-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
DSec-56B12
Well-known member
Вопрос достаточно интересный. Если проанализировать весь процесс авторизации, а именно :
1. Веб-браузер отправляет данные (Challenge) и дескриптор ключа
2. Браузер добавляет URI и ID канала TSL и отправляет их на устройство
3. Пользователь подтверждает свое сограсие нажатием на кнопку
4. Используется дескриптор ключа, устройство выбирает закрытый ключ
5. Если все прошло усрешно, то производится подпись от данных клиента плюс значение счетчика
6. Веб-сервис проверяет подпись и значение счетчика
То есть тут не только проблема в подписи файлов закрытым ключом, но и в счетчике. В принципе клонировать устройство можно будет только в промежуток, между отправкой подписанных данных, и отправить свои данные, для перехвата счетчика. Но из самого простого, это физический обход.
viktor plutt
Заблокирован
А смысл вопроса. Если у ТС есть юбикей, то понятно, что он может беспокаотся за свои данные, а в другом случае просто подрочить мозги, чтобы извилины не выпрялись? Вот у меня есть вот такая хрень,
и я знаю как обойти ее на гугле, но зачем, образно говоря, выдавать рыбные места
viktor plutt
Заблокирован
ХА-ха! посмотрим что местные авторитеты напукают по этому вопросу
Я ведь могу проверить гениальные мысли на предмет правдивости.
DSec-56B12
Well-known member
А как реализовали на U2F размещение закрытого ключа? В тех же КриптоПРО CSP и обычных Рутокен ЭЦП, они размещали в криптоконтейнере, который можно было извлечь.
viktor plutt
Заблокирован
Это не ко мне - у меня уже в внуки в школу ходят, так что это вопрос к школе - ТС в курсе
Обучение наступательной кибербезопасности в игровой форме. Начать игру!