The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP"  +/
Сообщение от opennews (??), 10-Янв-21, 12:51 
Исследователи безопасности из компании NinjaLab разработали новый вид атаки по сторонним каналам (CVE-2021-3011),  позволяющей клонировать ECDSA-ключи, хранимые в USB-токенах на базе чипов NXP. Атака продемонстрирована для токенов двухфакторной аутентификции Google Titan на базе чипа NXP A700X, но теоретически применима и для криптографических токенов Yubico и Feitian, использующих тот же чип...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54385

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Аноним (1), 10-Янв-21, 12:51 
Самый лучший метод!
Ответить | Правка | Наверх | Cообщить модератору

9. "Выявлен метод клонирования ключей из криптографических токен..."  +7 +/
Сообщение от Леголас (ok), 10-Янв-21, 13:03 
точно, всего то и надо: тихо и незаметно разобрать токен, «залипнуть» на несколько часов рядом с ним, а опосля вернуть всё как было -- ниндзя без работы не останутся
Ответить | Правка | Наверх | Cообщить модератору

12. "Выявлен метод клонирования ключей из криптографических токен..."  +7 +/
Сообщение от Онаним (?), 10-Янв-21, 13:06 
Не надо ничего возвращать как было. Из токена ты получаешь "взад" закрытый ключ, который далее заливаешь в выглядящий точно так же токен. Это если предположить "возврат владельцу". В общем же случае токеном может быть вовсе не брелок для аутентификации например, а TPM-модуль, или что-то ещё, где наличия закрытого ключа может быть достаточно для получения доступа ко всем хранящимся зашифрованным данным.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от pofigist (?), 10-Янв-21, 14:58 
Во всех нормальных ключах закрытый ключ нельзя извлечь или залить - он генерируется внутри ключа и недоступен через внешние интерфейсы...
Ответить | Правка | Наверх | Cообщить модератору

43. "Выявлен метод клонирования ключей из криптографических токен..."  +4 +/
Сообщение от Онаним (?), 10-Янв-21, 15:19 
Написал ниже, повторюсь.

В свою собственную начинку можно залить что угодно. И представиться исходным ключом, выполняя его функцию.
Эмулятор ключа на маленьком ARM - не шибко дорого, не считая реверсинга протокола.

Ответить | Правка | Наверх | Cообщить модератору

116. "Выявлен метод клонирования ключей из криптографических токен..."  –4 +/
Сообщение от Аноним (116), 11-Янв-21, 09:40 
Надо еще счетчик подписей, кроме закрытого ключа украсть, иначе палево.

Пациенту воры должны оставлять идентичный чип, с тем же серийным номером, тоесть тот-же. Иначе судебные эксперты могут увидеть подмену ключа.

Счетчик можно искусственно увеличить на необходимое ворам количество подписей.

10 часов, пока человек отсыпается в выходные вполне хватит для воровства закрытого ключа, счетчика и скрытия следов манипуляции с корпусом. Или любой ночи если ключ остается на работе.

Короче прощайте квартиры, фирмы, собственность
https://www.opennet.ru/openforum/vsluhforumID10/5564.html
https://www.opennet.ru/openforum/vsluhforumID10/5567.html
встречаем "госуслуги" от Путина и "единой россии"

Ответить | Правка | Наверх | Cообщить модератору

128. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 12-Янв-21, 09:42 
Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

129. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 09:49 
> Подумалось - а нафига вообще аппаратный эмулятор, когда можно обойтись чисто программным?🤣

Так и я о том. Маленький арм и софтовый эмулятор :)

Ответить | Правка | Наверх | Cообщить модератору

133. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 12-Янв-21, 11:03 
Зачем маленький ARM-то? Заменяем драйвер ключа на свой, с эмулятором... и вуаля! :)
Ответить | Правка | Наверх | Cообщить модератору

144. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (144), 13-Янв-21, 02:24 
> Зачем маленький ARM-то? Заменяем драйвер ключа на свой, с эмулятором... и вуаля! :)

Это заметно. А эмулятор что, такая жа пластмаска, поди там разберись что у нее реально в кищках. И если это немного другой процик, сколько лет :) ты это будешь просекать? Ты хотя-бы клаву и мышь в каком году разбирал проверить что там за проц? А вон то, залитое пластиком...

Ответить | Правка | Наверх | Cообщить модератору

135. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (135), 12-Янв-21, 12:19 
Только на своей стороне такое можно, хоть стационарник с qemu и все делать программно.
Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

102. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Аноним (102), 11-Янв-21, 01:41 
ничего ты никуда не заливаеш, так как там нет такой возможности в принципе.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

105. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Аноним (105), 11-Янв-21, 02:18 
ложь. первоначально на чипе ничего нет и первичная зугрузка (прожиг) ключа производит сам пользователь.
другой вопрос скажем если речь идет о разовой атаке, то на кой хрен возвращать ключи.
чинить сейф после взлома?
Ответить | Правка | Наверх | Cообщить модератору

117. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 11-Янв-21, 10:04 
Мой дорогой, анонимный и безграмотный друг - учи матчасть!
Закрытый ключь - не заливается, а генерируется внутри ключа и всегда находится в зоне памяти, аппаратно недоступной с внешних интерфейсов.
Ответить | Правка | Наверх | Cообщить модератору

152. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от слакавод (?), 13-Янв-21, 08:01 
"ключь..."

ох ёёё... безграмотный друг, говоришь... нюню...

Ответить | Правка | Наверх | Cообщить модератору

78. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (78), 10-Янв-21, 20:36 
...залипнуть <<с иишечкой и оборудованием за сотни нефти>> на несколько часов рядом с ним...
Добавил пропущенное
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

109. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 11-Янв-21, 04:26 
Месячная зарплата нормального айтишника - не такие уж и сотни нефти.
Ответить | Правка | Наверх | Cообщить модератору

115. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (115), 11-Янв-21, 06:31 
Для сведения - один ослик у них под лям стоит, остальное хз, но навскидку тоже не оч. дешёвое.
Ответить | Правка | Наверх | Cообщить модератору

142. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Атон (?), 12-Янв-21, 22:38 
нормальный айтишник получает два ляма долларов в год.

если ты получаешь меньше - катись вон из профессии.

Ответить | Правка | Наверх | Cообщить модератору

146. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 13-Янв-21, 02:28 
> нормальный айтишник получает два ляма долларов в год.

Блин, чувак, тебе не говорили что кроме ceo и топов и народ попроще? Менять картридж CEO - пижонство!

Ответить | Правка | Наверх | Cообщить модератору

153. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Атон (?), 13-Янв-21, 09:23 
АЙтишники не меняют картриджи. Для картриджей у айтишников есть пихота, "линейный технический персонал".

Смирись с этим.

Ответить | Правка | Наверх | Cообщить модератору

145. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (144), 13-Янв-21, 02:26 
> Для сведения - один ослик у них под лям стоит, остальное хз,
> но навскидку тоже не оч. дешёвое.

Даже самые пижонские флюки, теки и даже экзоты типа gsm-анализаторов вроде дешевле ляма? Или это про рубли было?

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

2. "Выявлен метод клонирования ключей из криптографических токен..."  +8 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 12:52 
> стоимостью приблизительно 10 тысяч евро

Не дорого ли за паяльник?

