[makc 190]

серьезная штука. овершут для меня. мне бы попроще.

 

К сожалению, все парольные методы защиты себя не оправдывают, т.к. очень легко вскрываются. Вы и сами это понимаете. Значит в чем-то должен быть элемент сложности, на котором и будет строиться надежность Вашей защиты, иного не дано.

 

Насчет сложности такого решения именно для Вас, мне судить трудно. Но глядя на вышеприведенный сайт и доступные примеры использования этой библиотеки мне кажется, что сложность все-таки не так велика - https://www.wolfssl.com/wolfSSL/Docs-wolfss...-reference.html и листайте до раздела 10.5 Public Key Cryptography. Немножко терпения и фантазии и у Вас все получится.

[jenya7 0]

К сожалению, все парольные методы защиты себя не оправдывают, т.к. очень легко вскрываются. Вы и сами это понимаете. Значит в чем-то должен быть элемент сложности, на котором и будет строиться надежность Вашей защиты, иного не дано.

 

Насчет сложности такого решения именно для Вас, мне судить трудно. Но глядя на вышеприведенный сайт и доступные примеры использования этой библиотеки мне кажется, что сложность все-таки не так велика - https://www.wolfssl.com/wolfSSL/Docs-wolfss...-reference.html и листайте до раздела 10.5 Public Key Cryptography. Немножко терпения и фантазии и у Вас все получится.

спасибо. попробую.

[mantech 33]

серьезная штука. овершут для меня. мне бы попроще.

Поставьте в аппарат RFID считыватель, а хозяину, который все пароль норовит забыть, мастер-карточку, при поднесении которой восстанавливается пароль или позволяет зайти в меню, где можно забить новый пароль..

[stells 8]

Поставьте в аппарат RFID считыватель, а хозяину, который все пароль норовит забыть, мастер-карточку

так он забудет карточку, а злоумышленник воспользуется

[mantech 33]

так он забудет карточку, а злоумышленник воспользуется

Как все запущено

[Denisenko 0]

Объясните недотёпе, как в данном случае криптография с открытым ключом помогает отделить плохих парней от хороших, но забывчивых?

Кстати, сейчас есть специализированные ИМС, которые теоретически позволяют напихать асимметричное крипто практически куда угодно, не вдаваясь глубоко в детали. Наподобие http://www.microchip.com/wwwproducts/en/ATECC508A

Изменено 26 февраля, 2017 пользователем Denisenko

[makc 190]

Объясните недотёпе, как в данном случае криптография с открытым ключом помогает отделить плохих парней от хороших, но забывчивых?

 

Утерянные ключи (сертификаты) включаются в список отзыва, распространяемый по общим каналам. Т.е. если плохой парень спустя время и найдёт потерянный сертификат забывчивого пользователя, то воспользоваться не сможет, т.к. он будет в списке отзыва. Взамен утерянным сертификатам забывчивым пользователям выдаются новые, можно и ограниченным сроком действия (по подписке и т.п.). Кроме того, если хочется совсем защититься, ключи и сертификаты можно хранить на аппаратных носителях типа смарт-карт или USB-токенов, на которых они хранятся в невыгружаемом режиме и с защитой по пин-коду.

 

[stells 8]

Взамен утерянным сертификатам забывчивым пользователям выдаются новые, можно и ограниченным сроком действия (по подписке и т.п.).

кем выдаются? производителем? так ТС вроде не хочет завязывать пользователя на производителя... типа продал и забыл...

а так да, допустим существуют 3 пароля, каждый следующий выдается по запросу и позволяет удалить предыдущий скомпрометированный пароль

[Denisenko 0]

Утерянные ключи (сертификаты) включаются в список отзыва, распространяемый по общим каналам. Т.е. если плохой парень спустя время и найдёт потерянный сертификат забывчивого пользователя, то воспользоваться не сможет, т.к. он будет в списке отзыва. Взамен утерянным сертификатам забывчивым пользователям выдаются новые, можно и ограниченным сроком действия (по подписке и т.п.). Кроме того, если хочется совсем защититься, ключи и сертификаты можно хранить на аппаратных носителях типа смарт-карт или USB-токенов, на которых они хранятся в невыгружаемом режиме и с защитой по пин-коду.

Получается, производитель должен постоянно поддерживать инфраструктуру - выпускать сертификаты, вести список скомпрометированных. А устройство или ПК пользователей каждый раз должны иметь доступ к инету и проверять, не находится ли сертификат в черном списке.

По-моему, аппаратные ключи проще сделать на какой-нибудь "односторонней" функции типа SHA-256...

[k155la3 26]

При покупке прибора (а это однозначно - владелец и лицензированный-честный ползователь)

В комплекте давать карточку с шифрованным ID прибора. (подобие pin-кода в конверте для банковских карт)

При забывании пароля - на e-mail изготовителя отправить этот код, обратно придет

разовый код сброса на default.

Более простой способ - мастер-пароль и рабочий.

Мастер-пароль ложится на бумажке в сейф.

 

 

[VCucumber 0]

любой, у которого нормальная память и который уверен, что нет никакого другого способа взломать девайс.... а хардварный ключ - это ж надо обеспечить его хранение, уникальность и т.д.

есть юсб-токены для шифрования

 

[Denisenko 0]

Сейчас на конференциях по IoT предлагают за недорого людей чипировать - ввести как дополнительную услугу для честных, но забывчивых пользователей.

[mantech 33]

Сейчас на конференциях по IoT предлагают за недорого людей чипировать - ввести как дополнительную услугу для честных, но забывчивых пользователей.

О, отличная штука!! Пойду встану в очередь на очипирование

[Сергей Борщ 119]

предлагают за недорого людей чипировать

То есть паяльник в ж... будет уже неактуален - злоумышленник будет сразу отрезать палец или куда там этот чип вставлен?

 

[halfdoom 0]

Успешно используем такой метод:

 

В приборе имеется генератор 32-х битной последовательности X, можно псевдослучайной, с сидом от серийника. Дополнительно имеются два "шумовых" (Y,Z) генератора случайных чисел. Если необходим доступ в сервисное меню, то выдается одноразовый пароль, согласно следующей процедуре:

 

- прибор генерирует очередной номер X и пару Y,Z;

- перемешивает биты всех чисел известным образом и выдает Base64 от нее на дисплей/терминал оператора;

- оператор высылает ее производителю;

- производитель вычисляет текущий пароль исходя из серийного номера/извлеченного числа Х и отправляет свертку оператору;

- прибор сверяет полученный пароль с ожидаемым;

- после успешного входа устройство генерирует новое значение Х, тем самым делая текущий пароль недействительным.

 

Таким образом получается реализация метода одноразового пароля. Ломать его пытались многие, долго и упорно, но безуспешно. Функции генерации сверток выбирайте самостоятельно, помня, что они определяют устойчивость ко взлому. Порядок получения пароля может показаться сложным, но он себя оправдывает, когда необходим жесткий контроль доступа к некоторым функциям.