Szukam specjalisty do stworzenia lub modyfikacji urządzenia na bazie OpenCryptoToken

Wed Feb 24, 2010 5:14 pm   

http://code.google.com/p/opencryptotoken/

ew. drobne modyfikacje tego projektu.

kontakt:
Tumim@(cyfrą dziesięć)g.pl

Wed Feb 24, 2010 6:40 pm   

W dniu 2010-02-24 17:14, Lucjan J.A. Tumim pisze:


Hmm... Nadawałoby się to do trzymania kluczy GPG? Szukam czegoś takiego
od dłuższego czasu... Jak to właściwie działa? Mieści się tam cały
keyring czy tylko nasza własna para kluczy?
Ewentualnie można jednego urządzenia używać do GPG i TrueCrypta
jednocześnie?

Wed Feb 24, 2010 7:14 pm   

W dniu 2010-02-24 18:40, Atlantis pisze:

nawet jak jest zabezpieczony bez wiekszych problemow - takze do
zabezpieczenia cennych danych nie nadaje sie.

Pozdr
AK

Wed Feb 24, 2010 7:38 pm   

W dniu 2010-02-24 19:14, AK pisze:


Generalnie to mi chodzi o oddzielenie kluczy od komputerów. Zawsze
zwiększa to bezpieczeństwo o kilka procent - trzymamy swój klucz
prywatny na jednym urządzeniu, a nie na kilku (desktop, dwa laptopy,
tablet). Nie chroni nas to przed zgraniem danych, ale przynajmniej
łatwiej mieć na oku takiego tokena. :)

Chociaż jeśli masz jakieś sugestie odnośnie fabrycznego rozwiązania, które:
a) Byłoby dostępne w Polsce
b) Byłoby dostępne za rozsądne pieniądze - nie chodzi o zabezpieczanie
jakichś biznesowych danych.
c) Miało formę wtyczki USB - im mniejszej i niepozornej, tym lepiej.

Wed Feb 24, 2010 8:02 pm   

Atlantis wrote:


To co teraz jest to na razie tylko jeden klucz. Ale moze byc i wiecej.
Problem jest inny. Prawidlowo nasz klucz nie powinien opuscic urzadzenia
czyli trzeba by bylo wygenerowac go wewnatrz. A to na razie nie jest
mozliwe.


Tak. tylko nie wiem czy o tym samym rozmawiamy. yubico to klucze otp i
zwykle statyczne. opencrypt token to szyfrowanie danych.

Wed Feb 24, 2010 8:03 pm   

AK wrote:


Mysle, ze mowimy o takim systemie. A jesli ktos umie cos zrobic lepiej.

Wed Feb 24, 2010 8:11 pm   

Atlantis wrote:


Najlatwiej to po prostu zwykly klucz usb disk i juz. proste szybkie i
wydajne. Ale problemem jest szyfrowanie. Mowimy o szyfrowaniu kluczy ,
autentykacji thunderbirda podpisywaniu poczty i co tam jeszcze szyfruja.

Jest jeszcze jedno wyjscie. Zrobic przejsciowke. Mala zlaczke z dwoma
gniazdami usb lub usb/karta pamieci SD, czy jakas inna. Sa gotowe czytniki
ako klucze usb tylko trzeba to ulepszyc ;)

Szyfrowanie mozna zrobic super bezpieczne. Dowolny algorytm. Jesli jeszcze
potrafilo by to dzialac jako hasla do systemu (klawiatura his
http://www.yubico.com/home/index/ 0 nic wiecej nie trzeba.

Mamy szyfrowanie dowolnego klucza usb/karty i mozemy sie zalogowac do
systemu. Token autentykujacy tez mozemy zrobic. Potrzebny hardware.
Jesli system bylby jakis znany i dobry http://www.sics.se/contiki/ to
programistow, ktorzy by to oprogramowali bedzie na peczki.

Ale zazwyczaj jak ktos umie programowac to nie zna sie na elektronice.

Stad moje pytanie.

Thu Feb 25, 2010 10:50 am   

W dniu 2010-02-24 19:14, AK pisze:


Z każdego procesora da się wyczytać klucz, niezależnie jak byłby
zabezpieczony. Polecam obejrzenie filmiku z prezentacji z ostatniej
konferencji BlackHat - jeden człowiek w kilka miesięcy złamał całkowicie
zabezpieczenia "bezpiecznego" chipu Infineon (wykorzystywanego w
modułach TPM i np. XBox360): począwszy od ekstrakcji chipu z plastiku,
zdjęciu siatki (mesh), aż po odczytanie całych binariów w postaci
zdeszyfrowanej. Koszt łączny około 20k USD, wymagany dostęp do
mikroskopu elektronowego, działka jonowego (Fusion Ion Beam), gazów
trawiących, precyzyjnych szpilek i oscyloskopu. Zużył na próby
kilkadziesiąt identycznych scalaków (kolejne podejścia, błędy, obejście
czujników oświetlenia w scalaku itp). Na prawdę ciekawa prezentacja, na
końcu pokazał wiele zdjęć "bebechów" z kolejnych etapów rozgryzania.

http://www.blackhat.com/html/bh-dc-10/bh-dc-10-archives.html#Tarnovsky

BTW: Ciekawe kto sponsorował takie "badania". Z racji używanego sprzętu
chyba nie do zrobienia w Polsce. Zresztą i tak trzeba mieć dużo
cierpliwości - samo obchodzenie zabezpieczającej siatki (mesh)
pokrywającej cały scalak zajęło gościowi 2 mc.

--
Adam Dybkowski
http://dybkowski.net/

Uwaga: przed wysłaniem do mnie maila usuń cyfry z adresu.

Fri Feb 26, 2010 1:55 am   

Użytkownik Adam Dybkowski napisał:

Przy odpowiednio skomplikowanych procedurach kryptograficznych zaszytych
w układzie wyciąganie klucza metodą macania z zewnątrz może trwać za
długo - po co nam znajomość tego klucza za tysiąc lat? Ale zawsze można
układ rozdłubać, jeśli nawet jakąś ścieżkę połączenia specjalnie
przepalono żeby się odczytu czegoś nie dało zrobić to można tę ścieżkę
załatać, jak coś maska zakodowano - można przeczytać, kwestia pieniędzy
tylko i jedynie.

Istotne dla oceny bezpieczeństwa jest to czy przez istniejący normalnie
interfejs da się takiego odczytu dokonać.

--
Darek

Fri Feb 26, 2010 10:07 am   

Użytkownik ""Dariusz K. Ładziak"" <ladzk@ladzk.pol.pl> napisał w wiadomości
news:hm76sa$r2t$1@nemesis.news.neostrada.pl...


Dla oceny bezpieczeństwa istotne jest to jakich nakładów finansowych i ile
czasu wymaga odczytanie klucza w dowolny możliwy sposób.
Wykorzystanie lub nie normalnego interfejsu nie ma nic do rzeczy.
P.G.

Fri Feb 26, 2010 5:08 pm   

"Piotr Gałka" <piotr.galka@CUTTHISmicromade.pl> wrote in message
news:4b879448$1@news.home.net.pl...

Takie urządzenia nie mają sensu - przynajmniej w tej postaci.
Po pierwsze jest Truecrypt i wszelkiej maści programy szyfrujące maile,
komunikatory itp. Co nam z tego, że w taki czy inny sposób będziemy trzymać
hasła w kluczu. Bez względu czy zaszyfrowane tam są w samym kluczu czy nie.
To bez znaczenia, bo i tak muszą na chwilę wylądować w komputerze w jego
RAM-ie i z tamtąd mogą być wydobyte trywialnym trojanem, backdoorem.
To bez sensu.

Klucz na USB powinien sam szyfrować i deszyfrować w taki sposób żeby żadne
klucze nie przedostawały się do komputera, a klucze właściwe były
zaszyfrowane w środku hasłem - ale hasłem wpisywanym z zewnętrznej
klawiatury w samym kluczu.
Cały kłopot takich rozwiązań to to, że albo taki token przesyła klucze do
RAM-u komputera albo używa komputera do pobrania hasła żeby się
"odbezpieczył na czas wykonywanego zadania.
To powinien być taki ARM czy AVR32 w tokenie USB z małą klawiaturką w
plastikowej obudowie. Żadne biometryki, bo złapią za łapę i siłą przystawią
do czytnika.
Jeszcze jest jeden kłopot.

Jak ktoś przejmie kontrole nad komputerem to przechwyci plik przed
zaszyfrowaniem lub po odszyfrowaniu. Takie urządzenie powinno być
samoistniejące, bez systemu operacyjnego z prostym i jawnym programem
wyspecjalizowanym tylko do tego celu. Po to ma być proste żeby nie dało się
tam wmontować czegoś podsłuchującego - przezroczysta obudowa i żeby nie dało
się dograc softu, a przynajmniej żeby dało się nadpisywać firmware i
weryfikować jego integralność w dowolnej chwili.
Nie może byc to PDA - bo jest za skomplikowane. To powinien byc
jednoukładowiec z klawiaturką i LCD i portem USB.

Dysku tym nie zaszyfrujemy w locie ale jakąś komunikację by się dało zrobić.
Może nawet ethernet tam niech będzie ale żadnych więcej wodotrysków.