Ответить | Правка | Наверх | Cообщить модератору

3. "Выявлен метод клонирования ключей из криптографических токен..."  +5 +/
Сообщение от Онаним (?), 10-Янв-21, 12:54 
Langer ICR HH 500-6

Это уже не паяльник, а действительно серьёзный измеритель полей малой мощности.
Видимо атака основывается на чтении поля, наведённого IC.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выявлен метод клонирования ключей из криптографических токен..."  +7 +/
Сообщение от Страдивариус (?), 10-Янв-21, 13:00 
Михаил не имел ввиду, что этот прибор - паяльник. Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ
Ответить | Правка | Наверх | Cообщить модератору

7. "Выявлен метод клонирования ключей из криптографических токен..."  +6 +/
Сообщение от Онаним (?), 10-Янв-21, 13:00 
Терморектальный криптоанализ скрытно не сделаешь.
А вот утерянный ключ проанализировать скрытно - вполне.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Онаним (?), 10-Янв-21, 13:02 
И речь даже не о создании дубликатов, которые не нужны - утерянный ключ и так есть.
Речь о получении исходного закрытого ключа из IC, которые его просто так не отдают.
Вряд ли подобная атака ограничивается одним вендором.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от funny.falcon (?), 10-Янв-21, 13:06 
Вопрос, зачем его анализировать, если он у тебя в руках? Разве что, надеяться, что хозяин не заметит, что корпус стал немного другим, и не заподозрит, что его разбирали.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

13. "Выявлен метод клонирования ключей из криптографических токен..."  +4 +/
Сообщение от Онаним (?), 10-Янв-21, 13:08 
Тоже возможно, кстати. Не надо возвращать разобранный токен. Берём свой с точно таким же корпусом, но другой начинкой. Заливаем исходный private key. Возвращаем владельцу.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выявлен метод клонирования ключей из криптографических токен..."  –3 +/
Сообщение от pofigist (?), 10-Янв-21, 15:00 
Его нельзя залить - приватный ключь не доступен через внешний интерфейс.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выявлен метод клонирования ключей из криптографических токен..."  +4 +/
Сообщение от Онаним (?), 10-Янв-21, 15:02 
Внимательнее:
"другой начинкой"
В свою собственную начинку можно залить что угодно. И представиться исходным ключом, выполняя его функцию.
Ответить | Правка | Наверх | Cообщить модератору

36. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от pofigist (?), 10-Янв-21, 15:07 
Там есть нюансы. Кто-то ещё делает ключи, в которые ключь можно залить? Если нет - придется разрабатывать эмулятор токена...
Ответить | Правка | Наверх | Cообщить модератору

39. "Выявлен метод клонирования ключей из криптографических токен..."  +3 +/
Сообщение от Онаним (?), 10-Янв-21, 15:13 
Эмулятор токена на маленьком ARM в принципе не особо проблема. Выйдет много дешевле оборудования для анализа ключа, даже в штучном производстве.
Ответить | Правка | Наверх | Cообщить модератору

147. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 13-Янв-21, 02:30 
> Эмулятор токена на маленьком ARM в принципе не особо проблема. Выйдет много
> дешевле оборудования для анализа ключа, даже в штучном производстве.

Его можно за полдня на кухне откатать. Фирмвару прогать наверное немного подольше, конечно, там наворочено. Но это можно и заранее, а не в момент атаки.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от anonymous (??), 10-Янв-21, 13:27 
PIN-код неизвестен
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

19. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 10-Янв-21, 13:55 
> PIN-код неизвестен

В зависимости от механики слияния пин-кода с ключом он может вообще быть не нужным.
Ну и сложность пин-кода не большая, в итоге для например расшифровки данных он банально подбирается.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от пох. (?), 10-Янв-21, 14:11 
И вот это - неэффективно или неправильно используемый pin - гораздо более серьезная и опасная беда.

(Сложность и не должна быть большая - он должен просто в тыкву превращаться с третьей неудачной попытки.)

И у большинства типа-доступных ключей там и правда бида-бида.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 10-Янв-21, 15:14 
Абсолютно так.
Более того, допустим у беспроводных ключей типа гостиничных рум-локов пин-кода может вообще не быть.
Ответить | Правка | Наверх | Cообщить модератору

123. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Страдивариус (?), 11-Янв-21, 17:28 
>> PIN-код неизвестен
> В зависимости от механики слияния пин-кода с ключом он может вообще быть
> не нужным.

Как минимум должно запуститься криптографическое преобразование, чтобы наводки считаться можно было всей этой аппаратурой.

> Ну и сложность пин-кода не большая, в итоге для например расшифровки данных
> он банально подбирается.

Я не знаю, как на этих ключевых носителях уважаемых корпораций, но на отечественных ГОСТовых ключносителях количество попыток подбора ПИН-кода ограничено десятью попытками, после чего идешь заново выпускать ключ пару.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

124. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 11-Янв-21, 19:32 
Тут есть момент. Если ограничивает число попыток контроллер, а операции шифрования производит secure module, то извлечение ключа возможно в обход контроллера.
Ответить | Правка | Наверх | Cообщить модератору

74. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от pofigist (?), 10-Янв-21, 19:20 
> PIN-код неизвестен

12345678 подходит в 97,3% случаев

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

130. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 09:50 
Увы да. Особенно для местных брелков ЭЦП, софт настолько удолбищен, что не-IT пользователи обычно не то, что пароль сменить, пользоваться этими брелками могут с трудом.
Ответить | Правка | Наверх | Cообщить модератору

134. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 12-Янв-21, 11:04 
Для местных это для каких мест-то?
Ответить | Правка | Наверх | Cообщить модератору

138. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 15:25 
У нас не так много мест, использующих ни с кем не совместимое шифрование :D
Ответить | Правка | Наверх | Cообщить модератору

139. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 12-Янв-21, 16:30 
У вас - это где?
А обязательно нужно совместимое шифрование? Чтоб как с Crypto AG было?
Ответить | Правка | Наверх | Cообщить модератору

140. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 20:17 
Почему бы стандартизованный AES не использовать вместо госта, например.
Про асимметричный, который уже один раз "апгрейдили", вообще молчу. RSA десятилетиями проверен, только длину ключа меняй с ростом мощности железа.
Зато тонну левого софта надо на каждый клиент.
Ответить | Правка | Наверх | Cообщить модератору

141. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 20:17 
OpenSSL с гостом собрать тоже та ещё тема. Шифры понимает, контейнеры нет...
Ответить | Правка | Наверх | Cообщить модератору

154. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от pofigist (?), 13-Янв-21, 09:47 
Номер ГОСТа на твой AES назови, прежде чем называть его стандартом...
Ответить | Правка | Наверх | Cообщить модератору

155. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Онаним (?), 13-Янв-21, 10:20 
Ахах, это да.
Есть стандарты, а есть госты.
Ответить | Правка | К родителю #154 | Наверх | Cообщить модератору

156. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от pofigist (?), 13-Янв-21, 10:31 
Есть стандарты - они называются ГОСТы.
Нет ГОСТа? Нестандарт.
Считаешь иначе? Уволен по профнепригодности.
Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

157. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Онаним (?), 13-Янв-21, 10:41 
> Считаешь иначе? Уволен по профнепригодности.

Тоже факт, к сожалению.
К счастью, я работаю там, где российские ГОСТы никакого значения не имеют.

Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

158. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 13-Янв-21, 11:11 
> К счастью, я работаю там, где российские ГОСТы никакого значения не имеют.

В шаурмятнице за углом? Ты заблуждаешься - имеют :)

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

160. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 13-Янв-21, 14:41 
> Есть стандарты, а есть госты.

Что, всё Get The F*cks из головы не выветрится?

PS: чем дольше избирательно отворачиваетесь от реальности, тем больнее стукнет.

Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

161. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 13-Янв-21, 14:55 
> PS: чем дольше избирательно отворачиваетесь от реальности, тем больнее стукнет.

Воот! Избирательное отворачивание от реальности это какраз думать что есть еще какие-то стандарты, кроме тех что описаны в ГОСТах...

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

162. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 13-Янв-21, 19:10 
+100500!
Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

163. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 13-Янв-21, 19:11 
В 89-91 да, многих здорово стукнуло. В этот раз скорее всего будет то же самое.
Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

65. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (65), 10-Янв-21, 18:24 
> Терморектальный криптоанализ скрытно не сделаешь.

Более того - а что, если тебе сделать терморектальный криптоанализ, ты сможешь сказать ключ КОТОРЫМ ОПЕРИРОВАЛ ЧИП? Ты этот ключ хоть раз в жизни видел? Как максимум ты можешь поспособствовать получению токена. Но если ты его быстренько разломал и спустил в унитаз когда запахло жареным, например, шансы получить его все-таки маргинальны. И придется обойтись без него.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

26. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним84701 (ok), 10-Янв-21, 14:39 
> Он имел ввиду, что то же можно осуществить более дешево - паяльником. #терморектальныйкриптоанализ

Пользователи токенов хранимые внутри токена ключи обычно не знают (и нередко только смутно и в общих чертах, если вообще, подозревают о их наличии).
Так что терморектальная криптостойкость тут как раз на высоте.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (47), 10-Янв-21, 16:07 
А паяльником можно не только заставить человека что-то рассказать, но и что-то сделать для обладателя паяльника. Зачем извлекать ключ и "ключ украли, сделки были недействительны, это всё киберпреступники, верните мне назад деньги на счёт", если можно "находясь в здравом уме и твёрдой памяти добровольно заключил сделку" (а если вдруг недобровольно, то вот он, паяльник, далеко не убран и ещё не остыл, думать надо, прежде чем клеветать на столь уважаемых людей)?
Ответить | Правка | Наверх | Cообщить модератору

60. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от пох. (?), 10-Янв-21, 17:27 
спасибо, товарищ майор, мы, в целом, догадываемся.

Ответить | Правка | Наверх | Cообщить модератору

86. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 21:23 
> Пользователи токенов хранимые внутри токена ключи обычно не знают

Гм, Вы же понимаете, что ёрничанье было вовсе не про извлечение ключа -- кому он нужен сам по себе...

PS для особо дальновидных: нет, я не поддерживаю такие методы; но если я строю оборону, то мне полезно уметь думать и так, как думает атакующий.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

103. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (102), 11-Янв-21, 01:44 
и как "пяльник" поможет извлечь закрытый ключи из чипа, куда нет доступа даже у владельца самого ключа?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

16. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Ordu (ok), 10-Янв-21, 13:22 
Паяльник, как метод взлома криптографии, монополизирован властьпридержащими. Всем остальным его крайне затруднительно использовать. Дешевле $10k влить в более изощрённые инструменты.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Аноним (47), 10-Янв-21, 14:47 
Если у тебя есть $10k чтобы их взять и выложить за такое оборудование, то ту уже под полностью под колпаком власть придержащих. Не говоря уже о том, что все покупки подобного оборудования тщательно мониторятся. Это не буханка хлеба.
Ответить | Правка | Наверх | Cообщить модератору

46. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Ordu (ok), 10-Янв-21, 15:47 
> Если у тебя есть $10k чтобы их взять и выложить за такое
> оборудование, то ту уже под полностью под колпаком власть придержащих.

Это стоимость автомобиля. Такого чтоб не совсем корыто. Держать под колпаком всех, у кого есть бабки на автомобиль, колпаков не хватит.

> Не
> говоря уже о том, что все покупки подобного оборудования тщательно мониторятся.
> Это не буханка хлеба.

Мониторятся, наверное. Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выявлен метод клонирования ключей из криптографических токен..."  –3 +/
Сообщение от Аноним (47), 10-Янв-21, 16:11 
Те, у кого есть бабки на автомобиль - купят себе автомобиль. Взять и выложить такие бабки на детские игрушки они себе позволить не могут.

>Значит придётся ещё столько же пробашлять тому, кто следит, чтобы он не заметил.

Конечно заметит. Просто в базу запись пойдёт с пометкой "налоги уплачены" с обязательным отстёгиванием большей части куда надо. Иначе замечальщика самого в расход пустят.

Ответить | Правка | Наверх | Cообщить модератору

66. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 10-Янв-21, 18:29 
Это ты, лох, не можешь, сравни свою зарплату с зарплатой европейцев и американцев. Поймешь почему они могут просто пойти и просто купить себе игруху за $10k. Это меньше месячной зарплаты нормального тематического спеца. И раз в пару лет наверное можно себе и прикупить околотематический шмот, поразвлекаться. А ты арбайтен, нигро, арбайтен, за свои гроши. Слушай шыгориных о том как тебе офигенно живется, в отличие от этих лузеров.
Ответить | Правка | Наверх | Cообщить модератору

81. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Аноним (47), 10-Янв-21, 21:07 
Не надо мне рассказывать, как европейцы "о*****о" живут. Располагаю информацией из первых рук.
Ответить | Правка | Наверх | Cообщить модератору

84. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Owlet (?), 10-Янв-21, 21:22 
О*****о", не о*****о", но нормальному программисту в Германии накопить 10к на дорогое хобби вполне реально. Располагаю информацией из своих рук.
Ответить | Правка | Наверх | Cообщить модератору

90. "Выявлен метод клонирования ключей из криптографических токен..."  –5 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 21:38 
> нормальному программисту в Германии накопить 10к на дорогое хобби вполне реально.

А это что, типа много для нормального программиста в России?

Ответить | Правка | Наверх | Cообщить модератору

96. "Выявлен метод клонирования ключей из криптографических токен..."  +5 +/
Сообщение от Led (ok), 10-Янв-21, 22:12 
А он уже туда приехал?
Ответить | Правка | Наверх | Cообщить модератору

97. "Выявлен метод клонирования ключей из криптографических токен..."  –4 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 22:27 
А он и не уезжал.
Ответить | Правка | Наверх | Cообщить модератору

112. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 11-Янв-21, 05:39 
> А он и не уезжал.

Интересно, это по кого? Мифический человеко-месяц?

Ответить | Правка | Наверх | Cообщить модератору

82. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 21:18 
Ну лох здесь, положим, Вы -- потому что ведётесь на сказки про доходы, не глядя в расходы и не оперируя собственно балансом.  А практика проста: если кто-то чего-то добился там -- здесь теми же трудами добился бы, как правило, не меньшего.

Домашняя работа:
http://te.legra.ph/7-prichin-ne-pereezzhat-v-Kremnievuyu-dol...
http://www.youtube.com/watch?v=OLIYwbmJ2pk

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

87. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Owlet (?), 10-Янв-21, 21:24 
Нравятся мне эти разоблачения от людей, которые на западе были пару раз проездом. 10к это не огромное состояние для технарей там, просто смиритесь с этим.
Ответить | Правка | Наверх | Cообщить модератору

92. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 21:39 
> Нравятся мне эти разоблачения от людей, которые на западе были пару раз проездом.

Да не "от", а "в сторону".

> 10к это не огромное состояние для технарей там, просто смиритесь с этим.

Мы-то помним, как для Линуса на остаток от 4k скидывались.  Просто смиритесь с этим. :)

Ответить | Правка | Наверх | Cообщить модератору

101. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 10-Янв-21, 23:30 
> Нравятся мне эти разоблачения от людей, которые на западе были пару раз
> проездом. 10к это не огромное состояние для технарей там, просто смиритесь с этим.

5к (евро) брутто в месяц - это прикидочно на руки 3.2-3.5к в лучшем случае, квартира 30кв в том же Мюнхене стоит 1000-1200, свет, вода, телефон, мусор + сточные воды - бери за каждую мелочевку от 30 и до 50 в месяц, не ошибешся, отопление - еще соточку с плюсом в месяц,  пожрать - 400 (с обедами в дешевой корп. столовой и не совсем питанием полуфабрикатами дома), машина - 400-500 (это в Автсрии, не думаю что в Германии сильно дешевле) ... и т.д. Все это для холостяка.
В итоге да, скопить можно, но 8300 евриков будет все же чувстительной суммой и потратить ее на довольно специфичный (и как я вижу, узкопрофильный) даже для дорогого хобби девайс, все же будет ... сильно на любителя.
Для семейных вообще молчу - будет как раз всем "хоббийным" бюджетом года на 3, в лучшем случае.


Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

119. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от CrazyAlex (?), 11-Янв-21, 13:03 
Ну так 5к евриков - это средненькая зарплата, для сеньора-программера уже маловатая. А уж у народу, который взломом занимается, скорее около десяти.

Я помню, как мой коллега в Штаты лет пять назад уезжал - на вопрос "сколько денег хочешь" назвал $5к - для него это тогда было много. Тамошний работодатель вежливо подвёл его к мысли, что меньше семи брать смысла нет. Сейчас, понятно, больше зарабатывает. И это тоже не взлом ни разу, а просто программист хороший.

Ответить | Правка | Наверх | Cообщить модератору

121. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (121), 11-Янв-21, 14:37 
> Ну так 5к евриков - это средненькая зарплата, для сеньора-программера уже маловатая.

Да вполне норамальная. Учитывай, что в Европе (Германии, о которой зашла речь) - половина социалки оплачивается работодателем.
Т.е. 5000 евриков местной зарплаты - это около $8000 "СШАшной", если не больше.

> А уж у народу, который взломом занимается, скорее около десяти.

Тут выше была мысль про "любого желающего" ("они могут просто пойти и просто купить себе игруху за $10k").


Ответить | Правка | Наверх | Cообщить модератору

148. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 13-Янв-21, 02:34 
> Ну так 5к евриков - это средненькая зарплата, для сеньора-программера уже маловатая.
> А уж у народу, который взломом занимается, скорее около десяти.

Для специализированных челов которые круты - так и поболее бывает.

> меньше семи брать смысла нет. Сейчас, понятно, больше зарабатывает. И это
> тоже не взлом ни разу, а просто программист хороший.

Ничего, шигорин сейчас расскажет какие дрова дорогие. Правда, забутет уточнить что это какой-нибудь частный дом, чего доброго на берегу озера, и естественно и близко не та деревенская холупа которая у россиянина, а жилище из которого ты черта с два захочешь в бетонный муравейник перебираться как эти чудаки.

Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

110. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (110), 11-Янв-21, 05:24 
Миша, не отвлекайся, молись, постись, слушай радио Радонеж и пей таблетки.
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

111. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (111), 11-Янв-21, 05:34 
> Ну лох здесь, положим, Вы -- потому что ведётесь на сказки про
> доходы, не глядя в расходы и не оперируя собственно балансом.

Расходы - да, знаете, если железку за $10k купить то это, конечно, расходы.

> А практика проста: если кто-то чего-то добился там -- здесь теми
> же трудами добился бы, как правило, не меньшего.

Вот именно россиян, именно технарей, которые не напрягутся железку за $10k купить для экспериментов почему-то буквально единицы. А чисто по человечески - на мой вкус РФ стала для меня крайне паршивым местом для жизни, и это даже удвоенной зарплатой не скомпенсируется.

> Домашняя работа:

Тоже мне учитель нашелся! Но позволю себе ответить про второе:
0) ИМХО, Дудь порядочный и честный человек, что видит то и говорит. Это дает ему 10 очков форы относительно лживых лицемерных агиток. Да, за это в кремле его не любят, наверное трусы ему надо постирать. Или полониевых приправ подогнать.
1) Если бы в РФ посадить всех кто этого реально заслуживает, штаты точно не казались бы полицейским государством. Правда, тогда на свободе мало кто останется, но тут уж извините.
2) Да, здравоохранение в США дорогое. С другой стороны - такой подход очень хорошо лечит страдание ненужной фигней и лузерство, стимулируя изучать что-нибудь нужное и полезное и заниматься этим. С какой-то отдачей для окружающих со всего этого.
3) Когда орки-людоеды задвигают про культуру - это особенно умильно.
4) Российское среднее образование варьируется от "никакое" до "посредственное". Называя вещи своими именами, научиться чему-то дельному в РФ можно только по своей частной инициативе.
5) В РФ налоги тоже основательно подтянули. С одной небольшой разницей - за последние 2 десятка лет я ни разу не видел чтобы их тратили на что-то полезное и нужное для меня. Извините, в США гражданин может на раз засудить государство в суде. В РФ - не знаю, не встречал. В отличие от поборов, запретов, ограничений, переводов стрелок и рассказов что г@вно - так и задумано.
6) Да, в кремниевой долине все очень дорого. А в РФ  вообще просто создавать фирму стремно. И приличные компании либо сбежали либо закрылись, либо были отжаты орками-людоедами и перестали быть приличными. Называя вещи своими именами россияне слили свой айти в унитаз, превратив из работы мечты в адский трэш.
7) В РФ перспективы рынка вообще лол. Извините, пока ваши эльбрусы страдали непонятно чем хренову кучу лет - вон какой-то стартап, о котором несколько лет назад никто не слышал, выкатил 80-ядерные ARM64 на 3-4ГГЦ. Которые на хвост AMD EPYC садятся. Вот так вот работать надо, а не... - только те кто так могут врядли захотят в РФии жить. А Элона Маска у вас еще не выпустили бы и за paypal...

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

120. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (47), 11-Янв-21, 13:18 
0) Не знаю никаких Дудей.
1) Ты кто вообще такой, чтобы судить, кто заслуживает посадки, а кто нет?
2) Так и запишем "Интенсивное сельское хозяйство".
4) Как и в любом другом месте.
5)

>В РФ налоги тоже основательно подтянули.

С США пример берут.

>С одной небольшой разницей - за последние 2 десятка лет я ни разу не видел чтобы их тратили на что-то полезное и нужное для меня.

Не можешь изменить реальность - измени отношение, да? "Когда в США налоги тратят на биометрию - это полезно лично для вас, ведь это защищает США от россиян и прочих врагов американских ура-патриотов. Когда в РФ налоги тратят на биометрию - это ничего полезного, потому что это защищает РФ от врагов российских ура-патриотов." Я вас верно прочитал? Исполняете свой долг, который на себя взвалили, приняв присягу на верность американскому государству?

>Извините, в США гражданин может на раз засудить государство в суде.

Да, конечно. АНБ я вижу уже засудили, и Сноудена оправдали, и Ассанжа.

>6) Да, в кремниевой долине все очень дорого. А в РФ  вообще просто создавать фирму стремно. И приличные компании либо сбежали либо закрылись, либо были отжаты орками-людоедами и перестали быть приличными.

Да, в америке настолько приличные традиции бизнеса, что всяких сыночков влиятельных политиков - будущих президентов США вводят в советы директоров компаний стран третьего мира.

Фирму везде создавать стрёмно. Понимаешь, в любом государстве есть такие люди, у которых работа - следить за тем, чтобы люди, активно-лояльные режиму, получили преимущество над пассивно-лояльными, а пассивно-лояльные - преимущество над нелояльными. Чтобы всем было ясно, что те, кто нелоялен - это просто жалкие неудачники, вымещающие свою злобу на государстве вместо содрудничества с ним за профит. Поэтому все успешные компании 100% лояльны режиму. Недавний пример - цензура Трампа.

Ответить | Правка | Наверх | Cообщить модератору

131. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Онаним (?), 12-Янв-21, 09:55 
"Когда в США налоги тратят на биометрию - это полезно... Когда в РФ налоги тратят на биометрию - это ничего полезного..."

Безотносительно биометрии - а знаешь почему?
Потому что если в США это реально будет работать так, как анонсировано, в РФ - по опыту - это безнадёжно выродится в распил и злоупотребления в пользу определённой группы людей (угу, общество тут уже давно "сословное").

Ответить | Правка | Наверх | Cообщить модератору

149. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 13-Янв-21, 03:19 
> 0) Не знаю никаких Дудей.

Вот именно. А я не хочу жить в местности населенной агрессивными глупыми зомби.

> 1) Ты кто вообще такой, чтобы судить, кто заслуживает посадки, а кто нет?

Формально (пока еще) гражданин - и потому в моем праве. Показать статьи конституции и законы которые это мне позволяют делать или сами найдете?

> 2) Так и запишем "Интенсивное сельское хозяйство".

Вы в вашем праве быть колхозником. Но, знаете, на вашем фоне типичный "реднек" очень продвинутый и эффективный чувак.

> 4) Как и в любом другом месте.

У амеров образование более task specific. Поэтому да, в него придется вложиться. Зато после этого можно идти работать, например. А куда ты пойдешь после абстрактного российского нечто? Оно ж не учит актуальному state of art ни в одну из областей. И вот ты повпахивал 5 лет нищим студнем, получил корку. Опа, а с точки зрения найма ты такие же дрова как свежак из-за парты. У тебя есть небольшое преимущество - но стоит ли это 5 лет нищеты вопрос интересный. Отдельные супермэны умудряются фултайм учебу совмещать с работой, но это тяжко.

В лучшем случае какие-нибудь фирмачи согласятся доучить - но это еще минимум годик-другой интенсивного обучения, с джунской зарплатой. Особенно если хотелось что-то поинтереснее создания сайтов-визиток.

>>В РФ налоги тоже основательно подтянули.
> С США пример берут.

В США видно на что они идут. В РФ они идут на кураж вон той своры гопоты и кормление их дружбанов. А на решение проблем граждан - не встречал ни разу за 20 лет. Оптимизация врачей перед пандемией, локдаун без содержания и прочие милые фокусы были явно не тем.

> Не можешь изменить реальность - измени отношение, да?

Да, я не могу изменить реальность в РФ. Потому что у меня в правительстве нет представителей, например. Вон та мафия захватила трон и не пускает никого кто был бы по мой интерес. Они даже в гордуму устроили цирк с конями, хотя это мелкие незначительные должности которые ничего толком не решают. Ну разве что бюджет города вот им подотчетен, а значит пилять безнказанно оптом не получится если порядочный человек а не единорос с которым можно договориться пролезет.

> "Когда в США налоги тратят на биометрию - это полезно лично для вас, ведь это
> защищает США от россиян и прочих врагов американских ура-патриотов. Когда в
> РФ налоги тратят на биометрию - это ничего полезного, потому что
> это защищает РФ от врагов российских ура-патриотов." Я вас верно прочитал?

Есть некоторые небольшие отличия.
1) США это применяют в основном к внешним рожам а не своим. В РФ же наоборот.
2) В процентном соотношении для США это какие-то мизерные доли процента, а для драных бомжей из РФ это моментально отливается в очередное повышение тарифов, налогов и прочего.
3) Не помню чтобы АНБ требовало от операторов ставить оборудование ЗА ИХ СЧЕТ.
4) Не помню чтобы в америке кто-нибудь вламывался в ДЦ и изымал сервера, особенно без ордера суда.
5) И, кстати, попробуйте купить на черном рынке БД с данными на американца. И на россиянина. Сравните результат.

> Исполняете свой долг, который на себя взвалили, приняв присягу на верность
> американскому государству?

Я в данный момент не являюсь американским гражданином, но если предложат - пожалуй соглашусь. Хорошо когда государство если кого и нагибает, то каких-то людоедов а не своих граждан.

>>Извините, в США гражданин может на раз засудить государство в суде.
> Да, конечно. АНБ я вижу уже засудили,

А таки судят периодически, и вообще, прессинг общества в штатах на совсем другом уровне.

> и Сноудена оправдали, и Ассанжа.

Про это речь не шла. Это отдельная сложная ситуация. Ну и если в чем проступок оных мне еще более-менее понятно, то в случае какого-нибудь Сафронова, извините, совсем уж адская дичь. Если бы в сша было что-то такое, они должны были бы посадить bellingcat полным составом. А, представляете, это не госы, это доморощенные холмсы-любители, изначально вообще трекающие педофилов и т.п. криминалитет.

> Да, в америке настолько приличные традиции бизнеса, что всяких сыночков влиятельных
> политиков - будущих президентов США вводят в советы директоров компаний стран
> третьего мира.

И конечно вы это покажете? С примерами людей которые занимают должности и не соответствуют им? А то я работал в том числе и в большой американской компании и знаю как они на это смотрят.

> Фирму везде создавать стрёмно. Понимаешь, в любом государстве есть такие люди,

Я понимаю что есть государства где закон работает, а есть государства где закон не работает или крутится под сиюминутные нужды как флюгер на ветру. Последнее больше всего хочется назвать мафиозным государством. По ощущениям от результатов этой деятельности.

Я не представляю себе как в РФ может появится некто типа Элона Маска. Его посадят в момент. Да и что там, Сергея Павловича по лагерям таскали. Хорошенькая благодарность соотечественников "одному из величайших инженеров".

> Поэтому все успешные компании 100% лояльны режиму. Недавний пример - цензура Трампа.

Очень интересно!
1) Бан аккаунта действующего президента - это точно акт "лояльности режиму"? ORLY?
2) Под цензурой понимается госрегулирование этого самого.
3) Коммерческие компании оперируют на совершенно иных началах. Вы пользуетесь ИХ СОБСТВЕННОСТЬЮ (серверами, софтом) для того чтобы чирикать в твиттере. На каких условиях захотят, на таких и пускают на СВОЮ СОБСТВЕННОСТЬ. Не нравится? Упражняйтесь в свободе слова НА СВОЕЙ СОБСТВЕННОСТИ. Почему фэйсбук или твиттер ОБЯЗАН вас обслуживать своей собственностью, да еще за свой счет? А прикиньте, интернет не демократия и никогда ей не был.
4) Кстати, а разве не прикольно когда к вам применяют ваши же жизненные принципы, мистер тоталитарист? В этом есть какая-то симметрия, наслаждайтесь своими идеалами НА СВОЕЙ ШКУРЕ, С*КИ :)
5) Тем не менее конкуренцию не отменяли. А вон траммисты что-то телеграм взлюбили вместо офигелого вазапа. Так что наглеть с качем прав собственносоти в интернете катит только до известного предела - пользователи тоже не обязаны на сервера какого-то урода приходить. И вот тут ватсмордотвиттеры подпортили себе карму и заплатят свою цену. Но все же потом. А сейчас они пока еще могут чебурировать куанонов, и я даже не знаю плохо ли это. Когда цензор гасит оголтелых культистов вранья - это вызывает очень смешанные эмоции. Оптимальнее всего было бы дать им зарубиться и добить выживщих.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

41. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Sgt. Gram (?), 10-Янв-21, 15:17 
> властьпридержащими

Властями предержащими.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

45. "Выявлен метод клонирования ключей из криптографических токен..."  –6 +/
Сообщение от Ordu (ok), 10-Янв-21, 15:41 
>> властьпридержащими
> Властями предержащими.

Моя бабушка говорила "властьпридержащими". И мне начхать на тебя.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Аноним (52), 10-Янв-21, 16:43 
> Паяльник, как метод взлома криптографии, монополизирован

Зато бутылки более мобильны и универсальны. Клиенту всегда можно предложить выбрать цвет. Так что эти ваши жрущие энергию приблуды устарели

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

67. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 10-Янв-21, 18:32 
Как тебе бутылка поможет от разломаного и спущеного в унитаз токена? Как максимум она может моральное удовлетворение какому-нибудь садисту принести, но никаких дивидендов кроме этого в такой ситуации вроде бы не просматривается. Даде трижды обутыленый пользователь не восстановит ключ который он не знал.
Ответить | Правка | Наверх | Cообщить модератору

100. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (100), 10-Янв-21, 23:27 
Толи дело паяльник . Конечно, дедуля, иди в ногу со временем, зеленые технологии и все такое
Ответить | Правка | Наверх | Cообщить модератору

76. "Выявлен метод клонирования ключей из криптографических токен..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 19:28 
> Паяльник, как метод взлома криптографии, монополизирован властьпридержащими.

Мне бы Вашу уверенность.

Если кто не понял -- #2 было о том, что метод-то интересный, но в очередной классической щитомечевой проблеме вчистую проигрывает экономически, при этом не давая очевидных преимуществ (зато давая возможность предсказуемо поймать за руку на удалённой стороне).  Поэтому в то, что при необходимости выберут его, а не пытки водой, как в Гуантанамо -- у меня вот никакой нет.  Хорошо, что у нас-то не девяностые, когда много кому хватало и утюга наружно... это вот янки теперь не позавидуешь -- на полстраны спектрографов и прочего барахла не напасёшься (да и расистское это оборудование, поди, ниггерам непонятное), а всего лишь банить -- явно полумера.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

77. "Выявлен метод клонирования ключей из криптографических токен..."  +3 +/
Сообщение от Ordu (ok), 10-Янв-21, 19:55 
> Если кто не понял -- #2 было о том, что метод-то интересный,
> но в очередной классической щитомечевой проблеме вчистую проигрывает экономически,

Как ты сравниваешь экономически? Чисто по стоимости оборудования? Ты понимаешь, что для того, чтобы воспользоваться паяльником, тебе придётся либо искать исполнителей в среде уголовников (повышая таким образом шансы залететь либо под ментов, либо под уголовников -- эти ребята любят фраеров с деньгами), либо своими ручками это делать, но поскольку ты не специалист в этом деле, то понаделаешь глупостей, в частности столкнёшься с риском перестараться и добавить в своё дело эпизод членовредительства с последующей инвалидностью или даже "мокрухи"?

С этим оборудованием тоже риски есть -- оборудование и ключ тоже как-то где-то достать надо, но это _другие_ риски.

Как ты учитываешь эти риски в своих "экономических" расчётах? Тебе как-то удалось их учесть для обобщённой ситуации, или ты какой-то конкретный сценарий имел в виду?

>  это вот янки теперь
> не позавидуешь -- на полстраны спектрографов и прочего барахла не напасёшься
> (да и расистское это оборудование, поди, ниггерам непонятное), а всего лишь
> банить -- явно полумера.

Да-да, мы знаем, ты ведущий специалист-американолог в рунете. У тебя вроде там знакомый живёт, ты говорил? Тоже, небось, американолог?

Ответить | Правка | Наверх | Cообщить модератору

83. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (47), 10-Янв-21, 21:20 
>для того, чтобы воспользоваться паяльником, тебе придётся либо искать исполнителей в среде уголовников

Человек, который использует этот метод для атаки на другого человека - уже уголовник.

>эпизод членовредительства с последующей инвалидностью или даже "мокрухи"?

А что есть много причин оставлять пытаемых в живых? Если человека пытают, то уже изначально готовы его замочить.

Ответить | Правка | Наверх | Cообщить модератору

88. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 10-Янв-21, 21:30 
> С этим оборудованием тоже риски есть -- оборудование и ключ тоже как-то
> где-то достать надо, но это _другие_ риски.

А вот здесь попрошу подробнее ;-)  С упором на законность и экономику, разумеется -- Вы совершенно точно поняли намёк.

> У тебя вроде там знакомый живёт, ты говорил?

Достаточно -- и уехавших, и местных.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

114. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Ordu (ok), 11-Янв-21, 06:25 
> А вот здесь попрошу подробнее ;-)  С упором на законность и экономику, разумеется -- Вы совершенно точно поняли намёк.

Мне кажется, это мой вопрос, не? Мой аргумент -- самый общий из возможных: если ты выбираешь между рискованным действием A или рискованным действием B, то ты сталкиваешься с разными рисками, то есть, в самом грубом приближении, разные вероятности зафейлить, и разные последствия фейла. В менее грубом приближении -- это разные наборы возможных исходов (как там это в теорвере называется? пространство элементарных событий?), и соответственно разные плотности распределения вероятностей по этим наборам исходов.

Чуть менее общая часть моего аргумента сводится к тому, что прибегать к физическому насилию в процессе своей уголовной активности и не прибегать к нему, обходясь взятками/воровством -- это достаточно разные пространства элементарных событий, чтобы стоило остановиться и подумать о том, как их сравнить количественно.

То что ты делаешь, мне сильно напоминает вот это: http://www.socialisteconomist.com/2019/09/a-marxist-analysis...
Там автор, распинаясь о затратах при производстве iPhone, между прочим говорит такое: We believe that the initial research and design labour costs can be ignored since these costs have been spread out over different models of the iPhone and the contribution of the research and development cost is increasingly negligible for the newer iPhones.
Шта? Мне предполагается, что у тебя, как у мейнтейнера дистрибутива, реакция "шта?" содержит ещё и пару восклицательных знаков, потому как если я лишь предполагать могу, сколько человекочасов надо вбухать в поддержание кодобазы в актуальном состоянии, и оценивать могу лишь с точностью до порядка, ты можешь оценивать с гораздо более высокой точностью и гораздо лучше понимаешь, во что выливается такая задача.

Но с этим гипотетическим выбором между паяльником и высокотехнологичным оборудованием, ты делаешь то же самое, что тот автор: ты совершенно необоснованно заявляешь, что разница несущественна. Может она и несущественна, но мне вот это неочевидно совершенно.

Ответить | Правка | Наверх | Cообщить модератору

127. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Ordu (ok), 12-Янв-21, 04:56 
А, и я вот подумал, что экономический анализ расклада обязательно должен учесть, что исходы в случае успеха мероприятия тоже ведь разные. В одном случае мы останемся с ключом и паяльником, в другом с ключом и слегка б/у оборудованием на $10k. То есть мы не потеряли эти $10k, мы их перевели в другую форму. У нас теперь есть, например, опция продавать услуги по снятию криптографических ключей с чипов. Или опция продать эту технику как б/у, вернув часть затрат.

Кроме того, мне в голову пришёл другой сценарий: мне на работе выдали программу и электронный ключ, без которого она не работает. Я собираюсь уволится из говноконторки, но не хочу терять доступ к программе. К кому мне следует применять паяльник, чтобы сохранить ключ, несмотря на увольнение? Может проще поговорить со знакомым, который работает в лабе, где такое оборудование стоит, и он за бутылку пива склонирует ключ?

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

27. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (27), 10-Янв-21, 14:41 
В развитой цывилизации нет криптографии.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

63. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Ordu (ok), 10-Янв-21, 17:55 
> В развитой цывилизации нет криптографии.

В достаточно развитой цивилизации криптография неотличима от магии.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выявлен метод клонирования ключей из криптографических токен..."  +3 +/
Сообщение от Аноним (-), 10-Янв-21, 18:36 
Если посмотреть на современное крипто, не настолько уж и неправда. Сколько человек вообще на самом деле понимает как это работает, и тем более - в деталях? Какой процент вебмакак хотя-бы очень приблизительно догадывается что на самом деле случится, когда они дернут вон ту функцию?

- Как работает машина?
- Ну, я поворачиваю ключ, машина делает дрр, я жму на педальки и она едет.

По-моему нормальное описание последовательности заклинаний или шаманских ритуалов, не? :)

Ответить | Правка | Наверх | Cообщить модератору

73. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Ordu (ok), 10-Янв-21, 19:01 
Да, правильнее было бы сказать так:

Любая достаточно развитая технология неотличима от магии.

Но я не Артур Кларк, чтобы такие глубокие мудрости толкать. Я скромнее.

Ответить | Правка | Наверх | Cообщить модератору

113. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 11-Янв-21, 05:51 
Ну вот про крипто это особенно верно. Реально очень специфичный раздел черной магии, понимаемый очень немногими, писать новые заклинания умеют только великие. Остальным, если они не тупые светит разве что применение готовых заклятий и ритуалов, в надежде что это не #$%нет из-за кривых рук и неправильных слов. И даже это удается немногим, так что их остальные сдуру за нормальных волшебников потом считают. Хоть они и фокусники декоративные на самом то деле.
Ответить | Правка | Наверх | Cообщить модератору

118. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 11-Янв-21, 11:43 
А что ещё ты любишь совать?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от КО (?), 10-Янв-21, 12:54 
"необходимо наличие физического доступа к токену"
перестал читать
Ответить | Правка | Наверх | Cообщить модератору

5. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Онаним (?), 10-Янв-21, 12:56 
Ну в общем да. Сферическая атака в вакууме на утерянный ключ, который к тому же ещё разломать придётся.
С другой стороны, при комбинации с человеческим фактором (i.e. несообщение об утере ключа)...
Самое поганое, что судя по оборудованию, подобная атака потенциально возможна почти на любые типы ключей.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Ordu (ok), 10-Янв-21, 13:36 
> Сферическая атака в вакууме на утерянный ключ, который к тому же ещё разломать придётся.

Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время, и потом вернуть ключ обратно, почти как новый... В смысле, почти как старый, то возможно стоимость этого окажется не больше, чем стоимость оборудования для съёма ключа.

Тут другой вопрос в том, что результаты исследования были опубликованы. А это значит, что любая вменяемая служба безопасности предпримет меры к тому, чтобы, как минимум, сокрыть слив ключа было бы сложно. А производители ключей придумают что-нибудь своё, чтобы стоимость снятия ключа ещё поднять. Откуда и вывод, что ценность это исследование представляет в основном для этих самых служб безопасности и производителей токенов.

> Самое поганое, что судя по оборудованию, подобная атака потенциально возможна почти на любые типы ключей.

Возможна атака на любые типы ключей. Если не эта, то какая-нибудь другая. Но вопрос не в возможности атаки, возможность даже не обсуждается, вопрос в стоимости этой самой атаки. Если стоимость выше того, что можно получить через эту атаку, то и нахрен она кому нужна такая? Только террористы будут проводить атаку себе в ущерб, но если они не без бошки совсем, то и их случай вполне можно анализировать методами капиталистической экономики, сводя всё к вечнозелёным баксам.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от пох. (?), 10-Янв-21, 14:09 
> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,

То есть, кинуть пацана - купить ключ на время, а себе оставить, беспалева, копию навсегда?

Ну, как-то это... не по понятиям.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Ordu (ok), 10-Янв-21, 14:51 
>> Почему сразу на утерянный? Людей можно купить. Если покупать их ключ на время,
> То есть, кинуть пацана - купить ключ на время, а себе оставить,
> беспалева, копию навсегда?

Зачем же без палева? Он вполне осознанно пойдёт на риск. Главное заплатить ему достаточно.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от pofigist (?), 10-Янв-21, 15:02 
Бухнул. Клофелин. Очнулся - ключ на месте. Все ок? А вот вам индейское жилище - фигвам...
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

34. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Онаним (?), 10-Янв-21, 15:04 
Да можно даже и не бухнуть. Пошёл в сауну попариться, в бассейне поплавать. Ключ оставил в сейфе номера.
Пришёл - ключ на месте.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от pofigist (?), 10-Янв-21, 15:09 
Ну и шлюх никто не отменял, ога... Вариантов уйма. Даже Джон Ребел не хранит ключь в анусе...😂
Ответить | Правка | Наверх | Cообщить модератору

42. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Онаним (?), 10-Янв-21, 15:17 
Я иногда вижу брелки в таком состоянии, что вот насчёт неиспользуемости конкретно этого места хранения у меня большие сомнения.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Онаним (?), 10-Янв-21, 13:04 
Я вижу другое пространство для атак: bitlocker у нас повально с чем используют? Правильно, с TPM. Который тоже ключ в теории просто так не отдаёт. Ну так вот...
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

55. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Crazy Alex (ok), 10-Янв-21, 16:59 
Основная мораль тут - не надо полагаться на физическую защищённость этих чипов, уязвимости будут всегда. И на одну засвеченную десяток испульзуемых втихуюу будет, не говоря о бёкдорах, всунутых спецслужбами - secure element - явно лакомая добыча, быдет крайне странно, если бэкдоров в нём не будет, с шансами - и что-то с удалённым доступом.

А для защиты от любопытного соседа-айтишника или не сильно богатого вора хватит и массовых чипов без великой секьюрности, зато дешёвых настолько, что лишнюю функциональность в виде бэкдоров туда впихивать некуда.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Аноним (-), 10-Янв-21, 18:42 
Более того - технически TPM это обычно просто проц. С какой-то фирмварью. Наглухо проприетарной, конечно. А то что оно себя ведет хорошо - предлагается поверить джентльменам на слово.

При том иногда джентльмены конкретно напирают на удачу. Например, довольно популярный MIFARE от филипса-NXP рассказывает про секурную проприетарную криптографию. С 48-битным ключом. Джентльмены удачи иногда бывают такие затейники, когда хочется продать чипов, да побольше.

Ответить | Правка | Наверх | Cообщить модератору

104. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (102), 11-Янв-21, 01:48 
bitlocker ? ХА! Этот ваш bitlocker в момент апгрейда винды (при перезагрузках) ключи шифрования в открытом виде на диск складывает иначе оно загрузится не сможет, ЛОЛ!
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

14. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (14), 10-Янв-21, 13:10 
Как вариант можно экран не снаружи микросхемы делать, а внутри. Тогда придётся лазером за 100 000 $ или наждачкой за р10 стачивать корпус микросхемы.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (15), 10-Янв-21, 13:15 
Выявлен метод блокирования сообщений на опеннете, посредством ошибки, ссылающейся на "излишнюю анонимность". Поправьте мол свой Refefer в вашем браузере,чтобы тут писать. Вообще не палятся ни разу.
Ответить | Правка | Наверх | Cообщить модератору

44. "Выявлен метод клонирования ключей из криптографических токен..."  +3 +/
Сообщение от Онаним (?), 10-Янв-21, 15:21 
Это я так понимаю защита от совсем тупого спама скрипткиддями, а не анонимности )
Ответить | Правка | Наверх | Cообщить модератору

20. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от erthink (ok), 10-Янв-21, 14:00 
Хорошо
Ответить | Правка | Наверх | Cообщить модератору

25. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (25), 10-Янв-21, 14:22 
Значит надо:
1. Забрать токен у владельца
2. Разобрать, подключить к измерителю
3. Узнать пароль или пинкод у владельца. Ведь измеритель измеряет всё во время подписывания, а как подписывать если доступа к ключу нет?
Ответить | Правка | Наверх | Cообщить модератору

75. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (75), 10-Янв-21, 19:26 
исследователи за 3 года превентивно заинженирили ключ с токена, а деятели - "эЭ, а пин-код?"
Ответить | Правка | Наверх | Cообщить модератору

165. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от ъеъ (?), 20-Янв-21, 20:38 
FIDO U2F как правило работает без пин-кода
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

53. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Аноним (53), 10-Янв-21, 16:47 
Простой вопрос - а нам то оно нах ? Тут 100% аудитории даже не слашало об этой фигне, а 10% готовы использовать это в своих мечтах.
Ответить | Правка | Наверх | Cообщить модератору

58. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Kuromi (ok), 10-Янв-21, 17:18 
Ну если вы не слышали - это ваши проблемы. U2F ключи спокойно уже можно использовать в аккаунтах Гугл, Дропбокс, Гитхаб, Namecheap  и так далее - смотрите тут https://www.dongleauth.info/
Да, поддержка токенов не очень, по двум причинам - 1) пока что мало сайтов поддерживает 2) Довольно  недешево (в РФ особенно - 5-6 тысяч за ключ).
Внедрение идет медленно - https://elie.net/blog/security/the-bleak-picture-of-two-fact.../
Банки, по традиции, тормозят больше всего, хотя вот там-то выигрышь был бы смый большой (чему удивляться, если они там TOTP осилить не могут, а если осиливают, то представляют это как ПРОРЫВ)
Ответить | Правка | Наверх | Cообщить модератору

61. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от пох. (?), 10-Янв-21, 17:33 
Банки: "а мы и не спим".

Хинт: ВТБ ДОБИЛ надежную и _уже_ развернутую двухфакторку (успехов, кстати, что-то вытащить из смарткарты наружу - особенно смарткарты, не имеющий дурацких радио-деталей). В пользу гуаноsms.

Потому что выигрыш тут в пользу не тех пацанов.

Ответить | Правка | Наверх | Cообщить модератору

70. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Аноним (-), 10-Янв-21, 18:46 
> U2F ключи спокойно уже можно использовать в аккаунтах Гугл, Дропбокс, Гитхаб, Namecheap  и так далее - смотрите тут https://www.dongleauth.info/

Ясно, никому ненужное ненужно.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

85. "Выявлен метод клонирования ключей из криптографических токен..."  –2 +/
Сообщение от Сейд (ok), 10-Янв-21, 21:22 
Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

89. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Kuromi (ok), 10-Янв-21, 21:34 
> Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/

Это не GPG

Ответить | Правка | Наверх | Cообщить модератору

91. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Сейд (ok), 10-Янв-21, 21:39 
А что это?
Ответить | Правка | Наверх | Cообщить модератору

106. "Выявлен метод клонирования ключей из криптографических токен..."  –1 +/
Сообщение от Kuromi (ok), 11-Янв-21, 02:53 
> А что это?

Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах (и не только, тот же PAM поддерживает их) с помощью стандарта U2F и WebAuthn. В дальнейшем будут использоваться и для беспарольной авторизации.
Скажем условно если бы на NPN всех горе-разработчиков заставили бы такие ключи использовать - хрен бы там кто залоивал малварь по нескольку раз в неделю через сломанные аккаунты.

Ответить | Правка | Наверх | Cообщить модератору

107. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Crazy Alex (ok), 11-Янв-21, 03:16 
Если мы именно об u2f говорим - то тоже спокойно делается:

https://hackaday.com/2015/11/09/turning-a-teensy-into-a-u2f-key/
https://github.com/google/OpenSK

Наверняка и ещё варианты есть.

Ответить | Правка | Наверх | Cообщить модератору

108. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Kuromi (ok), 11-Янв-21, 03:39 
> Если мы именно об u2f говорим - то тоже спокойно делается:
> https://hackaday.com/2015/11/09/turning-a-teensy-into-a-u2f-key/
> https://github.com/google/OpenSK
> Наверняка и ещё варианты есть.

Да, есть проекты по самопальным U2F ключам, но тут есть 2 момента 1) Сейчас сосбственно U2F уже как бы legacy, это CTAP1, надо бы в сторону CTAP2 копать 2) Как показал опыт самопальные ключи работают так себе. В Багзилле есть баги в которых такие "любительские" ключи глючат на ровном месте.

Хотя с другой стороны начинание неплохое, т.к. за готовые фирменные ключики магазины хотят неадекватные суммы. Тот же Юбикей за самый простой ключ хочет от 20$ (без доставки).

Ответить | Правка | Наверх | Cообщить модератору

122. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (122), 11-Янв-21, 14:44 
> Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах

Лишь бы не пользоваться pgp. Короче дешевое поделие для лохов. Покупай, налетай, дарагой еще биткоин у циган в переходе есть, самий лучий да, гугль мугль !

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

126. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Kuromi (ok), 12-Янв-21, 01:44 
>> Это аппаратный ключ (конкретно эти - roaming authenticator, а еще есть платфоменные, встроенные в железо ПК) для двухфакторной авторизации на сайтах
> Лишь бы не пользоваться pgp. Короче дешевое поделие для лохов. Покупай, налетай,
> дарагой еще биткоин у циган в переходе есть, самий лучий да,
> гугль мугль !

PGP прекрасен, но ни браузерs его не поддерживаю,т ни вэбсервисы. Смысл же U2F\Webauthn в том чтобы наконец был СТАНДАРТ который поддерживается везде одинакого и на всех уровнях + чтобы ключ можно было воткнуть в компьютер и он работал без возни с драйверами.

Ответить | Правка | Наверх | Cообщить модератору

150. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 13-Янв-21, 03:32 
> PGP прекрасен, но ни браузерs его не поддерживаю,т ни вэбсервисы.

Они поддерживают ssh ключи, в смысле, git-хостинги. А вебсервисам и не надо поддерживать, там есть кодировк в нечто типа base64, позволяющая вывалить шифрованое сообщение куда придется.

А вот декодировать его может только тот у кого приватный ключ. В чем весь лулз и состоит.

> Смысл же U2F\Webauthn в том чтобы наконец был СТАНДАРТ который поддерживается везде одинакого
> и на всех уровнях + чтобы ключ можно было воткнуть в компьютер и он работал без возни
> с драйверами.

Догадайтесь как его применят к вашей тушке и будете ли вы этому рады.

Ответить | Правка | Наверх | Cообщить модератору

99. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 10-Янв-21, 23:21 
> Аппаратный ключ GnuPG можно сделать самому за 5 бел. рублей: https://habr.com/ru/post/507010/

Вот это интересная идея.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

79. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от asdasd (?), 10-Янв-21, 20:41 
> на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время генерации цифровых подписей

Т.е. история с ультразвуком от CPU при дешифровке RSA никого ничему не научила? Барьер копейки стоит, это первое что в таки вещи вкидывать нужно, от помех хотябы.

Ответить | Правка | Наверх | Cообщить модератору

80. "Выявлен метод клонирования ключей из криптографических токен..."  +2 +/
Сообщение от Аноним (78), 10-Янв-21, 21:01 
Т.е. история с пишинечитай кого то ничему не научила? Прочтение минуты вашего времени стоит, это первое что нужно сделать перед тем как вкидывать такие вещи в комментарии хотя бы.
Ответить | Правка | Наверх | Cообщить модератору

93. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 10-Янв-21, 21:54 
то был акустический https://www.cs.tau.ac.il/~tromer/acoustic/, это электромагнитный типа такого https://link.springer.com/chapter/10.1007%2F978-3-319-2...
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

94. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (-), 10-Янв-21, 21:58 
https://www.tau.ac.il/~tromer/mobilesc/
Ответить | Правка | Наверх | Cообщить модератору

95. "Выявлен метод клонирования ключей из криптографических токен..."  –4 +/
Сообщение от Аноним (95), 10-Янв-21, 22:02 
>Предложенный метод позволяет атакующему воссоздать хранимые в токене ключи ECDSA на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время генерации цифровых подписей.

Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации в разобранном токене с оборудованием за 10 тыс. евро? И.. что?

Я что-то не понял или это ерунда какая-то?

А вот то что крипотграфия на эллиптических кривых (продвигаемая АНБ) - это полная лажа и бэкдор было известно.

>Для ECDSA определения даже нескольких битов с информацией о векторе инициализации (nonce) достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа.

И это неслучайно. Так же как в отечественный "Кузнечик" изначально спецслужбами заложен бэкдор, так и здесь. Нечего простым гражданам прятаться от любимого государства.

Ответить | Правка | Наверх | Cообщить модератору

98. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (98), 10-Янв-21, 22:48 
> Эээ, то есть можно взломать ГЕНЕРИРУЕМЫЙ ключ во время этой самой генерации

Генерирование ключей и генерирование цифровой подписи - это разные вещи.

Ответить | Правка | Наверх | Cообщить модератору

125. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (125), 11-Янв-21, 21:52 
зачем делать копия ключа, если у вас на руках уже оригинальный ключ! вы всё равно им больше одного раза не воспользуетесь.
хацкеры, такие хацкеры.
Ответить | Правка | Наверх | Cообщить модератору

164. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от pofigist (?), 14-Янв-21, 13:45 
https://www.opennet.ru/openforum/vsluhforumID10/5564.html как например.
Ответить | Правка | Наверх | Cообщить модератору

136. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (136), 12-Янв-21, 13:25 
> Для проведения атаки необходимо наличие физического доступа к токену

Надо же, а мужики из АНБ просто забирают ключ через ужаленный бэкдор, который Гугль любезно оставил в своём закрытом коде.

Но только тсс!.. Не будем палить контору, договорились? ;-)

Ответить | Правка | Наверх | Cообщить модератору

137. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (136), 12-Янв-21, 13:25 
*удаленный
Ответить | Правка | Наверх | Cообщить модератору

151. "Выявлен метод клонирования ключей из криптографических токен..."  +1 +/
Сообщение от Аноним (-), 13-Янв-21, 03:33 
Ужаленный во что? В джеппу, судя по синим труселям? :)
Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

143. "Выявлен метод клонирования ключей из криптографических токен..."  +/
Сообщение от Аноним (143), 12-Янв-21, 23:33 
Сфеерический в вакууме
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру