The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Началось альфа-тестирование открытого HSM-модуля CrypTech

21.07.2016 11:00

Проект CrypTech, в рамках которого при участии независимого сообщества развивается открытый и недорогой аппаратный криптографический движок, объявил о выпуске первой партии плат, предназначенной для альфа-тестирования. Целью проекта является создание платы HSM (Hardware Security Modules), все спецификации, прошивки и схемы которой открыты и доступны для анализа. Проект развивается международной командой инженеров, применяет диверсифицированную модель финансирования и не подпадает под юрисдикцию США, что не позволяет спонсорам или спецслужбам оказывать на него давление.

Плата представляет собой специализированное устройство, предназначенное для хранения открытых и закрытых ключей, используемых для формирования цифровых сертификатов. HSM позволяет существенно повысить защиту, так как полностью изолирует ключи от системы и приложений, лишь предоставляя API для выполнения базовых криптографических примитивов, реализованных на стороне платы. В настоящее время на рынке представлены только проприетарные и закрытые реализации HSM. CrypTech пытается переломить данную ситуацию и предоставить открытую эталонную платформу, на базе которой производители смогут создавать готовые устройства, в том числе коммерческие Open Hardware продукты.

Альфа-версия платы CrypTech предоставляет большую часть запланированной функциональности. Плата включает процессор ARM Cortex M4 и программируемый FPGA Xilinx Artix-7, который может быть настроен для поддержки широкого круга криптографических примитивов. Первый набор примитивов рассчитан на использование в приложениях, работающих с цифровыми подписями, например, прототип можно использовать в реализациях DNSSEC. По мере развития проекта планируется предоставить конфигурации и для других наборов примитивов. Сборки ПО для работы с платой подготовлены для Debian, Ubuntu и macOS. Все наработки проекта доступны под лицензией BSD или Creative Commons.

Основные особенности CrypTech:

  • Плата соответствует форм-фактору Eurocard;
  • Реализация интерфейса PKCS#11 (Cryptographic Token Interface) поверх двух USB-портов;
  • Поддержка алгоритмов хэширования SHA-1, SHA-2, SHA-224, SHA-256, SHA-384 и SHA-512;
  • Поддержка алгоритмов шифрования: RSA-1024, RSA-2048, ECDSA P-256, P-384, P-251;
  • Встроенный аппаратный генератор случайных чисел.


  1. Главная ссылка к новости (https://cryptech.is/2016/07/al...)
  2. OpenNews: Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров
  3. OpenNews: Проект по созданию открытого аппаратного генератора случайных чисел
  4. OpenNews: GNU Radio помог восстановить контроль над космическим аппаратом ISEE-3
  5. OpenNews: Оценка возможности создания аппаратных бэкдоров, работающих на транзисторном уровне
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: crypt, cryptech
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (101) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:41, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Какое эпичное нужно.
     
     
  • 2.62, покемон (?), 17:33, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    согласен. вон в ядре давно уже набор крипто-функций, некоторые даже на/в CPU.
    Внимание вопрос, их кто-нибудь использует в userspace? да да, есть cryptodev и af_alg, но даже их нет стандартно в openssl.
     
     
  • 3.69, покемон (?), 20:57, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну и чего минусуем-то? скажите для отмазки что-нибудь? какие вы все крутые HSM модули используете?

    PS1: https://events.linuxfoundation.org/sites/events/files/slides/lcj-2014-crypto-u
    PS2: http://permalink.gmane.org/gmane.linux.kernel/1084671

     
     
  • 4.90, Аноним (-), 20:57, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ну и чего минусуем-то? скажите для отмазки что-нибудь? какие вы все крутые
    > HSM модули используете?

    Есть некоторая разница между открытым проектом, где понятно откуда этот "аппаратный" рандом берется (например, чтение младших битов ADC) и каким-то мутным процессором который типа-случайные типа-числа выдает. А потом окажется типа-случайно что там какой-нибудь короткий инициализатор не очень случайного PRNG и АНБ будет все ключи подбирать на манер как в дебиане. Хотя Linux в этом плане умно делает - подмешивает энторпию в пул а не заменяет совсем. Что не дает перехватить инициативу даже если это PRNG с бэкдором.

     

  • 1.2, Какаянахренразница (ok), 11:45, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Озвучте примерную цену готового изделия для конечного пользователя.
     
     
  • 2.3, Аноним (-), 11:54, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –7 +/
    клоун: в России это запрещено. Если поймают на таможне или на почте - заложат за милую душу.
     
     
  • 3.6, Аноним (-), 12:01, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    На каком основании?
     
     
  • 4.10, Аноним (-), 12:17, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    несертефицированная криптография, будешь бутылку примерять
     
     
  • 5.13, Ващенаглухо (ok), 12:22, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это относится только для огранизаций
     
     
  • 6.14, Аноним (-), 12:45, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    для всех. Более того, какая надо организация купит вагон этой ерунды, сертифицирует, и будет продавать по ляму за штуку, а чтобы лучше покупали, депутаны примут нужный закон.
     
     
  • 7.27, Адекват (ok), 13:56, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > для всех. Более того, какая надо организация купит вагон этой ерунды, сертифицирует,
    > и будет продавать по ляму за штуку, а чтобы лучше покупали,
    > депутаны примут нужный закон.

    И депутанм отсегнут, и сертифицирующиму ФСТЭКу, все верно.

     
  • 7.29, Alex_T2 (ok), 14:01, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    не для всех а только для носителей гос.тайны .
     
     
  • 8.32, Аноним (-), 14:16, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в одной сугубо частной ит-организации по разработке софта, где я работал, нужно ... текст свёрнут, показать
     
     
  • 9.45, Аноним (-), 16:10, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    враньё использование не требует никаких разрешений только производство ссылки... текст свёрнут, показать
     
  • 9.51, _ (??), 16:30, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Брезло вонючее Ты ещё про застенки кровавой гэбни расскажи чтоб эпичнее было ... текст свёрнут, показать
     
     
  • 10.64, Zarat (ok), 18:15, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вы не из России Кратко http www cnews ru news top na_rossiyanina_zaveli_delo... текст свёрнут, показать
     
     
  • 11.103, Аноним (-), 05:41, 25/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какую нахрен уголовку, что вы несете Административное правонарушение, законы об... текст свёрнут, показать
     
     
  • 12.106, count0krsk (ok), 04:01, 05/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я помню, из США запрещен вывоз, у нас - ввоз Даже когда в винде вводи... текст свёрнут, показать
     
  • 10.78, нет (??), 11:04, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    вам дали опровержением конкретный пример преследования за желание обладать стойк... текст свёрнут, показать
     
  • 8.41, Аноним (-), 15:05, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    нет, не забивай голову своими бреднями остальным участникам форума... текст свёрнут, показать
     
     
  • 9.52, _ (??), 16:31, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты даешь Ему за это миску похлёбки и дают ... текст свёрнут, показать
     
  • 7.101, _Анониус_ (?), 20:18, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, или вы действительно правы на все 100%?
     
  • 5.15, Аноним (-), 12:45, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Емнип, криптография должна быть сертифицированной только если контора работает с гостайной, и санкции могут быть за то, что криптография ненадёжная, а не за то, что админ Вася шифрует архив прона от директора.
     
     
  • 6.22, Аноним (-), 13:23, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Емнип, криптография должна быть сертифицированной только если контора работает с гостайной,
    > и санкции могут быть за то, что криптография ненадёжная, а не
    > за то, что админ Вася шифрует архив прона от директора.

    память тебе изменяет. И славь яхве, что на васино rsa и aes пока что всем пофиг, хотя шаги в направлении васи уже сделаны.

     
     
  • 7.53, _ (??), 16:33, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Больше эпика, либерастня :) А то народ чота ржёт :)
     
     
  • 8.76, scorry (ok), 10:31, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А полгода хранения трафика разве не эпик По-моему, саги всех народов мира отдых... текст свёрнут, показать
     
  • 8.97, Аноним (-), 01:07, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это они российские законы почитали Краткое содержание поди туда, не знаю куда ... текст свёрнут, показать
     
  • 6.23, Аноним (-), 13:28, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    клоун: ты путаешь таможню и ФСБ.

    Таможня запрещает ввоз любой криптографии и устройств, работающих с криптоданными, даже если не основная функция устройства. Разрешён ввоз только продукции для которой есть т.н. "нотификация" - специально выданное разрешение, в котором прописаны все модели (!), ввоз которых в страну разрешён. Грубо - там только бытовая техника (мобилы, роутеры с SSL) и криптография до 56 бит, да и то не вся.

    ФСБ запрещает использование (и не использование для гос.тайны) криптографии внутри страны. У них есть конкретный перечень алгоритмов и их реализаций (!), которые можно использовать.

    Оба разрешения (таможни, ФСБ) можно получить, но для физ.лиц это крайне затруднительно.

     
     
  • 7.46, Аноним (-), 16:11, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ложь прувы или gtfo ложь прувы или gtfo ложь прувы или gtfo ... текст свёрнут, показать
     
     
  • 8.54, Аноним (-), 16:38, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    клоун может, тебе ещё всё законодательство РФ сюда запостить ... текст свёрнут, показать
     
     
  • 9.88, Аноним (-), 17:43, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    попробуй запостить сюда что-то кроме своих идиотских домыслов и болтовни... текст свёрнут, показать
     
  • 8.60, ъ (?), 17:11, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфов нет Но есть Prior art Компания Хуа вея - крупная и может многое, но в Р... текст свёрнут, показать
     
  • 7.55, _ (??), 16:40, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Клован, вот если ты тут сделаешь коминаут - признаешься что замужем за мужиком - тебе тут сразу поверят! ;)

    А всё что ты тут пытался вбросить ... нет клован, давай ссылки на соотв законы, подзаконные акты и пр. бумагазею, которй для такого должна быть просто тьма.

    PS: Ну а ежели не даст, значит точно - *ст! ... см. пункт 1 :)

     
     
  • 8.70, Аноним (-), 21:59, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    клоун девайс может быть изготовлен в России или импортирован 1 изготовление к... текст свёрнут, показать
     
     
  • 9.85, _ (??), 15:53, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Позвонил друзьям в родные берёзы Плят профессор такой _______________ Б... текст свёрнут, показать
     
  • 3.18, Аноним (-), 12:49, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в России это запрещено.

    Можно ссылочку на документ?

     
     
  • 4.21, Аноним (-), 13:17, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    клоун: здесь подробно со всеми деталями

    https://habrahabr.ru/company/cisco/blog/234491/

     
     
  • 5.31, Аноним (-), 14:12, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там про ввоз вражьих скзи, а не про запрет частнику шифровать свою инфу.
     
     
  • 6.34, Аноним (-), 14:19, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    клоун: Там начинается с того, что чувак решил купить на eBay себе мобилу.

    Ему ещё повезло, за заказ ручки с видеокамерой и/или микрофоном, даже если ты от неё отказался, грозит тюрьма.

    http://www.kam24.ru/news/main/20160118/32689.html

     
     
  • 7.66, YetAnotherOnanym (ok), 18:40, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это средства негласного получения информации, а не средства криптографической защиты информации. Насчёт наказания за шифрованрие саоей частной информации для себя, любимого, никто ничего внятного так и не сказал.
     
     
  • 8.68, Аноним (-), 19:01, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    клоун Ты можешь шифровать её как хочешь и чем хочешь Но легально ввезти эту пл... текст свёрнут, показать
     
     
  • 9.75, Хрен (?), 08:25, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если она не прошита ПО, то это кусок железа Ввози сколько угодно ... текст свёрнут, показать
     
     
  • 10.77, Аноним (-), 11:00, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    клоун ты не болтай, ты действуй Купи сотню таких непрошитых плат и на таможне ... текст свёрнут, показать
     
     
  • 11.89, Аноним (-), 17:48, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    сам уже перестань мести языком купил что-то и не смог ввезти - давай прувы ... текст свёрнут, показать
     
     
  • 12.98, Аноним (-), 01:14, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Российское законодательство привело к тому что нормальные герои всегда идут в об... текст свёрнут, показать
     
  • 3.25, Какаянахренразница (ok), 13:37, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Озвучте примерную цену готового изделия для конечного пользователя.
    >  клоун: в России это запрещено. Если поймают на таможне или на почте - заложат за милую душу.

    Сказать цену не запрещено. Да и не в России я.

    А так, да, в РФ стало с этим строго стало. Несанкционированные средства шифрования, несанкционированные средства наблюдения...

     
  • 3.67, Аномистикус (?), 18:51, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если оно открытое, значит можно самому собрать по частям.
     
     
  • 4.71, Какаянахренразница (ok), 22:00, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну если оно открытое, значит можно самому собрать по частям.

    Можно. А можно заплатить деньги другим, которое это открытое соберут лучше меня.

     
  • 3.91, Аноним (-), 21:01, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > клоун: в России это запрещено. Если поймают на таможне или на почте
    > - заложат за милую душу.

    Налутать дома на кухне. Микросхемы купить в каком-нибудь чипидипе.

     
     
  • 4.105, аноним1111122222 (?), 18:45, 25/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> клоун: в России это запрещено. Если поймают на таможне или на почте
    >> - заложат за милую душу.
    > Налутать дома на кухне. Микросхемы купить в каком-нибудь чипидипе.

    99-ФЗ О лицензировании отдельных видов деятельности
    Постановление правительства РФ N 313
    И КоАП ч. 1 ст. 13.13


     

  • 1.4, Нанобот (ok), 11:57, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >что не позволяет спонсорам или спецслужбам оказывать на него давление

    правильнее так: что, как наивно полагают участники, не позволит спонсорам или спецслужбам оказывать на него давление

     
  • 1.5, Аноним (-), 12:00, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В РФии эта вундервафля законна?
     
     
  • 2.7, Клыкастый (ok), 12:03, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    похоже что нет
     
     
  • 3.12, Аноним (-), 12:20, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пора им делать версию для России, в которой крипто отключено по умолчанию, и включается командой "на свой страх и риск", а продавать это чудо как "маршрутизатор" )
     
     
  • 4.17, Аноним (-), 12:48, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, маршрутизатор из usb в usb.
     
     
  • 5.33, Анонимус_б6_выпуск_3 (?), 14:17, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    маршрутизатор из ФСБ в ФСБ
     
  • 5.99, Аноним (-), 01:16, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, маршрутизатор из usb в usb.

    А приколись, по usb без проблем запускается usb-ethernet.

     
  • 4.92, Аноним (-), 21:05, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Пора им делать версию для России, в которой крипто отключено по умолчанию,

    А это вполне себе идея. Делаешь "печатку с микросхемами". Вообще без софта. А что в нее пользователь потом зальет - на совести пользователя уже. Ну в общем вы уже поняли что айтишники это такие потенциальные террористы. Поэтому россиянам предлагается запретить производство печатных плат и написание софта. В пещерный век, холопье!

     
     
  • 5.107, count0krsk (ok), 04:11, 05/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Поэтому россиянам предлагается запретить производство печатных
    > плат и написание софта. В пещерный век, холопье!

    Вчера Новости смотрел, Медведу показывали пластины, из которых в Зеленограде микросхемы делают. Он сказал - "Одобрямс, но вы только военным продаете. Делайте на экспорт и много!".
    Так что делайте ЛУТ свой, только законный. Может Героя РФ дадут. На крипто-ЛУТ получайте лицензию, не так там всё страшно. Паяйте, продавайте. Пока эта сфера у нас не особо забита, насколько я понимаю. VipNet, и может ещё кто защищенные свитчи делает. А крипто-модули к ПК - хз даже.


     
  • 2.104, Аноним (-), 15:26, 25/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    половина компаний - юзает "незаконные крптостерсдства", от оффисов западных компаний с кастомным самописным крипто-по до банальных компов с виндой банально.
    90% интернет-соседиений -поддержвивают пока лишь "незаконную" криптографию а без оной - уже и не все сайты работают Вообще(а запиливать кузнечик и стрибог - только начали в софт системный и прикладуху).
     

  • 1.8, Аноним (-), 12:04, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После 20-го  -  уже нет(
     
  • 1.9, Аноним (-), 12:12, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > включает процессор ARM Cortex M4

    А TrustZone в нем случайно нет ?

     
     
  • 2.93, Аноним (-), 21:12, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А TrustZone в нем случайно нет ?

    Это M-серия, там такого не бывает. TrustZone встречается только в A-серии (процессоры приложений). Да и сам по себе TrustZone - ничем не плох, если там ТВОЙ код. Вот если тебя туда не пускают и там вместо этого чужой мутный блоб - вот тут уже подстава.

     

  • 1.11, Аноним (-), 12:18, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > что не позволяет спонсорам

    Это уже вранье )

     
  • 1.16, Sen (?), 12:46, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    железку без софта можно ведь будет продавать в РФ))
     
  • 1.19, odity (ok), 12:59, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот существование встроенного генератора случайных чисел и напрягает. в нем могут быть проблемы,если захотят они(
     
     
  • 2.24, Аноним (-), 13:34, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот вам pdf со схемами https://trac.cryptech.is/browser/hardware/schematics/rev03.pdf
    На странице 13 изображен источник шума для генератора случайных чисел.
    Напишите нам пожалуйста, какие именно проблемы будут у этой схемы если захотят ОНИ.
     
     
  • 3.39, odity (ok), 14:58, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    RAW NOISE сгенерируй предскахуемый и на выходе у тебя будет предсказуемые числа.
     
     
  • 4.44, Аноним (-), 15:35, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Укажите конкретно как это реализовать для приведенной в схемы.
     
     
  • 5.49, Andrey Mitrofanov (?), 16:22, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Укажите конкретно как это реализовать для приведенной в схемы.

    Мысленный эксперимент, заменяющий обратно смещённый диод (или чего у них там) кварцованным мультивибратором , даёт полностью не-NOISE-овый RAW и вскрывает стра-а-ашную проблему этой схемы.

    </минутка сатира и юмора в теме про форумную криптографию>

     
  • 4.94, Аноним (-), 21:19, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > RAW NOISE сгенерируй предсках уемый и на выходе у тебя будет предсказуемые числа.

    Понимаешь, тепловой шум есть всегда и везде. Он непредсказуемый. Просто иногда это досадная помеха при создании электроники. А иногда - наоборот. Обмануть законы физики слабо даже гэбне. Читайте учебники физики, пока их еще не признали экстремистской литературой.

     
     
  • 5.102, _Анониус_ (?), 20:45, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Про учебники хорошо пошутили. Так вы бы и посоветовали какие читать :)
     

  • 1.20, Аноним (-), 13:12, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А разве HSM-ы не должны сбрасывать все ключи (как минимум) и вообще полностью обнуляться при условии вскрытия корпуса? В этом всегда была их дополнительная защита. А с этой платой нет смысла возиться, т.к. всё то же самое можно реализовать на стандартных платформах (PC, ARM) используя софтверный HSM. Вероятность компрометации примерно такая же будет, т.е. очень высокая.
     
     
  • 2.26, Аноним (-), 13:38, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И вам схемы https://trac.cryptech.is/browser/hardware/schematics/rev03.pdf

    На странице 4 есть некий AVR Tiny Tamper Detect MCU. Правда что именно он детектит я не разбирался.

     
     
  • 3.35, Аноним (-), 14:42, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    на схеме есть некая Panic button

    возможно защиту корпуса отдельно предполагается делать и выводить логику на эту Panic button

     
  • 2.30, Sw00p aka Jerom (?), 14:06, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>А разве HSM-ы не должны сбрасывать все ключи (как минимум) и вообще полностью обнуляться при условии вскрытия корпуса?

    у серьёзных контор в них ещё микро взрывчатка есть, руку оторвёт, и распылит пары цианида.

     
     
  • 3.36, нет (??), 14:44, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    наврядли, ибо сдетонирует же. Едешь ты, предположим, по Киеву
     
     
  • 4.80, Sw00p aka Jerom (?), 14:27, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    пластид (С4) вполне безопасный без детонатора, кста можно и удалённо детонировать.
     
  • 3.40, Аноним (-), 15:04, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "Бессовестно врут" (c)
     
  • 3.95, Аноним (-), 21:24, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > распылит пары цианида.

    А они хакеров не боятся? Новый облачный сервис - дезинсекция.

     
  • 2.43, Аноним (-), 15:07, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для полной защиты ещё многое предстоит сделать

    nog.bt/btnog1/presentations/141117.btnog-cryptech.pdf

    начиная со ст.25

    Some of the Fears
    • ToolChain Poisoning
    • Device Poisoning
    • Side-Channel Attacks
    • How can you tell if your vendor actually
    implemented CrypTech, and correctly?


    The Tool Chain
    • When my laptop’s fan goes on, I think it
    is the NSA, GCHQ, Israelis, Chinese, …
    are fighting to see who will own me
    • *We have NO ASSURANCE of our tool
    set, from CPU to Kernel to Compiler to …*
    • When constructing assurance-critical
    tools, we need to maximize assurance in
    the tools used to build them

     
  • 2.65, Нанобот (ok), 18:28, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >А разве HSM-ы не должны сбрасывать все ключи (как минимум) и вообще полностью обнуляться при условии вскрытия корпуса?

    эт чё, если обнулится HSM банка со всеми пинами клиентов, банк можно закрывать? (а потом ещё выяснится, что было ложное срабатывание)
    имхо, его ж никто не купит с такой опасной защитой

     
     
  • 3.73, KK (?), 00:01, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Все основные HSM (от Thales и от Racal) которые использут банки обнуляются при попытки вскрытия или изъятия из стойки без физического ключа хранящегося у офицера безопасности

    P.S. Зачастую никто защиту от изъятия не активирует, потому что геморрой

     
     
  • 4.81, Sw00p aka Jerom (?), 14:28, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Все основные HSM (от Thales и от Racal) которые использут банки обнуляются
    > при попытки вскрытия или изъятия из стойки без физического ключа хранящегося
    > у офицера безопасности
    > P.S. Зачастую никто защиту от изъятия не активирует, потому что геморрой

    заморозка вам в помощь)

     
     
  • 5.83, _ (??), 15:34, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты эти модули видел? Заморозить ты сможешь только корпус. Зотя зрен его знает до чего дошёл прогресс :)  Бонбы как то замораживают.

    Кстати чел выше не то чтобы наврал ... но не договорил. Физ ключей _2_ !!! И если вам впаривают с одним - вам впаривают китайскую подделку с Малой Арнаутской :)

     
  • 3.74, Анонимный Алкоголик (??), 06:14, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>А разве HSM-ы не должны сбрасывать все ключи (как минимум) и вообще полностью обнуляться при условии вскрытия корпуса?
    > эт чё, если обнулится HSM банка со всеми пинами клиентов, банк можно
    > закрывать? (а потом ещё выяснится, что было ложное срабатывание)
    > имхо, его ж никто не купит с такой опасной защитой

    В банке всё не совсем так. И сложнее. И с резервным копированием >:-)

     
     
  • 4.84, _ (??), 15:46, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Они (банки) могут платить хорошим спецам, поэтому у них всё _ПРОЩЕ_ :)

    Во первых - такой модуль не один. И работоспособность фэйл-овера прописана в SA \ KPI. Это главное.
    Во вторых - по сбросу прилетает тревожная группа ^W :) Комиссия, которая пишет маляву на не утечку и кого будем любить, жестко и извращённо.
    Во вторых пункт "б" - если таки утекло ... бери либеральские пугалки про подвалы кровавой гэбни и умножай на 8 ...
    В третьих - дежурная смена опсов достаёт бумгу "проц-ра №100500" и согласно ей звонит в охранку, будить специально обученного чела принести свой ключ :), достаёт карточки, свои ключи и дует пере-заливать всю эту красоту обратно в HSM ...

    Это настолько рутина, что я даже не знаю что народ так возбудилсО ? :-\

     
     
  • 5.86, Аноним (-), 16:37, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Это настолько рутина, что я даже не знаю что народ так возбудилсО ? :-\

    Ну так не все ведь в банках Security Officer-ами работают ))


    А так, вообще по теме, если обобщать:

    Для каких целей нужна просто плата CrypTech, я не понял.

    HSM, как устройства, именно интересены своими подходами к решению защиты главного ключа организации. Пока архитектурно ничего лучше не придумали. Есть механизмы физической защиты, встроенные в корпус, плюс, обычно 3 компоненты в виде смарт-карт, которые дают доступ на администрирование.

    Кластеризация, бэкапы и другие технические меры для обеспечения непрерывности процессов организации уже решены, конечно.


     
  • 5.96, Аноним (-), 21:31, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тем временем у этих специалистов по секьюрити половина карточек по сей день выпускается с магнитной полосой, которую не клонирует только лениывй. Поэтому половина банкоматов - со скимерами, особенно в пердях.
     

  • 1.37, Аноним (-), 14:48, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Схема реализации tamper erase очень не удачная. Даже по фотографии видно что легко создать ситуацию когда Master Key Memory не будет обнулена при атаке извлечения Master Key.
    А вот софт не плохо написан.
     
     
  • 2.48, Аноним (-), 16:17, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот софт не плохо написан.

    это ты как оценил?

     
     
  • 3.50, Andrey Mitrofanov (?), 16:29, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А вот софт не плохо написан.
    > это ты как оценил?

    Видимо, по тому, что софта на фотографии не видно.

     
     
  • 4.58, Аноним (-), 16:46, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Hardware met Software on the road to Changtse. Software said: "You are Yin and I am Yang. If we travel together, we will become famous and earn vast sums of money." And so they set forth together, thinking to conquer the world.

    Presently, they met Firmware, who was dressed in tattered rags and hobbled along propped on a thorny stick. Firmware said to them: "The Tao lies beyond Yin and Yang. It is silent and still as a pool of water. It does not seek fame; therefore, nobody knows its presence. It does not seek fortune, for it is complete within itself. It exists beyond space and time."

    Software and Hardware, ashamed, returned to their homes.

     

  • 1.47, Аноним (-), 16:12, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По заказу АНБ выполняют план Гос.закладок.
     
  • 1.59, Аноним (-), 17:06, 21/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что мешает производителям этих открыто документированных устройств зативоизировать их, раз все наработки под BSD? А там поди поверь, что они туда на самом деле прошили.
     
     
  • 2.61, ъ (?), 17:15, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а еще нужно проверить, что в железках то что в схемах, и нет доп модулей выключающих все по сигналу со спутника (и оденьте шапочку из фольги)
     
     
  • 3.63, Andrey Mitrofanov (?), 17:49, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > а еще нужно проверить, что в железках то что в схемах, и
    > нет доп модулей выключающих все по сигналу со спутника (и оденьте
    > шапочку из фольги)

    Наклейки животворящие с тремя буквами в помощь.

     
  • 3.72, Аноним (-), 22:11, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > оденьте шапочку из фольги4

    Во что её нужно одеть и зачем?

     

  • 1.79, Аноним (-), 12:08, 22/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SHA3 нету - не зачет

    такая хрень нужна как личный пароль. оно при первом включении должно формировать закрытый и открытый ключ - дальше ты можешь придти в какое-то гос учереждение и предоставить всем публично что у тебя как гражданина Иванова ИИ с паспортом таким-то такой-то открытый ключ - и далее используешь эту фигню как логин, как паспорт - для идентификации, для оплаты счетов, для голосования.

    по поводу формфактора - это должно быть устройство подписывающее входящие данные по явному желанию владельца - те наверное должно содержать детектор отпечатка пальца и наверное должно быть контактным с разъемом типа USB.

    какие ваши предложения?

    помню были новости о чем-то подобном размером с обычную кредитку

     
     
  • 2.100, Crazy Alex (ok), 16:10, 23/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Сделать-то можно, вопрос - как убедить/заставить всяких официальных обезьян это принимать.
     

  • 1.87, Аноним (-), 17:01, 22/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для каких целей нужна просто плата CrypTech, я не понял.

    А кто сказал, что это HSM?

    На их сайте про это ни слова. Тема только про "an open-source hardware cryptographic engine" и "There are serious questions about algorithms and about implementations of those algorithms in software and particularly in hardware. "

    Пожалуйста, уберите "HSM" из заголовка.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру