Pull to refresh
7
0
Павел Мельниченко @mel26

User

Send message
А на 0:16 у чувака с руками явно какая-то проблема…
Вы не совсем правы.
Программные токены существуют. Они так и называются — Software Token. Но они используются немного для других целей в основном в средах Enterprise.

Пример: инфраструктуры предприятия настроена только на аутентификацию по сертификатам. Ключи всех сотрудников на токенах. Сотрудник поехал в командировку и сломал/потерял токен.

Решение: администратор формирует сотруднику Software Token, который действует только в течение короткого промежутка времени (1-2 дня) и высылает ему по открытым каналам. Сам «токен» под паролем. Непосредственно работу с Software Token осуществляют драйвера от нормального «токена».

Зачем?: чтобы инфраструктура предприятия работала и сотрудник мог осуществлять свою деятельность вне зависимости от нештатных ситуаций.

Пруф: см. Виртуальный токен
Хотя, неверное не совсем обязательно иметь сам сертификат соответствия, достаточно выполнять требования к используемым криптографическим схемам и рекомендации по противодействию атакам на токены.
Те, которые имеют сертификат соответствия Common Criteria по уровню не ниже EAL 4.
Еще было бы неплохо иметь сертификацию FIPS, так как Америкосовское правительство довольно трепетно относится к безопасности своих информационных систем.
Поправочка: физ. лица считают, что это слишком дорогая мера безопасности.
Но я Вас умоляю, при тех затратах для злоумышленника для подбора корректной последовательности, проще дать ключеносцу кирпичом по черепушке.
Здесь именно в том и дело, что OTP значения генерируются при помощи OTP-токена пользователя. Например, подходим к столу зазевавшегося пользователя, берем его OTP-токен, нажимаем на кнопку генерации OTP и запоминаем 6 цифр OTP.
Пока пользователь не аутентифицируется в системе с новым OTP — этот будет действителен. И Админ сможет узнать только при разборе инцидента, когда будет уже поздно.

Ну так кроме ключа с токена злоумышленник еще и должен знать пароль юзера и пин к токену.
Мало того, при успешной аутентификации этот ключ становится недействительным (хотя, наверное, это зависит от настроек сервера).

OTP сделаны для того, чтобы можно было не опасаться за их перехват при передаче по каналам связи. При передаче Event Based OTP с какими угодно доп. параметрами (пин, соль или еще что-то) будет временной интервал, в течение которого OTP будет действовать.
Вы не совсем правы.
Токены обычно нужны для двухфакторной аутентификации. Первый фактор — фактор владения токеном, второй фактор — фактор знания пин-кода к токену. Только при наличии двух факторов сразу система должны работать штатно. Это необходимо на случай, если токен будет украден.
Если на выполнение каких-либо операций, связанных с личностью пользователя (аутентификация, генерация ЭЦП, извлечение данных и пр.), не запрашивается пин-код, то это однофакторная аутентификация, основанная на факторе владения.
На OTP-токены есть ряд известных и легко реализуемых атак.

Например, если OTP-токен формирует Event Based OTP, то злоумышленник может в тайне от пользователя сгенерировать один-два OTP значения, запомнить/переписать их и воспользоваться.
Если злоумышленнику не удалось ими воспользоваться, то пользователь об этом не узнает в силу специфики работы с Event Based OTP.
C Time Based существует временной интервал, в течение которого действует OTP значение и т. п.

Нормальный криптографический токен в любом случае надежнее.
В «хороших» токенах аутентификация в токене производится на основе Challege — Response с использованием криптографической схемы. То есть пин-код не передается по USB-каналу.
Другой вопрос, что проще поставить key logger, чем заморачиваться с USB-сниффером.
Поправка — это я про концепт, описанный в топике. А не про HUD от BMW.
«Одна секунда — и 28 метров. Именно столько времени вы тратите, чтобы отвести взгляд от дороги и увидеть на спидометре цифру 100 км/ч. » (с) BMW

Если с учетом этой цифры лезть на лобовое стекло и «совершать покупки и болтать с друзьями» — применимость данного концепта с точки зрения безопасности очень сомнительна.
Поправлюсь.
С государством связываться хорошо, когда оно что-то у тебя покупает за бюджетные средства.
Не когда тебе что-то от него надо, типа сертификата или справки из военкомата.
Так они себя зарекомендовали.
К чему не прикоснутся, там начинается дележ бюджетов, сертификация, запреты. Все это начинает приводить к взяткам и так далее по накатанной.
У нас в стране связываться с государством — всегда себе дороже.
Все же склоняюсь к мысли, что либо это социальный инжиниринг с целью получения базы пользователей и паролей (неизвестно какая фирма и 100 клиентов), либо продвинутый аудит с использованием методов этого самого инжиниринга.
Первое намного более вероятно.
Похоже на нигирийцев с просьбой отправить MacBook сыну в Зимбабве и предоставить квитанцию об отправке «платежной системе».
Есть еще так сильно сейчас пиарящаяся Универсальная Электронная Карта
www.uecard.ru/ — сайт на Joomla

Если я не ошибаюсь, на этот проект наши чинуши планируют потратить 200 млрд!
Как мне кажется, качество образования в ИБ стало жертвой «модности» этой специальности. Много ВУЗов, не имеющих кадров в области ИБ, открыли у себя специальности этой группы, так как желающие стать безопасниками выстраиваются в очередь.

