• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Рутокен U2F обход существует?

  • Автор темы Автор темы yky
  • Дата начала Дата начала
  • Теги Теги
    u2f
Сортировать по дате Сортировать по голосам
yky сказал(а):
Сабж в название темы
Нажмите, чтобы раскрыть...
Вопрос достаточно интересный. Если проанализировать весь процесс авторизации, а именно :
1. Веб-браузер отправляет данные (Challenge) и дескриптор ключа
2. Браузер добавляет URI и ID канала TSL и отправляет их на устройство
3. Пользователь подтверждает свое сограсие нажатием на кнопку
4. Используется дескриптор ключа, устройство выбирает закрытый ключ
5. Если все прошло усрешно, то производится подпись от данных клиента плюс значение счетчика
6. Веб-сервис проверяет подпись и значение счетчика
То есть тут не только проблема в подписи файлов закрытым ключом, но и в счетчике. В принципе клонировать устройство можно будет только в промежуток, между отправкой подписанных данных, и отправить свои данные, для перехвата счетчика. Но из самого простого, это физический обход.
 
За 0 Против
yky сказал(а):
Сабж в название темы
Нажмите, чтобы раскрыть...

А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,

joybikey.jpg

и я знаю как обойти ее на гугле, но зачем, образно говоря, выдавать рыбные места :)
 
За 0 Против
viktor plutt сказал(а):
А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,
Нажмите, чтобы раскрыть...
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.
 
За 0 Против
DSec-56B12 сказал(а):
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.
Нажмите, чтобы раскрыть...

Это не ко мне - у меня уже в внуки в школу ходят, так что это вопрос к школе - ТС в курсе :)
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Luxkerr
  • Статья Статья
Статья 10 ошибок безопасности разработчика: как найти и предотвратить уязвимости в коде
Ответы
0
Просмотры
682
Статьи и новости кибербезопасности
Luxkerr
Luxkerr
Luxkerr
  • Статья Статья
News Исследователь нашёл способ отключить Microsoft Defender с помощью фиктивного антивируса
Ответы
0
Просмотры
1 тыс.
Статьи и новости кибербезопасности
Luxkerr
Luxkerr
apache2
  • Статья Статья
Статья Тихий взлом: как проникнуть сквозь щит антивируса
Ответы
4
Просмотры
2 тыс.
Статьи и новости кибербезопасности
☠xrahitel☠
☠xrahitel☠
Triton
  • Вопрос Вопрос
Почему все спрашивают про наступление, но никто не думает про защиту?
Ответы
4
Просмотры
1 тыс.
Вопросы и Ответы по ИБ (Q&A)
fs_
fs_
Верх Низ