The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.02.2008 13:54  Аппаратное AES шифрование, на деле оказалось простым XOR.

Исследуя диск с аппаратной поддержкой хранения данных в зашифрованном виде, эксперты с удивлением обнаружили, что вместо заявленного аппаратного 128-битного AES шифрования там используется тривиальное преобразование данных 512-битной XOR маской.

После публикации результатов исследования в прессе компания Drecom объявила об отзыве ранее проданных моделей устройств Easy Nova Data Box PRO-25UE RFID.

  1. Главная ссылка к новости (http://it.slashdot.org/article...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: crypt, disk, hardware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, booter (??), 15:03, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Это пять! Большой брат следит за вами! : )))
     
     
  • 2.5, Andrey Mitrofanov (?), 15:33, 19/02/2008 [^] [ответить]    [к модератору]
  • +/
    >Это пять! Большой брат следит за вами! : )))

    А Маркетингоффый Братт owns all ya money!

     
     
  • 3.21, booter (??), 17:58, 19/02/2008 [^] [ответить]     [к модератору]
  • +/
    Это полюбому Только сдается мне, ксорили они не для того, чтобы жизнь себе упро... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 15:16, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот такая вот проприетарщина.Верить можно только исходникам... которые вы можете сами скомпилить и полученный код использовать.Это еще батька Филипп Циммерман усвоил.
     
  • 1.4, ZANSWER (??), 15:20, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да уж, так и представил, сидящих дома простых пользователей, которые читают исходники софта которым пользуеться, чтобы быть уверенными, что ему можно доверять...:-D
     
     
  • 2.6, Аноним (-), 15:40, 19/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Ну вон любознательные перцы распетрушили хард, нашли откровенную халтуру Вывели ... весь текст скрыт [показать]
     
  • 2.8, sargan (?), 15:43, 19/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Не говорите ерунды, естественно рядовые пользователи этим заниматься не будут Ф... весь текст скрыт [показать]
     
  • 2.17, Гость (?), 17:05, 19/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Достаточно одного интересующегося Вероятность того, что найдется желающий посмо... весь текст скрыт [показать]
     
     
  • 3.28, Timon (?), 07:39, 20/02/2008 [^] [ответить]    [к модератору]  
  • +/
    там не так, если компания открывает исходники, то она морально готова к тому что их кто-нибудь посмотрит, и если она сказала там AES, а в исходниках на самом деле XOR то она сама себе ямку вырыла :)
     
     
  • 4.35, X (?), 04:54, 23/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Отсюда следует логичный вывод пользуйтесь открытыми решениями и тогда вы не ост... весь текст скрыт [показать]
     
     
  • 5.36, Nick (??), 04:57, 23/02/2008 [^] [ответить]    [к модератору]  
  • +/
    так и есть
     
     
  • 6.38, X (?), 05:12, 23/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Представляю себе сколько подобного говна может присутствовать в каком-нить BitLo... весь текст скрыт [показать]
     
     
  • 7.40, Nick (??), 05:17, 23/02/2008 [^] [ответить]     [к модератору]  
  • +/
    думаю, сокращение к те кто доверяет закрытым - оказывается лохом будет не мене... весь текст скрыт [показать]
     
     
  • 8.41, Nick (??), 05:18, 23/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >"те кто доверяет закрытым - оказывается лохом"
    >будет не менее правильным

    эх... ;)
    все-таки пересократил

    добавить "решениям" - и порядок :)

     
  • 1.9, Аноним (9), 15:51, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не понял. Я не рядовой?
     
     
  • 2.10, Andrew Kolchoogin (?), 15:58, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    > Не понял. Я не рядовой?

    Рядовые на OpenNet не ходють. ;)

     
     
  • 3.30, Michael Shigorin (ok), 10:39, 20/02/2008 [^] [ответить]     [к модератору]  
  • +/
    Ходим, товарищ генерал и таки да -- сами не умеем, так с исходниками порог ... весь текст скрыт [показать]
     
  • 1.11, Анонсим (?), 16:22, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    2^512=1.34078079299426e+154

    Без маски не прочитать. Что в этом плохого? Или я не прав?

     
     
  • 2.12, Аноним (9), 16:29, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Конечно ты не прав.
    Даем массив нулей на вход, на выходе получаем маску.
     
  • 2.13, cobold (?), 16:30, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    запиши 512 бит нулей и прочитай маску ;)
     
     
  • 3.14, Анонсим (?), 16:37, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    > запиши 512 бит нулей и прочитай маску ;)

    А маска что в устройство вшита, а не задаётся как-то извне? Смысл тогда в этом?

     
     
  • 4.15, Andrey Mitrofanov (?), 16:55, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >А маска что в устройство вшита, а не задаётся как-то извне? Смысл
    >тогда в этом?

    Эмма Петровна открыла для себя криптографию! Срочно в новостную ленту!

     
  • 4.16, Fr. Br. George (?), 16:56, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Даже если задаётся, она будет написана вместо нулей.
     
  • 4.37, X (?), 05:02, 23/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >А маска что в устройство вшита, а не задаётся как-то извне? Смысл
    >тогда в этом?

    Декоративная защита, поищите в интернете картинку "Windows XP with firewall" где дверь в чистом поле по сути стоит.Ну вот XOR этот такая же декорация.Используется проприетарный алгоритм.Уууу, писец.Ксорка с постоянной 512 байтов - вот она вся гнилая суть проприетарных алгоритмов: сделать халтурное говно, завернуть в красивый фантик и побежать это продавать.А когда недовольные покупатели "якобы конфет" делают гримасы и показывают кулаки - начинаются отмазки и извороты.

     
  • 2.22, Andrew (??), 18:10, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Есть такая штука, как криптоанализ. После обработки XOR маской, энтропия полученного сообщения не будет отличаться от таковой у исходного сообшения, а данные, которые не выглядят "случайными" очень хорошо поддаются криптоанализу.
     
  • 1.19, Sem (??), 17:48, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мда, опозорились. Не ужели думали, что никто не заметит?..
     
  • 1.20, www.andr.ru (?), 17:51, 19/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Брюс Шнайер в "Прикладной криптографии" резко критиковал деятельность таких компаний, причём очень часто используют именно XOR. Но и без него миллиардный бизнес часто покупает откровенную халтуру, как это случилось с DVD, в котором весь секрет держался на сектретности алгоритма, а когда его раскололи, оказалось что для подбора ключа "в лоб" надо перебрать всего 2^16 варианта - несколько секунд на слабеньком писюке. Ленивые тупые манагеры заказывают халтуру у халтурщиков и пролетают на миллионы баксов. Реально, достаточно почитать пару популярных статей и походить на семинары, чтобы перестать быть лохом, но ведь лениво
     
     
  • 2.23, iZEN (?), 19:23, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Реально, достаточно почитать пару популярных
    >статей и походить на семинары, чтобы перестать быть лохом, но ведь
    >лениво

    Вопрос в ДОВЕРИИ.

     
     
  • 3.24, Аноним (-), 21:15, 19/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Скорее в лени.
     
     
  • 4.29, whirlwind (?), 10:31, 20/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Скорее в лени.

    Нет, речь идет именно о доверии.
    Компания покупает электронный компонент, ожидая, что он будет соответствовать спецификации: работать и паяться в заданном диапазоне температур, с указанной часотой, напряжением, мало ли что еще. В том числе и реализовывать AES. И то, что он этого не делает - откровенный, сознательный обман, за который садить надо.

    Кстати,  речь на самом деле идет о 512-бАйтной маске, под сектор на диске


     
     
  • 5.32, FSA (??), 23:14, 20/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Доверие и "капитализм" не совместимы. Те, кто получает бабки старается решить задачу менее затратным способом. Не на###шь, не получишь бабок, ибо то же самое сделают за тебя другие.
     
     
  • 6.39, X (?), 05:16, 23/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >Доверие и "капитализм" не совместимы. Те, кто получает бабки старается решить задачу
    >менее затратным способом. Не на###шь, не получишь бабок, ибо то же
    >самое сделают за тебя другие.

    Зато если попалиться - можно случайно так разориться или во всяком случае сильно облегчиться.Покупатели могут ведь и в суд подать за заведомый обман и здорово облегчить карманы такой конторе.

     
  • 5.34, vitek (??), 14:58, 21/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >... И то, что он этого не делает - откровенный, сознательный обман, за который садить
    >надо.

    бизнес - есть бизнес. ничего личного.

    з.ы.
      Вы что, соглашение о конфиденциальности у M$ начитались?

     
  • 2.31, Michael Shigorin (ok), 10:43, 20/02/2008 [^] [ответить]    [к модератору]  
  • +/
    Вот ыманно.

    Они просто не дело на совесть делают, а боятся и ненавидят, и ищут, как бы урвать.  Итог предсказуем всегда. :)

    Думаю, некоторые тезисы статьи-для-манагеров "как различить хорошего программиста" (http://www.inter-sections.net/2007/11/13/how-to-recognise-a-good-programmer/) вполне бы подошли в качестве "как различить хорошего крипторазработчика" с минимальной правкой.

    Только пусть уж лучше жадные лохи остаются жадными лохами, чем имеют реально крепкие прутья для клеток.

     
  • 1.27, Анонимоус (?), 01:46, 20/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот как раз это и есть то, что называется EPIC FAIL
     
  • 1.33, _Nick_ (??), 11:31, 21/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    да....
    лохотрон...

    вспомним бацьку RMS'а...   О всякой там проприетарщине он знал одно:
    нет исходников - нет использования этого г...на.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor