DSec-56B12
Well-known member
- 02.03.2020
- 71
- 271
Вопрос достаточно интересный. Если проанализировать весь процесс авторизации, а именно :
1. Веб-браузер отправляет данные (Challenge) и дескриптор ключа
2. Браузер добавляет URI и ID канала TSL и отправляет их на устройство
3. Пользователь подтверждает свое сограсие нажатием на кнопку
4. Используется дескриптор ключа, устройство выбирает закрытый ключ
5. Если все прошло усрешно, то производится подпись от данных клиента плюс значение счетчика
6. Веб-сервис проверяет подпись и значение счетчика
То есть тут не только проблема в подписи файлов закрытым ключом, но и в счетчике. В принципе клонировать устройство можно будет только в промежуток, между отправкой подписанных данных, и отправить свои данные, для перехвата счетчика. Но из самого простого, это физический обход.
viktor plutt
Заблокирован
- 13.03.2020
- 17
- 2
А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,
и я знаю как обойти ее на гугле, но зачем, образно говоря, выдавать рыбные места
viktor plutt
Заблокирован
- 13.03.2020
- 17
- 2
ХА-ха! посмотрим что местные авторитеты напукают по этому вопросу
Я ведь могу проверить гениальные мысли на предмет правдивости.
DSec-56B12
Well-known member
- 02.03.2020
- 71
- 271
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.
viktor plutt
Заблокирован
- 13.03.2020
- 17
- 2
Это не ко мне - у меня уже в внуки в школу ходят, так что это вопрос к школе - ТС в курсе
Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab
Похожие темы
- Статья
- Статья
- Статья