Я лично учился на ИБ в ВУЗе, который был в первых трех, начавших работать по ИБ. Наш зав. каф. и его зам — самые известные личности в области образования по ИБ в России.
И учат они очень хорошо. Причем образование давалось на 80% за счет самостоятельной работы (2-3 пары в неделю, остальное — самостоятельно, и много на реальных проектах).

Так что могу Вам сказать следующее. ВУЗ надо выбирать не наобум, типа ближе к дому, а думать куда и к кому идешь учится. В конце концов — это вложение в будущее.

Сгнило много чего, но еще больше перепрофилировалось на зарабатывание денег.
Те функции Зевса, которые Вы описываете (в части работы со смарт-картой) может вполне лигитимно выполнять любое программное обеспечение.
Насколько я понял, Зевс пытается подключиться к карте и посмотреть, что на ней находится. Тут уже вступает в действие правильность архитектуры софта, который хранит свои данные (в том числе ключи ЭЦП) на карте.

Обычно у карты, упрощенно говоря, есть 2 области памяти и, соответственно, 3 уровня привилегий.
Память: открытая, закрытая (закрытых может быть несколько областей для разных привилегий).
Роли пользователей:
— Гость. Работает с открытой памятью — обычно пользовательские сертификаты, публичные объекты.
— Пользователь. Работает со своей областью закрытой памяти — обычно в ней ключи ЭЦП, ключи аутентификации, закрытая информация прикладного ПО и пр. Так же пользователь имеет возможность сформировать ЭЦП на основе неизвлекаемых ключей.
— Администратор. Своя память, административные функции, обычно прямого доступа к данным пользователя нет, возможности формирования ЭЦП нет.

Здесь Зевс может попасть в открытую память. В этом нет ничего критичного и на безопасность никак не должно влиять. Если какое-то ПО сохранило ключи ЭЦП для работы с банковским счетом в открытой памяти… Гм, грех не украсть :)

Если Зевс попытается попасть в область пользователя или администратора, то ему будет необходимо пройти аутентификацию в карте. Сложность для Зевса в том, что «правильные» карты никогда не передают PIN карты в открытом виде. Аутентификация происходит при помощи криптографической схемы, основанной на симметричных ключах.
Но ключи вырабатываются на основе пароля. И вот если Зевс перехватит каким-то образом откуда-то пароль и сможет на его основе выполнить условия определенной криптографической схемы в определенной смарт-карте — вот это будет гроза. Не могли бы Вы пояснить — способна ли на это данная модификация?
Автор, хочу пожелать Вам удачи и несколько замечаний, которые, надеюсь, Вам помогут.

Стандарт ДСТУ-4145 — это модифицированный в одной операции при вычислении/проверке ЭЦП стандарт ECDSA. Модификация состоит в инверсии одного значения в процессе вычислений.

С ГОСТ Р 34.10-2001 (Российская ЭЦП) ДСТУ не имеет ничего общего, кроме основы на эллиптических кривых. Там даже применяются кривые на разных полях. в ГОСТ применяются поля простых чисел (ECP — elliptic curves prime), в ДСТУ-4145 — полиномиальные (EC F2M — elliptic curves F2M).

Соответсвенно, если у Вас есть библиотеки работы с EC F2M, то реализовать ДСТУ — дело 30 минут. В тексте стандарта определены все необходимые начальные величины (порядки полей, базовые точки и пр.) Нужно только реализовать алгоритм — несколько простых операций.

Возьмите модуль ECC из OpenSSL и с помощью примитивов составьте алгоритм. Для примера можете взять ECDSA. Это совсем нетрудоемкая задача.
Вы бредите, никогда не было на eToken аппаратной реализации ДСТУ. Есть варианты хранения ключевого контейнера программного криптопровайдера, но никак не внутренней реализации.
Возможно, Вы правы. Но, на мой взгляд, тут подмена причины-следствия, которая для детей может иметь наитягчайшие последствия.
Дело в том, что виртуальность должна быть отражением реальности (например, ферма вконтакте только некая модель социальных отношений), но никак не наоборот.
Описанный Вами подход наталкивает на мысль, что реальность — отражение виртуальности. Это, как мне кажется, очень плохо для формирующегося сознания.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity