http://code.google.com/p/opencryptotoken/

ew. drobne modyfikacje tego projektu.

kontakt:
Tumim@(cyfrą dziesięć)g.pl

do góry

W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:

> http://code.google.com/p/opencryptotoken/

Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego
od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały
keyring czy tylko nasza własna para kluczy?
Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta
jednocześnie?

do góry

W dniu 2010-02-24 18:40, Atlantis pisze:
> W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:
>
>> http://code.google.com/p/opencryptotoken/
>
> Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego
> od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały
> keyring czy tylko nasza własna para kluczy?
> Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta
> jednocześnie?
Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
nawet jak jest zabezpieczony bez wiekszych problemow - takze do
zabezpieczenia cennych danych nie nadaje sie.

Pozdr
AK

do góry

W dniu 2010-02-24 19:14, AK pisze:

> Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
> nawet jak jest zabezpieczony bez wiekszych problemow - takze do
> zabezpieczenia cennych danych nie nadaje sie.

Generalnie to mi chodzi o oddzielenie kluczy od komputerów. Zawsze
zwiększa to bezpieczeństwo o kilka procent - trzymamy swój klucz
prywatny na jednym urządzeniu, a nie na kilku (desktop, dwa laptopy,
tablet). Nie chroni nas to przed zgraniem danych, ale przynajmniej
łatwiej mieć na oku takiego tokena. :)

Chociaż jeśli masz jakieś sugestie odnośnie fabrycznego rozwiązania, które:
a) Byłoby dostępne w Polsce
b) Byłoby dostępne za rozsądne pieniądze - nie chodzi o zabezpieczanie
jakichś biznesowych danych. ;)
c) Miało formę wtyczki USB - im mniejszej i niepozornej, tym lepiej.

do góry

Atlantis wrote:

> W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:
>
>> http://code.google.com/p/opencryptotoken/
>
> Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego
> od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały
> keyring czy tylko nasza własna para kluczy?

To co teraz jest to na razie tylko jeden klucz. Ale moze byc i wiecej.
Problem jest inny. Prawidlowo nasz klucz nie powinien opuscic urzadzenia
czyli trzeba by bylo wygenerowac go wewnatrz. A to na razie nie jest
mozliwe.

> Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta
> jednocześnie?

Tak. tylko nie wiem czy o tym samym rozmawiamy. yubico to klucze otp i
zwykle statyczne. opencrypt token to szyfrowanie danych.

do góry

AK wrote:

> W dniu 2010-02-24 18:40, Atlantis pisze:
>> W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:
>>
>>> http://code.google.com/p/opencryptotoken/
>>
>> Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego
>> od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały
>> keyring czy tylko nasza własna para kluczy?
>> Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta
>> jednocześnie?
> Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
> nawet jak jest zabezpieczony bez wiekszych problemow - takze do
> zabezpieczenia cennych danych nie nadaje sie.

Mysle, ze mowimy o takim systemie. A jesli ktos umie cos zrobic lepiej.

do góry

Atlantis wrote:

> W dniu 2010-02-24 19:14, AK pisze:
>
>> Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
>> nawet jak jest zabezpieczony bez wiekszych problemow - takze do
>> zabezpieczenia cennych danych nie nadaje sie.
>
> Generalnie to mi chodzi o oddzielenie kluczy od komputerów. Zawsze
> zwiększa to bezpieczeństwo o kilka procent - trzymamy swój klucz
> prywatny na jednym urządzeniu, a nie na kilku (desktop, dwa laptopy,
> tablet). Nie chroni nas to przed zgraniem danych, ale przynajmniej
> łatwiej mieć na oku takiego tokena. :)
>
> Chociaż jeśli masz jakieś sugestie odnośnie fabrycznego rozwiązania,
> które: a) Byłoby dostępne w Polsce
> b) Byłoby dostępne za rozsądne pieniądze - nie chodzi o zabezpieczanie
> jakichś biznesowych danych. ;)
> c) Miało formę wtyczki USB - im mniejszej i niepozornej, tym lepiej.

Najlatwiej to po prostu zwykly klucz usb disk i juz. proste szybkie i
wydajne. Ale problemem jest szyfrowanie. Mowimy o szyfrowaniu kluczy ,
autentykacji thunderbirda podpisywaniu poczty i co tam jeszcze szyfruja.

Jest jeszcze jedno wyjscie. Zrobic przejsciowke. Mala zlaczke z dwoma
gniazdami usb lub usb/karta pamieci SD, czy jakas inna. Sa gotowe czytniki
ako klucze usb tylko trzeba to ulepszyc ;)

Szyfrowanie mozna zrobic super bezpieczne. Dowolny algorytm. Jesli jeszcze
potrafilo by to dzialac jako hasla do systemu (klawiatura his
http://www.yubico.com/home/index/ 0 nic wiecej nie trzeba.

Mamy szyfrowanie dowolnego klucza usb/karty i mozemy sie zalogowac do
systemu. Token autentykujacy tez mozemy zrobic. Potrzebny hardware.
Jesli system bylby jakis znany i dobry http://www.sics.se/contiki/ to
programistow, ktorzy by to oprogramowali bedzie na peczki.

Ale zazwyczaj jak ktos umie programowac to nie zna sie na elektronice.

Stad moje pytanie.

do góry

W dniu 2010-02-24 19:14, AK pisze:

>>> http://code.google.com/p/opencryptotoken/

> Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
> nawet jak jest zabezpieczony bez wiekszych problemow - takze do
> zabezpieczenia cennych danych nie nadaje sie.

Z każdego procesora da się wyczytać klucz, niezależnie jak byłby
zabezpieczony. Polecam obejrzenie filmiku z prezentacji z ostatniej
konferencji BlackHat - jeden człowiek w kilka miesięcy złamał całkowicie
zabezpieczenia "bezpiecznego" chipu Infineon (wykorzystywanego w
modułach TPM i np. XBox360): począwszy od ekstrakcji chipu z plastiku,
zdjęciu siatki (mesh), aż po odczytanie całych binariów w postaci
zdeszyfrowanej. Koszt łączny około 20k USD, wymagany dostęp do
mikroskopu elektronowego, działka jonowego (Fusion Ion Beam), gazów
trawiących, precyzyjnych szpilek i oscyloskopu. Zużył na próby
kilkadziesiąt identycznych scalaków (kolejne podejścia, błędy, obejście
czujników oświetlenia w scalaku itp). Na prawdę ciekawa prezentacja, na
końcu pokazał wiele zdjęć "bebechów" z kolejnych etapów rozgryzania.

http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archi
ves.html#Tarnovsky

BTW: Ciekawe kto sponsorował takie "badania". Z racji używanego sprzętu
chyba nie do zrobienia w Polsce. Zresztą i tak trzeba mieć dużo
cierpliwości - samo obchodzenie zabezpieczającej siatki (mesh)
pokrywającej cały scalak zajęło gościowi 2 mc.

--
Adam Dybkowski
http://dybkowski.net/

Uwaga: przed wysłaniem do mnie maila usuń cyfry z adresu.

do góry

Użytkownik Adam Dybkowski napisał:
> W dniu 2010-02-24 19:14, AK pisze:
>
>>>> http://code.google.com/p/opencryptotoken/
>
>> Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac
>> nawet jak jest zabezpieczony bez wiekszych problemow - takze do
>> zabezpieczenia cennych danych nie nadaje sie.
>
> Z każdego procesora da się wyczytać klucz, niezależnie jak byłby
> zabezpieczony. Polecam obejrzenie filmiku z prezentacji z ostatniej
> konferencji BlackHat - jeden człowiek w kilka miesięcy złamał całkowicie
> zabezpieczenia "bezpiecznego" chipu Infineon (wykorzystywanego w
> modułach TPM i np. XBox360): począwszy od ekstrakcji chipu z plastiku,
> zdjęciu siatki (mesh), aż po odczytanie całych binariów w postaci
> zdeszyfrowanej. Koszt łączny około 20k USD, wymagany dostęp do
> mikroskopu elektronowego, działka jonowego (Fusion Ion Beam), gazów
> trawiących, precyzyjnych szpilek i oscyloskopu. Zużył na próby
> kilkadziesiąt identycznych scalaków (kolejne podejścia, błędy, obejście
> czujników oświetlenia w scalaku itp). Na prawdę ciekawa prezentacja, na
> końcu pokazał wiele zdjęć "bebechów" z kolejnych etapów rozgryzania.

Przy odpowiednio skomplikowanych procedurach kryptograficznych zaszytych
w układzie wyciąganie klucza metodą macania z zewnątrz może trwać za
długo - po co nam znajomość tego klucza za tysiąc lat? Ale zawsze można
układ rozdłubać, jeśli nawet jakąś ścieżkę połączenia specjalnie
przepalono żeby się odczytu czegoś nie dało zrobić to można tę ścieżkę
załatać, jak coś maska zakodowano - można przeczytać, kwestia pieniędzy
tylko i jedynie.

Istotne dla oceny bezpieczeństwa jest to czy przez istniejący normalnie
interfejs da się takiego odczytu dokonać.

--
Darek

do góry

Użytkownik ""Dariusz K. Ładziak"" <l...@l...pol.pl> napisał w wiadomości
news:hm76sa$r2t$1@nemesis.news.neostrada.pl...

> Istotne dla oceny bezpieczeństwa jest to czy przez istniejący normalnie
> interfejs da się takiego odczytu dokonać.

Dla oceny bezpieczeństwa istotne jest to jakich nakładów finansowych i ile
czasu wymaga odczytanie klucza w dowolny możliwy sposób.
Wykorzystanie lub nie normalnego interfejsu nie ma nic do rzeczy.
P.G.

do góry