eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiZBP: "(klienci) Powinni w końcu zacząć ponosić za to odpowiedzialność"Re: ZBP: "(klienci) Powinni w końcu zaczšć ponosić za to odpowiedzialno?ć"
« poprzedni post
następny post »
  • Data: 2008-04-07 12:28:46
    Temat: Re: ZBP: "(klienci) Powinni w końcu zaczšć ponosić za to odpowiedzialno?ć"
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Jarek Andrzejewski <p...@g...com> writes:

    >> To ostatnie jest nierealne, mozna utrudnic takie cos ale do
    >> niemozliwosci troche brakuje.
    >
    > Bez "rozebrania" dongle'a? Mam wrażenie, że wiesz, jak działa karta
    > chipowa (kryptograficzna), więc jestem zdziwiony, że sądzisz, że
    > podobnie nie może być zabezpieczony dongle.

    Nie ma w tym niczego dziwnego, zreszta z karty takze mozna dane
    wyciagnac. "Chciec to moc" (no, brakuje jeszcze kilku warunkow).

    > Jeśli komputer
    > kryptograficzny i klucz prywatny są w "scalaku", to nie ma powodów,
    > aby klucz kiedykolwiek go opuścił.

    Powody moga byc. Owszem, jest to zdecydowanie trudniejsze niz "zwykle"
    oraz karty moga byc calkowicie odporne na niektore typy atakow.
    Ale calkowitej pewnosci nie ma - na przeszkodzie stoja ew. bledy w
    implementacji, podatnosc na zmiane warunkow otoczenia, i w koncu
    po prostu fizyka.

    USB dongle moze dodatkowo skladac sie z elementow dyskretnych, wtedy
    sprawa staje sie trywialna.

    Potrzeba rozebrania urzadzenia nie jest zadna przeszkoda, uzytkownik
    nie musi nic zauwazyc - w koncu nie rozpozna kopii od oryginalu.


    Moze inaczej: czy mialbys pewnosc, ze klucza nie bedzie w stanie
    wyciagnac np. NSA (agencja, nie sąd), jesli by im bardzo zalezalo?
    Nie masz pewnosci? I slusznie.

    BTW: roznica w mozliwosciach NSA i upartego nastolatka w takim
    przypadku moze byc olbrzymia albo bardzo mala.

    >> Tak czy owak, korzystna sytuacja jest generowanie klucza przez
    >> uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.
    >
    > nie, znacznie lepsza to taka jak w kartach: generowanie pary kluczy w
    > dongle'u.

    Nope. To daje tylko gwarancje, ze legalny user nie ma kopii. Ale
    dokladnie taka sama gwarancje moze sobie zapewnic po prostu nie
    posiadajac kopii :-)

    Natomiast reszta to same wady, w szczegolnosci nie znamy pochodzenia
    klucza prywatnego (np. jakosci generatora "losowego") - podatnosc na
    atak zwiazany ze "zwykla" slaboscia klucza oraz dodatkowo uzaleznienie
    od producenta karty/dongla.

    To ostatnie przeczy glownemu zalozeniu, ze klucz prywatny ma byc
    prywatny i mamy miec tego 100% gwarancje. Jasne ze przy niewielkich
    sumach nie ma to znaczenia, ale jesli dysponujemy juz dobrym systemem,
    to nie ma sensu go psuc tylko dlatego ze wiele nie ryzykujemy.
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy