1.1, Аномномномнимус (?), 15:12, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это те которые теперь closed-source code и дырявые?
In October 2017, security researchers found a vulnerability (known as ROCA) in the implementation of RSA keypair generation in a cryptographic library used by a large number of Infineon security chips. The vulnerability allows an attacker to reconstruct the private key by using the public key.[18][19] All YubiKey 4, YubiKey 4C, and YubiKey 4 nano within the revisions 4.2.6 to 4.3.4 are affected by this vulnerability
Есть что-то более открытое аналогичное?
| |
|
2.2, Аноним (-), 16:27, 15/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Сделай своё на Arduino/AVR/STM32/RISC-V. Ну серьезно, в наше время можно купить платку с микроконтроллером и USB разъёмом, да сделать свой ультра-девайс.
| |
|
3.3, Аноним (-), 18:31, 15/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
угу, убердивайс, из которого все твои закрытые ключи и пароли вынимаются путем чтения его флэшки или и вовсе перехвата уже расшифрованных данных из памяти компьютера (спасибо интелу за meltdown и amd за spectre)
единственный смысл подобных токенов исключительно в том, чтобы закрытые ключи никогда не покидали устройства, а внутри него хранились в принципиально нечитаемом виде
сделать подобное из китайских запчастей практически нереально, из некитайских...да кто ж тебе их продаст-то.
а обычный функционал убикея (с прикидыванием клавиатурой вместо токена) - это пожалуйста, это можно. Но совершенно бессмысленно.
| |
|
|
5.9, Аноним (-), 03:21, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> STM32 можно залочить на "WriteOnly".
У L1/L4/F0/... есть еще level2, там блокируется все что можно. И jtag, и встроенный бут, и вообще - записать что-то новое или прочитать можно будет только если фирмвара юзера (или юзеровский бут) на это согласна. И даже так option bytes менять нельзя, так что разлочить чип не сможет даже фирмвара уже. ST клянется что они не могут failure analisys на таких чипах. Даже если это и полуправда, проблем атакующему привалит. А самые очевидные дыры давно опробовали и заделали, потому что конкуренты не прочь спереть фирмварь, особенно китайцы. И защита камня от чтения это единственное что стопорит моменталное появление китайских клонов быстро, нагло и за треть цены.
| |
|
4.7, Аноним (-), 14:28, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> внутри него хранились в принципиально нечитаемом виде
Ну и кто мешает применить AES шифрование для своих ключей?
| |
|
5.15, Аноним_ (?), 14:29, 25/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> внутри него хранились в принципиально нечитаемом виде
> Ну и кто мешает применить AES шифрование для своих ключей?
здравый смысл? Задача не в шифровании ("кто мешает" шифровать на диске без всяких ненужнотокенов), а в том, чтобы ключи _никогда_ не расшифровывались - кроме применений, когда они не покидают внутреннюю память дивайса. В случае gpg все шифрование придется выполнять внутри, на входе плейнтекст и парольная фраза, на выходе - уже шифрованный или подписанный или то и другое пакет.
Не знаю, не знаю, насколько тормозно это будет на stm и поместится ли в память вообще, особенно, если понадобятся block ciphers (обычно не нужен, но мало ли).
В случае ssh попроще, там протокол устроен так, что все можно сделать почти правильно.
Но, "почему-то", никто пока не сделал хотя бы и для ssh-only. Удивительно, но факт.
| |
|
4.8, Аноним (-), 00:28, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> угу, убердивайс, из которого все твои закрытые ключи и пароли вынимаются путем
> чтения его флэшки
Прочитаешь мне STM32? А то гадские китайцы залочили прошивку на чтение, понимаешь. Можно стереть и свою влить, но так не интересно - ведь китайскую прошивку я при этом не получу. А писать самому 128 кил кода довольно напряжно. Нет, 10К зелени на взлом путем вскрытия чипа и дампа флеша электронным микроскопом я тебе не дам, извини. За 10 штук я таки сам перепишу это с ноля и лучше.
> или и вовсе перехвата уже расшифрованных данных из
> памяти компьютера (спасибо интелу за meltdown и amd за spectre)
Так не надо там хранить ключ вечно. GPG должен быть в курсе таких вещей.
> сделать подобное из китайских запчастей практически нереально, из некитайских...да кто
> ж тебе их продаст-то.
На любой микроконтроль защита от чтения ставится. Чтобы конкуренты прошивки не воровали.
| |
|
5.11, Аноним (-), 03:51, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Нет, 10К зелени на взлом путем вскрытия чипа и дампа флеша электронным микроскопом я тебе не дам, извини. За 10 штук я таки сам перепишу это с ноля и лучше.
Так и быть Анон, я дам тебе 10К зелени если ты напишешь её "с нуля". А будет лучше - сможешь и больше зелени поднять, не проблема. Оставь свой и-мэил тут.
| |
|
|
|
2.4, Аноним (-), 22:30, 15/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
В статье переносят свой ключ на юбикей, а не генерируют новый ключ юбикеем, уязвимость как то связана с этим, если да, то как?
| |
2.10, Crazy Alex (ok), 11:55, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Trezor, например. Оно, конечно, в первую очередь биткоин-кошелёк, но и более приземлённые вещи может, в том числе и сабж.
Есл- хочется попроще и подешевле - fsp-01
| |
|
|
2.14, можно (?), 14:21, 25/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
приезжаешь (по туристик визе) в Штаты. И заказываешь да хоть с амазона хоть на адрес в хостеле, хоть целое ведро.
При отлете в родные щебеня - оставляешь на тумбочке, конечно. Ты ж купить спрашивал, а не "купить в Россию", да? ;-)
| |
|
|
4.21, Аноним (-), 08:35, 19/02/2018 [^] [^^] [^^^] [ответить]
| +/– |
Дорого.
Если, например, хочется входить в систему по ключу + хранить на нем же пару сертификатов для крипто про и випнета (все неизвелкаемое), то за тыщу рублей можно что-то найти? (кроссплатформенное, ествественно)
| |
|
|
|
|