szukam osoby, która wykonała by dla mnie urządzenie elektroniczne

W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:

Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały keyring czy tylko nasza własna para kluczy? Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta jednocześnie?

W dniu 2010-02-24 18:40, Atlantis pisze:

Ogolnie to marny ten token - z takiego procesora mozna dane wyczytac nawet jak jest zabezpieczony bez wiekszych problemow - takze do zabezpieczenia cennych danych nie nadaje sie.

Pozdr AK

W dniu 2010-02-24 19:14, AK pisze:

Generalnie to mi chodzi o oddzielenie kluczy od komputerów. Zawsze zwiększa to bezpieczeństwo o kilka procent - trzymamy swój klucz prywatny na jednym urządzeniu, a nie na kilku (desktop, dwa laptopy, tablet). Nie chroni nas to przed zgraniem danych, ale przynajmniej łatwiej mieć na oku takiego tokena. :)

Chociaż jeśli masz jakieś sugestie odnośnie fabrycznego rozwiązania, które: a) Byłoby dostępne w Polsce b) Byłoby dostępne za rozsądne pieniądze - nie chodzi o zabezpieczanie jakichś biznesowych danych. ;) c) Miało formę wtyczki USB - im mniejszej i niepozornej, tym lepiej.

To co teraz jest to na razie tylko jeden klucz. Ale moze byc i wiecej. Problem jest inny. Prawidlowo nasz klucz nie powinien opuscic urzadzenia czyli trzeba by bylo wygenerowac go wewnatrz. A to na razie nie jest mozliwe.

Tak. tylko nie wiem czy o tym samym rozmawiamy. yubico to klucze otp i zwykle statyczne. opencrypt token to szyfrowanie danych.

Mysle, ze mowimy o takim systemie. A jesli ktos umie cos zrobic lepiej.

Najlatwiej to po prostu zwykly klucz usb disk i juz. proste szybkie i wydajne. Ale problemem jest szyfrowanie. Mowimy o szyfrowaniu kluczy , autentykacji thunderbirda podpisywaniu poczty i co tam jeszcze szyfruja.

Jest jeszcze jedno wyjscie. Zrobic przejsciowke. Mala zlaczke z dwoma gniazdami usb lub usb/karta pamieci SD, czy jakas inna. Sa gotowe czytniki ako klucze usb tylko trzeba to ulepszyc ;)

Szyfrowanie mozna zrobic super bezpieczne. Dowolny algorytm. Jesli jeszcze potrafilo by to dzialac jako hasla do systemu (klawiatura his

0 nic wiecej nie trzeba.

Mamy szyfrowanie dowolnego klucza usb/karty i mozemy sie zalogowac do systemu. Token autentykujacy tez mozemy zrobic. Potrzebny hardware. Jesli system bylby jakis znany i dobry

to programistow, ktorzy by to oprogramowali bedzie na peczki.

Ale zazwyczaj jak ktos umie programowac to nie zna sie na elektronice.

Stad moje pytanie.

W dniu 2010-02-24 19:14, AK pisze:

Z każdego procesora da się wyczytać klucz, niezależnie jak byłby zabezpieczony. Polecam obejrzenie filmiku z prezentacji z ostatniej konferencji BlackHat - jeden człowiek w kilka miesięcy złamał całkowicie zabezpieczenia "bezpiecznego" chipu Infineon (wykorzystywanego w modułach TPM i np. XBox360): począwszy od ekstrakcji chipu z plastiku, zdjęciu siatki (mesh), aż po odczytanie całych binariów w postaci zdeszyfrowanej. Koszt łączny około 20k USD, wymagany dostęp do mikroskopu elektronowego, działka jonowego (Fusion Ion Beam), gazów trawiących, precyzyjnych szpilek i oscyloskopu. Zużył na próby kilkadziesiąt identycznych scalaków (kolejne podejścia, błędy, obejście czujników oświetlenia w scalaku itp). Na prawdę ciekawa prezentacja, na końcu pokazał wiele zdjęć "bebechów" z kolejnych etapów rozgryzania.

BTW: Ciekawe kto sponsorował takie "badania". Z racji używanego sprzętu chyba nie do zrobienia w Polsce. Zresztą i tak trzeba mieć dużo cierpliwości - samo obchodzenie zabezpieczającej siatki (mesh) pokrywającej cały scalak zajęło gościowi 2 mc.

Użytkownik Adam Dybkowski napisał:

Przy odpowiednio skomplikowanych procedurach kryptograficznych zaszytych w układzie wyciąganie klucza metodą macania z zewnątrz może trwać za długo - po co nam znajomość tego klucza za tysiąc lat? Ale zawsze można układ rozdłubać, jeśli nawet jakąś ścieżkę połączenia specjalnie przepalono żeby się odczytu czegoś nie dało zrobić to można tę ścieżkę załatać, jak coś maska zakodowano - można przeczytać, kwestia pieniędzy tylko i jedynie.

Istotne dla oceny bezpieczeństwa jest to czy przez istniejący normalnie interfejs da się takiego odczytu dokonać.

Użytkownik ""Dariusz K. Ładziak"" snipped-for-privacy@ladzk.pol.pl> napisał w wiadomości news:hm76sa$r2t$ snipped-for-privacy@nemesis.news.neostrada.pl...

Dla oceny bezpieczeństwa istotne jest to jakich nakładów finansowych i ile czasu wymaga odczytanie klucza w dowolny możliwy sposób. Wykorzystanie lub nie normalnego interfejsu nie ma nic do rzeczy. P.G.

Takie urządzenia nie mają sensu - przynajmniej w tej postaci. Po pierwsze jest Truecrypt i wszelkiej maści programy szyfrujące maile, komunikatory itp. Co nam z tego, że w taki czy inny sposób będziemy trzymać hasła w kluczu. Bez względu czy zaszyfrowane tam są w samym kluczu czy nie. To bez znaczenia, bo i tak muszą na chwilę wylądować w komputerze w jego RAM-ie i z tamtąd mogą być wydobyte trywialnym trojanem, backdoorem. To bez sensu.

Klucz na USB powinien sam szyfrować i deszyfrować w taki sposób żeby żadne klucze nie przedostawały się do komputera, a klucze właściwe były zaszyfrowane w środku hasłem - ale hasłem wpisywanym z zewnętrznej klawiatury w samym kluczu. Cały kłopot takich rozwiązań to to, że albo taki token przesyła klucze do RAM-u komputera albo używa komputera do pobrania hasła żeby się "odbezpieczył na czas wykonywanego zadania. To powinien być taki ARM czy AVR32 w tokenie USB z małą klawiaturką w plastikowej obudowie. Żadne biometryki, bo złapią za łapę i siłą przystawią do czytnika. Jeszcze jest jeden kłopot.

Jak ktoś przejmie kontrole nad komputerem to przechwyci plik przed zaszyfrowaniem lub po odszyfrowaniu. Takie urządzenie powinno być samoistniejące, bez systemu operacyjnego z prostym i jawnym programem wyspecjalizowanym tylko do tego celu. Po to ma być proste żeby nie dało się tam wmontować czegoś podsłuchującego - przezroczysta obudowa i żeby nie dało się dograc softu, a przynajmniej żeby dało się nadpisywać firmware i weryfikować jego integralność w dowolnej chwili. Nie może byc to PDA - bo jest za skomplikowane. To powinien byc jednoukładowiec z klawiaturką i LCD i portem USB.

Dysku tym nie zaszyfrujemy w locie ale jakąś komunikację by się dało zrobić. Może nawet ethernet tam niech będzie ale żadnych więcej wodotrysków.