• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Рутокен U2F обход существует?

DSec-56B12

Well-known member
02.03.2020
71
264
BIT
1
Сабж в название темы
Вопрос достаточно интересный. Если проанализировать весь процесс авторизации, а именно :
1. Веб-браузер отправляет данные (Challenge) и дескриптор ключа
2. Браузер добавляет URI и ID канала TSL и отправляет их на устройство
3. Пользователь подтверждает свое сограсие нажатием на кнопку
4. Используется дескриптор ключа, устройство выбирает закрытый ключ
5. Если все прошло усрешно, то производится подпись от данных клиента плюс значение счетчика
6. Веб-сервис проверяет подпись и значение счетчика
То есть тут не только проблема в подписи файлов закрытым ключом, но и в счетчике. В принципе клонировать устройство можно будет только в промежуток, между отправкой подписанных данных, и отправить свои данные, для перехвата счетчика. Но из самого простого, это физический обход.
 

viktor plutt

Заблокирован
13.03.2020
17
3
BIT
0
Сабж в название темы

А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,

joybikey.jpg

и я знаю как обойти ее на гугле, но зачем, образно говоря, выдавать рыбные места :)
 

DSec-56B12

Well-known member
02.03.2020
71
264
BIT
1
А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.
 

viktor plutt

Заблокирован
13.03.2020
17
3
BIT
0
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.

Это не ко мне - у меня уже в внуки в школу ходят, так что это вопрос к школе - ТС в курсе :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!