопы, способные полностью разобрать структуру + вольтметры, способные снять состояния каждего транзистора на схеме), то мы гарантированно сможем повторить полностью структуру флешки в эмуляторе/плис.

                                                                                  Короче: данные на подобных устройствах защищены криптографией + защитой от брутфорса. Криптографию обойти проблемно, но защита от брутфорса гарантированно обходится путём создания копии устройства. Устройство это не магический ящик, который разрушается при обращении к нему. Это набор электротехнических элементов, каждый из который может быть увиден, скопирован, и состояние которого может быть считано. Вопрос ТОЛЬКО в цене такой операции. Но она не является запредельной или фантастической, потому что есть устройства, которые создали эту флешку и они стоят вполне себе реальных денег. Таким образом, остаётся только защита криптографией, и тут уже как повезет с подбором пароля.
                                                                                    +1
                                                                                    Вот пример извлечения таких данных: Извлечение ключа из токена с неизвлекаемым ключом.

                                                                                    … из неправильно настроенного токена. Был бы он правильно настроен — статьи бы не было.

                                                                                    Устройство это не магический ящик, который разрушается при обращении к нему.

                                                                                    У вас транзисторы под слоем металлизации. Расскажите нам, как будете тыкать щупами в ячейки, не снимая металлизацию? И даже если сняли — щуп вольтметра обладает емкостью на порядки превышающей емкость ячейки, в которой хранятся данные. Тыкнули — информации уже нет. Тыкнули не туда — информации нет во всем столбце.

                                                                                    Почитайте вот нормальные статьи о том, как реализуется защита микросхем, а не ваш пример: habr.com/en/company/milandr/blog/518138
                                                                                    Глава 5.2. Инженерная защита:
                                                                                    1)Детектор проникновения в устройство (включаете со сработавшим детектором, информации нет)
                                                                                    2)Блоки детекции частоты и питания (сводят на нет атаки с играми частотой и питанием)
                                                                                    3)Блок генерации помех по питанию (сводит на нет анализ просадок питания)
                                                                                    4)Блок оптического детектора (если кристалл не в корпусе, данных нет. Особые параноики могут комбинировать его с самими модулями памяти, чтобы при снятии крышки заряд начал утекать сразу же через открытый оптотранзистор на землю)
                                                                                    5)Металлизация и защитная сетка (тыкайте до посинения, найдете землю, питания и случайный полином)

                                                                                    И еще много разных веселых штук может придумать мотивированный человек. Безусловно, саму микросхему, имея ее чертежи, можно повторить. Конкретную микросхему в которой еще к тому же хранятся данные, которые надо извлечь… Можно сделать так, что нет.
                                                                                      0
                                                                                      И даже если сняли — щуп вольтметра обладает емкостью на порядки превышающей емкость ячейки, в которой хранятся данные. Тыкнули — информации уже нет. Тыкнули не туда — информации нет во всем столбце.

                                                                                      Предполагается, что у того, кто хочет снять данные уже есть кучка других устройств той же серии, то есть он уже знает структуру схемы, знает как она работает. То есть был проведен полный реверсинжинириг. Сложно, долго, дорого ли это? Да. Но это гарантированно возможно за конечное и реальное время и стоимость. Итак, взломщики уже знают всю структуру до последнего транзистора, знают как это всё работает.
                                                                                      Остаётся вопрос возможности разбора устройства и снятия значений зарядов/напряжений с компонентов схемы. Возможен ли такой физический компонент, который нельзя было бы рассмотреть без изменения его состояния? Возможен, но только в квантовой физике. Где наблюдатель является частью системы. Всё остальное можно наблюдать не изменяя системы. Если транзистор был сделан людьми на человеческом оборудовании, то и снять с него напряжение без изменения его состояния возможно. Естественно не рядовым вольтметром, а какой-либо высокочувствительной аппаратурой.
                                                                                        +1
                                                                                        Возможен ли такой физический компонент, который нельзя было бы рассмотреть без изменения его состояния? Возможен, но только в квантовой физике.

                                                                                        Вот что бывает, когда теоретики пытаются думать о практических задачах. Еще раз: над ячейками слои кремния и проводников. Шлифовать нельзя — проводящие обломки позамыкают ячейки. Растворять тоже — любое проводящее вещество замкнет ячейки. Попытка одна. Вперед?
                                                                                          0
                                                                                          Ну то есть защита основана на том, что нельзя достаточно аккуратно разобрать, правильно? Если это считается 100% защитой, то сложно что-то поспорить.
                                                                                            0
                                                                                            В теории можно все. На практике далеко не факт что получится.
                                                                                            Не самые глупые люди применяли специльные усилия чтобы защитить устройство от такой атаки. С учетом того что информация на нем может быть гостайной или стоить миллионы долларов.
                                                                                              +2
                                                                                              защита основана на том, что нельзя достаточно аккуратно разобрать, правильно

                                                                                              Насколько я помню, профессонально сделанное взрывное устройство принципиально невозможно отключить без его срабатывания. Поэтому их разминируют подрывом на полигоне.
                                                                                                0
                                                                                                Скорее просто опасно и не рентабельно.
                                                                                                  +1
                                                                                                  Скорее просто опасно и не рентабельно.

                                                                                                  Нет, там вроде «невозможно при текущем уровне развития технологий», так-то взломать любой алгоритм криптографии (например, найти пароль для любого кошелька биткойна) в теории возможно достаточно иметь суперкомьютер в квадрилион раз более мощный чем все существующие на Земле вместе взятые.

                                                                                                  Вот и там приборы, регистрирующие попытку проникновения в корпус, более чувствительны, чем любые существующие средства проникновения.
                                                                                                    0

                                                                                                    "чем любые существующие средства проникновения."


                                                                                                    Не любые, а те, которые реально можно использовать в данный момент. Чем тащить бомбу в лабораторию — дешевле и надёжнее просто взорвать.

                                                                                                      0
                                                                                                      Не любые, а те, которые реально можно использовать в данный момент. Чем тащить бомбу в лабораторию — дешевле и надёжнее просто взорвать.

                                                                                                      Понимаете, есть бомбы, которые просто взорвать может стоит очень дорого… да, я про ядерные.

                                                                                                      Вот, возможность делать неразминируемые свои и умение разминировать чужие это вопрос национальной безопасности и стоит любых денег.
                                                                                                      0
                                                                                                      Кинуть в жидкий азот?
                                                                                                        0
                                                                                                        Я не большой специалист в подобных устройствах, но насколько я понимаю, там множество различных датчиков и любое отклонение от диапазона в активированом состоянии вызывает самоуничтожение.

                                                                                                        Например, представьте некоторую ваккумную оболочку окружащие это устройство, внутри которой постоянно двигаются радио волны, лучи лазера и т.п. и малейшее отклонение от заданных параметров отражений вызывает срабатывание, любое падение/повышение напряжение/температуры внутри устройства/отключение датчиков тоже. Как это обойти без каких-то прорывных научных открытий?
                                                                                                        Насколько я знаю, пока не существует способов гарантировано обмануть все виды радаров во всех диапазонах. И это может быть лишь первым этапом защиты.
                                                                                                          0
                                                                                                          Например, представьте некоторую ваккумную оболочку окружащие это устройство, внутри которой постоянно двигаются радио волны, лучи лазера

                                                                                                          А если ближе к реальности? Что-то мне кажется, что большая часть взрываемых на полигонах устройств представляют собой простые бомбы с телефоном, если конечно вообще содержат взрывчатые вещества, а не просто забытая кем-то сумка.
                                                                                                            0
                                                                                                            О чем я писал вначале?
                                                                                                            профессонально сделанное взрывное устройство принципиально невозможно отключить без его срабатывания

                                                                                                            Разумеется, 99% самоделок даже близко не похожи на те взрыватели, что поставляются в профессиональную армию (в спец.подразделения) на случай необходимости диверсионных действий.
                                                                                                              0
                                                                                                              И там есть взрыватели, подвешенные в вакуумной оболочке?
                                                                                                                0
                                                                                                                подвешенные в вакуумной оболочке

                                                                                                                Ну, вакуумная оболочка это тривиальный сосуд Дьюара (в упрощенном варианте он есть в бытовом термосе).

                                                                                                                И там есть взрыватели

                                                                                                                Кто же такое публикует в открытый доступ, это информация минимум ДСП (по крайне мере, в РФ)?

                                                                                                                У меня военная специальность авиционное вооружение, а не вооружение спецназа, но даже если бы я знал, я бы в открытом доступе такое не стал бы выкладывать. :)
                                                                                                                0
                                                                                                                Зная полный принцип работы этой системы можно все условия для самоуничтожения блокировать в нужном состоянии.
                                                                                                                Как с программными решениями. Можно было снять дамп диска, выкосить офлайн все следилки и уничтожалки и написать на их место заглушки что всё «ок», причем не программно, а довольно топорно. А сложность заключалась во владении полной схемой работы «механизма».
                                                                                                                В «до инетную» эпоху, когда после выпуска программного продукта разработчик не мог удаленно влиять на него, всё было рано или поздно взломано.
                                                                                                                  +1
                                                                                                                  Как с программными решениями.

                                                                                                                  Вы знаете алгоритм формирования приватного ключа кошельков биткойна. Взломайте кошельки Сатоши Накамото. Прибыль 50 на 50.
                                                                                                                    0
                                                                                                                    Всё остановится на этапе «снять дамп диска» поскольку доступа к нему без ввода верного пароля не будет. Только винт вскрывать и получить доступ к самой поверхности, так сказать RAW-данным. А в случае с чипами и это тоже предусмотрено — структуры сформированы таким образом что просветка рентгеном ничего не даст, а послойное копирование данных с физическим снятием слоёв кремниевой пластинки тоже практически невозможно из-за специфических «ловушек». Ей-богу, только субатомным репликатором снимать… но он должен учесть электрические и магнитные поля и потом успешно воспроизвести их. Короче, ждём этих технологий не раньше чем через 100 лет.
                                                                                                                    0
                                                                                                                    В этом и опасность. Профессиональные взрыватели затачиваются на надежность подрыва в нужных условиях и безопасность при транспортировке. Даже «элементы неизвлекаемости» в них — это довольно несложные штуки.
                                                                                                  0

                                                                                                  Ну что Вы как маленький, ей богу, всему учить надо. Всего лишь охлаждаем флешку до нуля градусов по Кельвину и делаем что захотим и никакая защита не будет сопротивляться ввиду отсутствия времени как физической величины.

                                                                                                    –1
                                                                                                    Вы читаете, что я пишу?
                                                                                                    Как вам ноль по кельвину (отбросим пока тот факт, что он недостижим) поможет справиться с механическими защитами?
                                                                                                      0
                                                                                                      Как минимум, механизм может просто перестать работать.
                                                                                                      Водяной пар из воздуха замерзнет и что-то заклинит, Смазка загустеет. Химический элемент питания перестанет выдавать ЭДС.
                                                                                                        0
                                                                                                        Смазка? Пар? Химические элементы питания? Вы о чем?

                                                                                                        Многослойный пирог из пленок кремния и меди микронной толщины, вот такая вот механическая защита. Объект защиты — ячейки из кремния с одним легированием, окруженные кремнием с другим легированием, точнее, даже не сами ячейки, а заряд в них. Заряд там, если я правильно перевел единицы типа «30к электронов» в емкость, порядка тысяч аттофарад. Емкость мелкой проволочки — единицы пикофарад. Емкость входа ОУ — 2-3пФ. Пикофарад — это 1 000 000 аттофарад. Разница на три порядка минимум в лучшем случае.

                                                                                                        Ну, т.е. у вас на весах стоит емкость с тонной-двумя воды, и вы почти наугад протыкаете потолок, где идут трубы с водой и вакуумные линии, пытаясь достать до пакетов с водой, стоящих этажом выше. Сверху при протыкании пакета в емкость периодически плескается то литр, то пол-литра, то 300мл. И вам надо определить с хорошей точностью, сколько щас капнуло, потому что если 300мл, то это единица, если от литра до 500мл — ноль, если от 500 до 300 — хз, если ничего или полилось потоком — вы не туда ткнули. Ах да, на при этом над емкостью идет дождь, а в в ней самой есть дырки, откуда вода выливается. Ошибиться нельзя — считывание уничтожает заряд.

                                                                                                          +2
                                                                                                          Пардон, я почему-то решил, что это про неразминируемую бомбу было. А вы почему-то решили, что заряды нужно считывать тестером с каждой ячейки отдельно.
                                                                                            0
                                                                                            Чем больше живу, тем чаще поговорка «что один человек сделал, другой завсегда сломать может» находит свое подтверждение.
                                                                                            0
                                                                                            с другой стороны тоже достаточно специалистов которые могут обеспечить защиту от «одноразовости» за $1млн
                                                                                          +6
                                                                                          А теперь представим себе, как ох###т клиенты этой компании, если выяснится, что их мегазащищенные флешки сама же компания-производитель и может вскрыть по запросу какого-то человека. И долго у нее этот бизнес еще проживет? Думаю, рисковать так своей репутацией стоит только если на этой флешке были бы все биткоины.
                                                                                            –1
                                                                                            А вы уверены, что все эти «защищенные флешки» не созданы исключительно ради развлечения несведующих пользователей? Если какому-то серьезному человеку потребуется настоящая защита, то вряд ли он разрешит компании выпускать устройства с этой защитой на массовый рынок
                                                                                              0

                                                                                              С третьей стороны, как раз таки возможность собрать отзывы от желающих её вскрыть дадут большую гарантию безопасность, чем безопасность-через-неясность.

                                                                                                +1
                                                                                                Только выпуск на массовый рынок дает хотя бы минимальную гарантию что оно на самом деле защищает, а не делает вид.

                                                                                                Вы же знаете что все алгоритмы шифрования давно открыты. Нет каких-то более лучших секретных алгоритом. При этом более худшие секретные алгоритмы точно есть. Вот тут ровно тоже самое.
                                                                                                Продайте всем желающим. Так шанс что найдут дыру и ваши супер важные не украдут повысится.
                                                                                                  –1
                                                                                                  Ну, если я уже зашифровал этим алгоритмом какието данные, то от того, что там найдут брешь, мне легче уже не станет
                                                                                                    +1
                                                                                                    Вообще-то, станет. Вы расшифруете и зашифруете другим, без известных брешей. А вот если вы про эту дыру в своей защите не узнаете на чужом примере, то узнаете на своём, это будет хуже. Security through obscurity не работает.
                                                                                                      –1
                                                                                                      Ну вот зашифрую я данные каким-то алгоритмом, через год в нем найдут брешь, из-за чего мне придется перешифровать данные другим алгоритмом, в котором через год тоже найдут брешь… А что мне мешает просто раз в год перешифровывать данные, не выставляя свой алгоритм шифрования наружу?
                                                                                                        +1
                                                                                                        Чем перешифровывать? Вы каждый год будете новый алгоритм разрабатывать? Один из ваших алгоритмов просто сломают в один прекрасный день, а вы даже не узнаете об этом. Или будете перешифровывать тем же самым алгоритмом? В этом вообще никакого смысла нет. Don't write your own crypto – первое, о чём говорят в курсе криптографии.
                                                                                                          –1
                                                                                                          Ну а вот если сломают, то чем я буду перешифровывать? Почему мне тогда не перешифровать тем же самым, не дожидаясь, когда меня сломают? Почему вы считаете, что когда кто-то сломает, то обязательно скажет об этом? Сколько времени потребуется, чтобы после получения информации о свершившемся взломе заново согласовать выбор решения для перешифровки? Что все это время делать со взломанным алгоритмом, чем шифровать данные?
                                                                                                            +3
                                                                                                            Вы, мне кажется, не совсем понимаете, как работает современная криптография. Зачем вам перешифровывать данные раз в год, если у вас надёжный алгоритм? А если он ненадёжный – перешифровка вас не спасёт. Веры в то, что алгоритм надёжный тем больше, чем больше людей его видели, оценивали и пытались взломать.
                                                                                                            Далее, вы опасаетесь, что кто-то взломает алгоритм, которым вы пользуетесь, и объявит об этом, и у вас данные будут защищены плохим алгоритмом. Поэтому, как бы, нужно алгоритм никому не говорить, чтобы его не взломали. Потому что вам иначе потребуется новый алгоритм, а где вы его возьмёте? Вы не видите ошибку в своей логике?
                                                                                                            Если алгоритм в принципе можно взломать, то его взломают. И тут разница только в следующем: если решение публичное, и взломали кого-то другого, то у вас есть время поменять решение на надёжное. Если решение закрытое, и им пользуетесь только вы, то взломают всё равно, только уже вас. И тут уже менять алгоритм, перешифровывать и т.д. будет поздно – данные «тю-тю», ваши 237 миллионов долларов ушли взломщикам.
                                                                                                            Где брать новый надёжный алгоритм – это другой вопрос. Но «свой» вы же где-то взяли? Но правильный ответ – брать не «свой», а брать известную реализацию открытого, математически проверенного алгоритма, в которой нет известных дыр в безопасности (либо затаиться и ждать, пока дыры залатают). А такие есть.
                                                                                                              –1
                                                                                                              Все-таки в этой ветке обсуждается не только алгоритм, но все решение целиком. Криптофлешка целиком например. Или например, не только алгоритм, но протокол взаимодействия с алгоритмом в целом. В результате алгоритм может быть сколь угодно надежен, а все решение — нет.

                                                                                                              Если мы говорим о крупных корпорациях (или госорганах) (а в этом треде мы о них и говорим) то вряд ли им нужно общественное подтверждение того, безопасный алгоритм или нет. Безопасный, небезопасный — перешифровывать все равно придется. Почему бы для этого тогда просто не запланировать смену алгоритма (под алгоритмом я везде понимаю решение целиком) раз в год например? Да, может случиться так, что взломают раньше, но с этим ничего не сделать, выбрать алгоритм за очень короткий срок невозможно все равно, а данные все это время будут утекать.

                                                                                                              Вполне возможно, что крупным корпорациям и вовсе не нужно никакое шифрование. Лучше защититься от различных взломов как-то юридически например, потому что рано или поздно все равно взломают всех, и что с этим делать непонятно. Так что возможно на таких высоких уровнях никакого шифрования нету даже близко (вспоминается байка, не знаю насколько правдивая, что для запуска ядерных ракет нужно ввести пароль 0000, так как в случае критической ситуации бегать и вспоминать, какой пароль был установлен в последний раз, времени не будет)
                                                                                                                +1
                                                                                                                В результате алгоритм может быть сколь угодно надежен, а все решение — нет.

                                                                                                                Тут соглашусь. Но это не тот случай, не так ли?
                                                                                                                Если мы говорим о крупных корпорациях (или госорганах) (а в этом треде мы о них и говорим)

                                                                                                                Можно указать, где именно и кто о них говорит? Я вот первый раз у вас увидел. Ну да ладно.
                                                                                                                Безопасный, небезопасный — перешифровывать все равно придется.… Да, может случиться так, что взломают раньше, но с этим ничего не сделать… Вполне возможно, что крупным корпорациям и вовсе не нужно никакое шифрование.… Так что возможно на таких высоких уровнях никакого шифрования нету даже близко

                                                                                                                Вы знаете, я даже не знаю, что вам сказать. Счастья, здоровья, наверное. Я правда нахожусь в полной растерянности.
                                                                                                                  –1
                                                                                                                  Ну первый мой комментарий был такой

                                                                                                                  А вы уверены, что все эти «защищенные флешки» не созданы исключительно ради развлечения несведующих пользователей? Если какому-то серьезному человеку потребуется настоящая защита, то вряд ли он разрешит компании выпускать устройства с этой защитой на массовый рынок


                                                                                                                  Тут я все-таки начинал говорить именно о флешках, тоесть о решении целиком. Потом я возможно несколько вас запутал, когда стал использовать слово «алгоритм» вместо «флешка». А под «серьезным человеком» понимается именно крупная корпорация (точнее те люди, которые сидят в главе этой крупной корпорации). Понятно, что сама корпорация может использовать известные криптоалгоритмы, например используя ssl для доступа к сайтам на компьютерах техподдержки. Но действительно ли какой-то человек из топа пойдет покупать такую флешку, чтобы зашифровать важные корпоративные данные? Я вот не уверен
                                                                                                              0

                                                                                                              Имеется в виду, что сломают не вас, а весь алгоритм принципиально. Ну, т.е. считалось, что любые данные в мире, им пошифрованные, надо брутить около 100500 лет на кластере пентагона — и внезапно оказалось, что можно сбрутить на крякнутом третьем плейстейшене за 40 секунд.

                                                                                                                –1
                                                                                                                Если корпорация не будет афишировать свой алгоритм (под алгоритмом я понимаю решение целиком, например криптофлешка) то разные мамкины хакеры, которые взламывают алгоритм на плейстейшене, до него просто не доберутся. А какие-то другие крупные конкурирующие/государственные компании, если и получат доступ к вашему алгоритму и взломают его, то вряд ли об этом вам расскажут
                                                                                                                  0

                                                                                                                  Скорее всего в контексте спора имелся в виду алгоритм как сам процесс шифрования — AES, RSA, итд. А они, увы, применяются очень повсеместно, поэтому чтобы получить возможность сломать ваш шифр, им даже не обязательно экспериментировать именно на ваших данных.

                                                                                                                    0
                                                                                                                    Даже алгоритмы иногда придумываются под конкретную задачу. Есть же всякие российские госты под криптографию. Это еще те, которые мы знаем. А что, если есть такие, какие мы не знаем?
                                                                                                                      0
                                                                                                                      А они, увы, применяются очень повсеместно

                                                                                                                      В каком смысле «увы»? В этом же и смысл весь.
                                                                                                        0
                                                                                                        Нет каких-то более лучших секретных алгоритом

                                                                                                        NSA считает, что есть, и использует эти более лучшие алгоритмы для шифровки государственной переписки.

                                                                                                          0
                                                                                                          Это и есть более худшие алгоритмы. Я сразу написал что они точно есть.

                                                                                                          Доказать это просто:
                                                                                                          Более лучшие алгоритмы невозможны математически. У текущих криптостойкости достаточно для любого применения. Постквантовые вовсю делают. Пока доказали что для взлома много чего нужен квантовый комп невообразимой на сегодня мощности. Вывод: лучше некуда.

                                                                                                          А вот хуже сделать очень просто.
                                                                                                            0

                                                                                                            Я, похоже, пропустил математическое доказательство, о котором вы пишете. Поделитесь ссылкой?

                                                                                                              0
                                                                                                              Сорри. Переборщил с высказыванием.

                                                                                                              Так точно будет:
                                                                                                              Для хороших симметричных алгоритмов нет доказательств что есть возможность сократить количество перебираемых значений. Хотя попытки таких работ были. С учетом известности и денег можно предположить что достаточное количество математков пыталось написать такую работу.

                                                                                                              Берем классику AES. Вероятность наличия способа ускорить перебор до состояния что его реально сделать есть, но этот способ точно стоит больше миллиарда долларов. Если у вас тайна (ключ от биткоин кошелька, я даже не знаю что это могло бы быть в реальности) стоит больше вам стоит задуматься. Если меньше, а все типовое стоит меньше, то можно не беспокоится.

                                                                                                              Существование более хороших алгоритмов опять таки предположить можно. Допустим что-то с доказанной стойкостью. Но на практике это маловероятно. Текущая математика не может взломать публичные. Куда уж лучше?
                                                                                                  0
                                                                                                  Флешки IronKey сертифицированы по FIPS 140-2 Level 3.
                                                                                                  Сейчас да. А в 2011?
                                                                                                    +3
                                                                                                    Сейчас да. А в 2011?

                                                                                                    Всегда.
                                                                                                    Они на рынок вышли как раз под FIPS-ом. С самого начала их делали для гос. контор.
                                                                                                    +2

                                                                                                    Эпоксидка чудесно размягчается ацетоном. А до ацетона ей делается рентген.


                                                                                                    Сдается мне, это красивая байка под пиво, в ином случае, проблема вполне решаемая и довольно недорого.

                                                                                                      +1

                                                                                                      А как рентген поможет понять, какой заряд на той или иной ячейке? Структура чипа флэш-памяти — не секрет, вопрос именно в ноликах и единичках в нём.

                                                                                                        0
                                                                                                        А вот аппаратные защиты от вскрытия могут быть секретом.
                                                                                                          +3
                                                                                                          Поэтому сначала вскрываем не флешку с битками, а несколько других экземпляров.
                                                                                                            0
                                                                                                            но рентген это не отменяет, чтобы не повредить защитный пучок проводов 0.02мм под эпоксидкой.
                                                                                                            знакомые просто шли к зубному в таком случае
                                                                                                              0
                                                                                                              Я больше чем уверен, что компаунд, которым там все залито, либо непрозрачен в рентгене, либо дает ту же картинку, что и проводники. Взлому схем и микроэлектроники с помощью рентгена лет больше, чем компьютерам — уж от этого 100% нашли, как защититься.
                                                                                                                0

                                                                                                                Как?

                                                                                                                  0
                                                                                                                  А если после компаунда в свинец обернуть?
                                                                                                                    0
                                                                                                                    Экранирующие структуры. И сверху слои металлизации и снизу, похожие по паттернам на защищаемый слой.
                                                                                                          +3
                                                                                                          Эпоксидка чудесно размягчается ацетоном. А до ацетона ей делается рентген.

                                                                                                          Это вы теоретически рассуждаете, да?
                                                                                                          Потому как я этим занимался практически, снять компаунд можно не во все случаях без проблем для компонентов.
                                                                                                          Ацетон кстати замечательно растворяет пластик. Тот пластик, из которого делают корпуса микросхем он растворяет чуть менее замечательно, но все равно растворяет.
                                                                                                          +7
                                                                                                          что как известно занимает триллионы лет

                                                                                                          зато биткоин ещё подорожает)
                                                                                                        +3
                                                                                                        снять дамп с памяти и подбирай пароли сколько влезет
                                                                                                          +3

                                                                                                          Так, а если ключ для расшифровки неизвлекаемый чем дамп памяти поможет?
                                                                                                          Или я чего-то не понимаю и все безопасные флешки так просто «ломаются» простейшим побитовым копированием?

                                                                                                            +6
                                                                                                            Клонирование даст неограниченное количество попыток.
                                                                                                              0
                                                                                                              А насколько перебор пароля к дампу выгоднее перебора приватного ключа напрямую к кошельку?
                                                                                                                0
                                                                                                                Если бы атака на приватный ключ кошелька была довольно несложной, биткоины бы очень часто меняли своего владельца.
                                                                                                                  0
                                                                                                                  В данном конкретном случае перебор пароля к дампу будет упрощен, поскольку юзер примерно помнит пароль. Возможно, он ошибается в регистре нескольких символов ну или забыл пару из них. Тут будет перебор, условно говоря, «вот этот пароль, плюс/минус 3 символа, разные регистры, варианты с пропущенными буквами» — возможно, буквально нескольких миллионов попыток будет достаточно. Подбор приватного ключа биткоина — примерно вечность.
                                                                                                                  +1
                                                                                                                  А толку? Данные зашифрованны не паролем пользователя, а ключом. Ключ подбирать бесполезно. Известных ошибок в алгоритмах там нет, алгоритмы хорошие.

                                                                                                                  Вытащить пусть зашифрованный но ключ может и не выйти. Его на хороших устройствах хранят с учетом полного доступа злоумышленника к устройству и владением злоумышленником доступными на то время техниками извлечения информации с железа.
                                                                                                                    –1
                                                                                                                    Если что-то хранится локально, то это гарантированно можно извлечь. Возможно за дорого, но можно.
                                                                                                                0
                                                                                                                Как получить доступ к памяти контроллера?
                                                                                                                +7
                                                                                                                Хм, если на кону $237 млн, то что мешает решить вопрос с привлечением профессиональных средств аппаратного клонирования и дальнейшего реверсинга?
                                                                                                                  +3
                                                                                                                  клон будет не только у него :)
                                                                                                                    +12
                                                                                                                    Хм, если на кону $237 млн, то что мешает решить вопрос с привлечением профессиональных средств аппаратного клонирования и дальнейшего реверсинга?

                                                                                                                    Наверное то, что профессионалы хотят денег. Причем в таких сложных случаях они хотят их за попытку и результат не гарантируют.
                                                                                                                    Профессионалы всегда заняты и работать забесплатно им совсем неинтересно.
                                                                                                                    Я думаю тысяч за 50 вечнозеленых можно попробовать что-то сделать, но у владельца есть риск стать на $50000 беднее и так и не получить свои миллионы.
                                                                                                                      0
                                                                                                                      Не думаю, что за 50К кто-то будет связываться. Недавно была статья как пароль старого архиватора ломали и то там была сумма, вроде, побольше. А тут какая-то неведомая хардварная хрень.
                                                                                                                        +2
                                                                                                                        Ну, например взломщики сейфов зачастую работают «за содержимое». Так и тут, неужели нет никого, кто взялся бы за пост-фактум оплату? Ну т.е. клиент приходит с флешкой и говорит «на ней ндцать миллионов, если взломаете, 10% вам. Не взломаете — 0». И что, вы думаете, желающих не будет? Тут скорее вопрос, что в данной ситуации может клиент сам не захочет, зная, что всего 2 попытки и хана. Сейчас он в состоянии «у меня есть миллионы, но нет к ним ключа», что, хоть и печально, но греет душу. А перейти в состояние «у меня нет миллионов» это все-таки грустно.
                                                                                                                          0
                                                                                                                          Так и тут, неужели нет никого, кто взялся бы за пост-фактум оплату?

                                                                                                                          может кто и взялся бы, но профессионалы за бесплатно не работают.
                                                                                                                          Тут на 2-3 месяца работы я думаю.
                                                                                                                            +1
                                                                                                                            Где вы увидели «бесплатно»? Часть от того, что в сейфе в случае успешной попытки (а в данном случае речь о нескольких миллионах у.е., это вообще-то цена не одного года работы специалиста). Ну а в случае неуспешной — за что платить-то?
                                                                                                                              0
                                                                                                                              Ну а в случае неуспешной — за что платить-то?

                                                                                                                              За потраченное время конечно.
                                                                                                                              Платить никто не заставляет, тратить время тоже :)
                                                                                                                              Есть разные способы оплаты, можно заплатить 50к за попробовать, а можно заплатить скажем 40%, но только в случае успеха.
                                                                                                                              Я, как профессионал, за такой кейс бы не взялся без предоплаты. Что конечно не означает, что кто-то другой не возьмется за процент от конечного результата.

                                                                                                                              Но вы опять же теоретизируете, а мне приходилось работать над похожими задачами.
                                                                                                                            0

                                                                                                                            а где гарантия того, что содержимое зашифрованной флешки — кошелек с 100500биткоинами, а не фото любимой кошечки, а кошелек — приманка для вскрывальщиков ?


                                                                                                                            Или что это вообще та самая флешка. Предположим, что пароль к флешке узнал кто-то еще и вознамерился флешку украсть. Идеальный вариант — подменить ее на другую, с другим паролем. А потом через какое-то время (например — по истечению срока давности) начать биткоины тратить.

                                                                                                                              0
                                                                                                                              Ну, это ведь уже другой вопрос, не так ли?

                                                                                                                              Я все аппелирую к взломщикам сейфов, которые за содержимое открывают. Как-то же проблему решают?

                                                                                                                              В конце концов, никто не мешает составить договор вида «после успешного Взлома Клиент обязуется предоставить Взломщику бОльшее из: 50к$ или 10% от стоимости содержимого на Флешке, оцененного на день Взлома».
                                                                                                                            0
                                                                                                                            в подобных случаях речь всегда идет про треть-половина-две_трети от спасаемой суммы… терпиле скорее всего уже озвучили цифру и он пока взял тайм-аут, попутно немного рубя баблишко от журналюг.
                                                                                                                              0
                                                                                                                              Простите, а вы героя публикации «терпилой» назвали из каких соображений?
                                                                                                                                0
                                                                                                                                Потерпевший в сокращенном жаргонном варианте. Вроде бы он терпит некое горе… Зило потерпевший.
                                                                                                                            0
                                                                                                                            Может быть то, что никаких биткойнов на флешке нет? :)
                                                                                                                            –1

                                                                                                                            Программист который забыл пароль, не программист! Придумываешь для себя алгоритм генерации пароля с небольшой энтропией и просто смотря на предмет или заходя на ресурс генеришь в уме валидный пароль, может не с первой попытки но с 3-й так точно.

                                                                                                                              +5
                                                                                                                              В детстве у меня был англо-русский словарь по которому я генерировал себе пароли к BBSкам по номеру телефона. К счастью все те BBS давно померли, потому как словарь тоже где-то потерялся…
                                                                                                                                +21

                                                                                                                                Придумал алгоритм, легко запомнить, генерирует буквы и цифры.
                                                                                                                                Случай на сайте номер 1. Генерируешь пароль, но сайт говорит, что нужны заглавные буквы. Меняешь алгоритм.
                                                                                                                                Случай на сайте номер 2. Сайт решил, что нужны символы в пароле. Опять меняешь алгоритм.
                                                                                                                                Случай на сайте номер 3. Сайт решил, что ты не должен вводить символы кроме букв и цифр, но нужно обязательно заглавную букву, но не в начале, не должно быть слов из словаря и ещё куча правил. Последний алгоритм не подходит. Ярость одолевает тебя, придумываешь новый алгоритм.
                                                                                                                                Случай на сайте номер 4. Пароль должен быть не более 16 символов, но у тебя в алгоритме их 24, т.к. безопасность же. Стул сгорает дотла.


                                                                                                                                Теперь у тебя 5 алгоритмов, но это только начало, т.к. каждый сайт заставляет следовать своим правилам вместо того, чтобы дать пользователю ввести любой пароль (хотя бы в разумных пределах до 100 символов) любыми символами на любом языке.

                                                                                                                                  +15

                                                                                                                                  Особо раздражают системы где ограничивают длину пароля сверху. Прям ужас. Какая им, блин, разница, если только они пароль не в открытом виде хранят, а если так, то мне с ними не по пути.

                                                                                                                                    0

                                                                                                                                    Особо раздражает Сербанк, который при этом, похоже, реально хранит все использованные пароли за последние 3 месяца (во всяком случае, поседние 25 паролей он точно помнит).

                                                                                                                                      0
                                                                                                                                      Вы уверены, что хранит именно пароли?
                                                                                                                                        0
                                                                                                                                        Скорее всего всё же хеши паролей, приведённых к верхнему (или нижнему) регистру.
                                                                                                                                          0
                                                                                                                                          По крайней мере, регистр у их паролей не имеет значения, стало быть — да
                                                                                                                                          Хм, про хеши приведенных значений не подумал
                                                                                                                                            0
                                                                                                                                            Да, именно так и хранят.
                                                                                                                                            Я правда, не ожидал, что сохраняют последние 25, но проверять лень :)
                                                                                                                                              0

                                                                                                                                              Ну ситуация простейшая.


                                                                                                                                              1. Придумать надёжный пароль (ну, знаете, ВерноЛошадьБатареяСкрепка и т.п.)
                                                                                                                                              2. По той или иной причине ошибочно ввести пароль три раза (сначала раскладку забыл переключить, потом кнопка не сработала, потом промахнулся мимо правильной кнопки) — Сбербанк встаёт на дыбы и блокирует аккаунт.
                                                                                                                                              3. Войти можно по номеру карточки — но тогда сайт обязательно придумать и ввести новый пароль.

                                                                                                                                              После пары-тройких таких циклов начинаешь путаться: какой из ряда придуманных тобой особо безопасных паролей — текущий, а какой — прошлый, и больше недействителен :( Особенно весело, если при этом ты находишься вне дома (то есть менеджер паролей недоступен).


                                                                                                                                              В иностранных банках обычно хранят N (N > 5 не встречал) предыдущих паролей, поэтому поменяв пароль 5 раз, можно таки вынудить его принять тот пароль, который хотел с самого начала — но в Сбербанке это, к сожалению, не прокатывает — я уже дошёл до SuperPassword25, а SuperPassword1 он всё помнит. Скрипт написать, что ли, переполнить его кэш?..

                                                                                                                                                0
                                                                                                                                                Особенно весело, если при этом ты находишься вне дома (то есть менеджер паролей недоступен).
                                                                                                                                                а почему не использовать на смартфоне тот же кейпасс, синхронить через облако…
                                                                                                                                                  0

                                                                                                                                                  Простите, позвольте поинтересоваться — у Вас смартфон из анобтаниума сделан, что он в огне не горит, в воде не тонет, у него экран никогда не разбивается и батарейка не садится посреди сибирской тайги, а заодно гопников отпугивает одним своим видом?

                                                                                                                                                    0
                                                                                                                                                    Гопники отжимающие мобилы сейчас уже что-то редкое, там же привязка, все дела, сдавать на запчасти задрипанный андроид — получить максимум штукарь, а так же уголовку за грабеж, ибо ущерба на десяток тысяч?
                                                                                                                                                    Но вот проблема, если всё это случится со мной, то зачем мне будут нужны пароли посреди сибирской тайги? )
                                                                                                                                                    Кредитка то куда денется? А если денется, то чем вам поможет доступ к банку (который по номеру карты, который я так же не помню, плюс смс как-то прочитать надо)
                                                                                                                                                      0
                                                                                                                                                      сдавать на запчасти задрипанный андроид — получить максимум штукарь

                                                                                                                                                      Это если задрипанный андроид — а если VERTU какой?


                                                                                                                                                      а так же уголовку за грабеж, ибо ущерба на десяток тысяч?

                                                                                                                                                      Это если поймают.


                                                                                                                                                      Но вот проблема, если всё это случится со мной, то зачем мне будут нужны пароли посреди сибирской тайги? )

                                                                                                                                                      А хрен его знает, какие там у Вас пароли хранились — может, тм рядом со Сбербанком были коды запуска ракет, которые Вы в шахту несли :)


                                                                                                                                                      Кредитка то куда денется?

                                                                                                                                                      Не знаю, о чём Вы здесь и далее, но здесь я уже говори про пароли вообще, а не пароли к конкретно Сбербанку.

                                                                                                                                          +2
                                                                                                                                          Я видел требования к одной системе какой-то из дочек Ростелекома, где для юзеров было требование «новый пароль должен отличаться от 5 предыдущих на не меньше, чем Х символов». И тут, кажется, уже хэши не помогут. :)

                                                                                                                                          P.S. Кажется, получилось убедить людей, что такие требования — это плохо.
                                                                                                                                            0

                                                                                                                                            Ну, требование об отличии вполне может существовать в отрыве от контроля о его исполнении. Бумага требует, а контроль отсутствует. А так, да, автоматизировать контроль без ущерба для безопасности, наверное, будет трудновато.

                                                                                                                                          +3
                                                                                                                                          Ограничивают, потому что считают что человек такой пароль запомнить не сможет и обязательно запишет на бумажку возле монитора или использует словарные фразы. А вообще, лучше вспомните что АСЬКА до последнего своего вздоха имела 8-символьный пароль. Если ввести больше 8 символов, остальная часть просто игнорировалась. Вы могли назначить 24-символьный пароль, но стойкость была только на 8 символов, а для русского юникода и вовсе на 4 символа.
                                                                                                                                            +18
                                                                                                                                            Ограничивают, потому что считают что человек такой пароль запомнить не сможет и обязательно запишет на бумажку возле монитора или использует словарные фразы.

                                                                                                                                            вот ведь где собака порылась!
                                                                                                                                            а я то думаю, зачем в паролях требуют всякие #$%-@ наверное чтобы помнить и на бумажку не записывать :)
                                                                                                                                              0
                                                                                                                                              или использует словарные фразы

                                                                                                                                              Негодяй, следует рекомендациям NIST.