-
Data: 2008-04-07 12:28:46
Temat: Re: ZBP: "(klienci) Powinni w końcu zaczšć ponosić za to odpowiedzialno?ć"
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Jarek Andrzejewski <p...@g...com> writes:
>> To ostatnie jest nierealne, mozna utrudnic takie cos ale do
>> niemozliwosci troche brakuje.
>
> Bez "rozebrania" dongle'a? Mam wrażenie, że wiesz, jak działa karta
> chipowa (kryptograficzna), więc jestem zdziwiony, że sądzisz, że
> podobnie nie może być zabezpieczony dongle.
Nie ma w tym niczego dziwnego, zreszta z karty takze mozna dane
wyciagnac. "Chciec to moc" (no, brakuje jeszcze kilku warunkow).
> Jeśli komputer
> kryptograficzny i klucz prywatny są w "scalaku", to nie ma powodów,
> aby klucz kiedykolwiek go opuścił.
Powody moga byc. Owszem, jest to zdecydowanie trudniejsze niz "zwykle"
oraz karty moga byc calkowicie odporne na niektore typy atakow.
Ale calkowitej pewnosci nie ma - na przeszkodzie stoja ew. bledy w
implementacji, podatnosc na zmiane warunkow otoczenia, i w koncu
po prostu fizyka.
USB dongle moze dodatkowo skladac sie z elementow dyskretnych, wtedy
sprawa staje sie trywialna.
Potrzeba rozebrania urzadzenia nie jest zadna przeszkoda, uzytkownik
nie musi nic zauwazyc - w koncu nie rozpozna kopii od oryginalu.
Moze inaczej: czy mialbys pewnosc, ze klucza nie bedzie w stanie
wyciagnac np. NSA (agencja, nie sąd), jesli by im bardzo zalezalo?
Nie masz pewnosci? I slusznie.
BTW: roznica w mozliwosciach NSA i upartego nastolatka w takim
przypadku moze byc olbrzymia albo bardzo mala.
>> Tak czy owak, korzystna sytuacja jest generowanie klucza przez
>> uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.
>
> nie, znacznie lepsza to taka jak w kartach: generowanie pary kluczy w
> dongle'u.
Nope. To daje tylko gwarancje, ze legalny user nie ma kopii. Ale
dokladnie taka sama gwarancje moze sobie zapewnic po prostu nie
posiadajac kopii :-)
Natomiast reszta to same wady, w szczegolnosci nie znamy pochodzenia
klucza prywatnego (np. jakosci generatora "losowego") - podatnosc na
atak zwiazany ze "zwykla" slaboscia klucza oraz dodatkowo uzaleznienie
od producenta karty/dongla.
To ostatnie przeczy glownemu zalozeniu, ze klucz prywatny ma byc
prywatny i mamy miec tego 100% gwarancje. Jasne ze przy niewielkich
sumach nie ma to znaczenia, ale jesli dysponujemy juz dobrym systemem,
to nie ma sensu go psuc tylko dlatego ze wiele nie ryzykujemy.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 07.04.08 12:58 Adam Płaszczyca
- 07.04.08 13:00 Adam Płaszczyca
- 07.04.08 13:01 Adam Płaszczyca
- 07.04.08 13:11 Rafał \"SP\" Gil
- 07.04.08 13:26 Kamil Jońca
- 07.04.08 13:26 Jacek Osiecki
- 07.04.08 13:56 Krzysztof Halasa
- 07.04.08 14:01 Krzysztof Halasa
- 07.04.08 14:03 Krzysztof Halasa
- 07.04.08 14:34 Krzysztof Halasa
- 07.04.08 14:55 Z
- 07.04.08 20:55 Jacek Osiecki
- 07.04.08 21:51 Krzysztof Halasa
- 08.04.08 06:32 Adam Płaszczyca
- 08.04.08 20:03 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Promocje w żubrze - i reklamacje.
- Kantor spolecznosciowy w banku
- Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- Oszustwa z Blikiem
- scam na bankomat?
- Płatności pasywną obraczką NFC
- a to mi lotto
- pokolenie Z
- złoty słaby
- Okresowa weryfikacja klienta w mBanku
- stopa depozytowa
- Masz konto w Alior Bank? Eksperci ostrzegają
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
Najnowsze wątki
- 2024-06-26 Promocje w żubrze - i reklamacje.
- 2024-06-26 Kantor spolecznosciowy w banku
- 2024-06-24 Rozładowanie karty wirtualnej w mBanku i stan salda rachunku
- 2024-06-21 Oszustwa z Blikiem
- 2024-06-20 scam na bankomat?
- 2024-06-19 Płatności pasywną obraczką NFC
- 2024-06-18 a to mi lotto
- 2024-06-17 pokolenie Z
- 2024-06-13 złoty słaby
- 2024-06-11 Okresowa weryfikacja klienta w mBanku
- 2024-06-10 stopa depozytowa
- 2024-06-06 Masz konto w Alior Bank? Eksperci ostrzegają
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego