fk0, легенда (09.04.2013 14:02, просмотров: 248) ответил Argon на серийный номер предполагается также генерировать с помощью ГПСЧ в режиме обучения. причем не обязательно чтобы он был уникальным - главное чтобы как можно реже повторялся, по сути не серийный номер, а ID.Алгоритм уязвим: 1. Пульт даёт команду... она теряется в эфирных шумах.
1.2. Злоумышленник даёт другую команду.
2. Девайс даёт случайное R.
3. Пульт подписывает R с помощью ключа S (секретного и общего для пульта и девайса).
4. Девайс исполняет...
Нужно:
1. Пульт даёт просто PING.
2. Девайс даёт R.
3. Пульт даёт команду K. Но в эфир передаётся "имитивставка" (MAC) вычисляемая на базе известного S над набором данных R и K, кроме имитовставки передаётся собственно K ещё.
4. Девайс исполняет...
Вариант:
1. Девайс постоянно отсылает разные R (меняет раз в N миллисекунд), но девайс должен игнорировать повторные команды с ранее использованным в команде R, следовательно частота следования команд ограничена.
2. Пульт даёт команду и передаёт в эфир K+MAC(S,R+K).
3. Девайс исполняет.
Вариант (сомнительный, для обсуждения):
1. Каким-то независимым образом синхронизируются часы в пульте (T1) и девайсе (T0).
2. Пульт даёт команду и передаёт K+T+R+MAC(S,K+T+R), где R вычисляется самим пультом (это "соль" ввиду малой разрядности T).
3. Девайс проверяет, что принятое T1 не слишком отличается от T0, если да, то проверяет HMAC и исполняет, если правильный. Заодно подправляется время T0.
Возможно, в последнем варианте есть уязвимости. Он интересен тем, что передача нужна только в одну сторону.
В любом случае при выборе MAC нужно иметь на уметь на уме эту формулу:
Взята она отсюда (http://en.wikipedi …g/wiki/Birthday_attack). Ввиду чего разумная длина R, S и MAC должна быть порядка 50 бит и больше.
Про ГПСЧ сказали. Если для MAC используется хэш-функция, она должна быть необратима, не всякая подойдёт. Либо можно использовать блочный шифр, в wikipedia есть методики как именно. IMHO использование HMAC на базе MD5 хороший вариант (есть RFC на эту тему), несмотря на все прочие ньюансы.
И самое главное. Оно нахуй всё не нужно. Есть "мальчики", студенты и прочие, которые сделают быстро, дёшево и качественно с "секретным алгоритмом". И все это понимают. Потому, что девайс от топора всё равно не защищён, как мне кажется, и грошь цена криптографии. И ещё один аспект. Криптография только усложняет жизнь людям пытающимся сделать дубликат ключа, чтоб не переплачивать over9000 барыгам. Может не стоит?
[ZX]
Взята она отсюда (http://en.wikipedi …g/wiki/Birthday_attack). Ввиду чего разумная длина R, S и MAC должна быть порядка 50 бит и больше.
Про ГПСЧ сказали. Если для MAC используется хэш-функция, она должна быть необратима, не всякая подойдёт. Либо можно использовать блочный шифр, в wikipedia есть методики как именно. IMHO использование HMAC на базе MD5 хороший вариант (есть RFC на эту тему), несмотря на все прочие ньюансы.
И самое главное. Оно нахуй всё не нужно. Есть "мальчики", студенты и прочие, которые сделают быстро, дёшево и качественно с "секретным алгоритмом". И все это понимают. Потому, что девайс от топора всё равно не защищён, как мне кажется, и грошь цена криптографии. И ещё один аспект. Криптография только усложняет жизнь людям пытающимся сделать дубликат ключа, чтоб не переплачивать over9000 барыгам. Может не стоит?-
- В принципе согласен. Переводя на более понятный неспециалисту язык: vmp(1994 знак., 09.04.2013 14:47, ссылка)
- стОит, стОит! не делать же обработку свой-чужой тупо на основе открытого идентификатора пульта! Argon(114 знак., 09.04.2013 14:39)
- Чтоб все не орали R!R!R! нужно в каждый пакет, добавить "MAC-адрес" адресующий конкретный приёмник и раздать разные адреса каждому устройству. Наличие MAC, кстати, решает проблему одновременной работы двух и более пультов (иначе нельзя fk0(31 знак., 09.04.2013 14:46)
- в пинг добавить трансляцию MAC? - Argon(09.04.2013 15:16)
- В любую посылку MAC ("аппаратный адрес") назначения. При приёме если MAC не свой -- как будто не принимал. - fk0(09.04.2013 16:07)
- а разве есть разница передавать MAC девайса или пульта? Девайс знает MAC (или ID) каждого из своих пультов. - Argon(09.04.2013 16:10)
- Передавать MAC того, кому пакет предназначен. Если пульт будет реагировать на MAC девайса, то он будет принимать пакеты от второго пульта в сторону девайса -- а оно нужно? - fk0(09.04.2013 16:52)
- не догоняю... почему бы пульту не передавать свой MAC? на него среагирует только свой девайс, у к-рого, кстати, MACа нет, есть только таблица MACов своих пультов. - Argon(09.04.2013 17:00)
- Я тоже не догоняю, почему некоторые не догоняют, что номера телефонов могут быть не только московские, или часовой пояс тоже не только московский. Пультов может быть более одного. И чтобы корректно работать с ними девайс должен знать кому fk0(103 знак., 10.04.2013 14:13)
- не вижу противоречия. разве было сказано, что один идентификатор на все пульты? и ваабще -> - Argon(10.04.2013 14:17, ссылка)
- Одним девайсом можно управлять девятью тысячами пятиста семидесятью тремя пультами. Так понятней? И на половине из них можно одновременно нажать разные кнопки. - fk0(10.04.2013 16:18)
- нет, не понятнее нифига. девять тысяч пятьсот семьдесят три пульта имеют девять тысяч пятьсот семьдесят три разных идентификатора. девайс знает только два-три из них и соответственно не отвечает на остальные. В чем же еще дело? - Argon(10.04.2013 17:27)
- Хорошо. Имеется 2 пульта. На них одновременно нажали кнопки. Девайс должен ответить на посылки каждого пульта но так, чтобы не свести с ума другой пульт. Неужели не очевидно? - fk0(10.04.2013 17:48)
- что-то ощущение, что говорим о разных вещах :) Argon(580 знак., 10.04.2013 18:53)
- Я выше сказал про московские телефонные номера. Нужно либо кругозор чуть шире, либо абстрактное мышление включать уметь. Есть ещё один ньюанс. Секретный ключ у каждого пульта должен быть свой (и поэтому пульты тоже нужно отличать). Иначе fk0(793 знак., 10.04.2013 19:22)
- точно, о разном говорим. или хоть бы кто вклинился, объяснил другими словами что хочешь донести. Argon(259 знак., 10.04.2013 19:45 - 19:48)
- Я выше сказал про московские телефонные номера. Нужно либо кругозор чуть шире, либо абстрактное мышление включать уметь. Есть ещё один ньюанс. Секретный ключ у каждого пульта должен быть свой (и поэтому пульты тоже нужно отличать). Иначе fk0(793 знак., 10.04.2013 19:22)
- что-то ощущение, что говорим о разных вещах :) Argon(580 знак., 10.04.2013 18:53)
- Хорошо. Имеется 2 пульта. На них одновременно нажали кнопки. Девайс должен ответить на посылки каждого пульта но так, чтобы не свести с ума другой пульт. Неужели не очевидно? - fk0(10.04.2013 17:48)
- нет, не понятнее нифига. девять тысяч пятьсот семьдесят три пульта имеют девять тысяч пятьсот семьдесят три разных идентификатора. девайс знает только два-три из них и соответственно не отвечает на остальные. В чем же еще дело? - Argon(10.04.2013 17:27)
- Одним девайсом можно управлять девятью тысячами пятиста семидесятью тремя пультами. Так понятней? И на половине из них можно одновременно нажать разные кнопки. - fk0(10.04.2013 16:18)
- не вижу противоречия. разве было сказано, что один идентификатор на все пульты? и ваабще -> - Argon(10.04.2013 14:17, ссылка)
- аа, все просто: принадлежность MAC это всего лишь условность. девайс и пульт хранят один и тот же MAC, к-рый передается пультом при пинге. - Argon(09.04.2013 18:29)
- Я тоже не догоняю, почему некоторые не догоняют, что номера телефонов могут быть не только московские, или часовой пояс тоже не только московский. Пультов может быть более одного. И чтобы корректно работать с ними девайс должен знать кому fk0(103 знак., 10.04.2013 14:13)
- не догоняю... почему бы пульту не передавать свой MAC? на него среагирует только свой девайс, у к-рого, кстати, MACа нет, есть только таблица MACов своих пультов. - Argon(09.04.2013 17:00)
- Передавать MAC того, кому пакет предназначен. Если пульт будет реагировать на MAC девайса, то он будет принимать пакеты от второго пульта в сторону девайса -- а оно нужно? - fk0(09.04.2013 16:52)
- а разве есть разница передавать MAC девайса или пульта? Девайс знает MAC (или ID) каждого из своих пультов. - Argon(09.04.2013 16:10)
- В любую посылку MAC ("аппаратный адрес") назначения. При приёме если MAC не свой -- как будто не принимал. - fk0(09.04.2013 16:07)
- А криптография ещё порождает проблему изначальной раздачи ключей S. Где гарантия, что особо умные их на производстве в тетрадку не переписывают? Ибо перебрать 48 бит ключа или перебрать 10000 известных ключей -- две большие разницы, последнее fk0(101 знак., 09.04.2013 14:47)
- Проблему изначальной раздачи ключей можно решить техническими методами, но в данном случае не того уровня девайс. - Argon(09.04.2013 15:23)
- Не так-то просто её решить. Alex B тут на diffie hellman ссылался. Не самое плохое решение на мой взгляд. Даже больше. Другого адекватного и применимого к МК я вообще не вижу. Всё упирается в ассиметричные алгоритмы криптографии трудно реализуемые fk0(99 знак., 09.04.2013 16:08)
- При наличии в устройстве серийного номера (в ПЗУ, как у STM32 или во флеше в процессе производства) задача вполне решаемая. - vmp(09.04.2013 16:11)
- Каким именно образом она решаемая, при наличии серийника? - fk0(09.04.2013 16:53)
- Например, генерацией индивидуальных ключей устройства путем шифрования серийного номера на мастер-ключе. Мастер-ключ сидит только в ПО генерации индивидуальных зашивок перед программированием устройства. Безопасность мастер-ключа и исходного файла vmp(35 знак., 09.04.2013 17:01)
- реализуется оргмерами == не реализуется вообще. я выше писал, что в таком случае криптография не нужна и достаточно "секретного алгоритма". - fk0(10.04.2013 13:47)
- Речь идет об оргмерах на одном отдельном рабочем месте про зашивке устройств. Это вполне выполнимая задача. - vmp(10.04.2013 16:09)
- реализуется оргмерами == не реализуется вообще. я выше писал, что в таком случае криптография не нужна и достаточно "секретного алгоритма". - fk0(10.04.2013 13:47)
- Например, генерацией индивидуальных ключей устройства путем шифрования серийного номера на мастер-ключе. Мастер-ключ сидит только в ПО генерации индивидуальных зашивок перед программированием устройства. Безопасность мастер-ключа и исходного файла vmp(35 знак., 09.04.2013 17:01)
- Каким именно образом она решаемая, при наличии серийника? - fk0(09.04.2013 16:53)
- При наличии в устройстве серийного номера (в ПЗУ, как у STM32 или во флеше в процессе производства) задача вполне решаемая. - vmp(09.04.2013 16:11)
- Не так-то просто её решить. Alex B тут на diffie hellman ссылался. Не самое плохое решение на мой взгляд. Даже больше. Другого адекватного и применимого к МК я вообще не вижу. Всё упирается в ассиметричные алгоритмы криптографии трудно реализуемые fk0(99 знак., 09.04.2013 16:08)
- Проблему изначальной раздачи ключей можно решить техническими методами, но в данном случае не того уровня девайс. - Argon(09.04.2013 15:23)
- в пинг добавить трансляцию MAC? - Argon(09.04.2013 15:16)
- Чтоб все не орали R!R!R! нужно в каждый пакет, добавить "MAC-адрес" адресующий конкретный приёмник и раздать разные адреса каждому устройству. Наличие MAC, кстати, решает проблему одновременной работы двух и более пультов (иначе нельзя fk0(31 знак., 09.04.2013 14:46)