Elektronický klíč se snadnou možností destrukce ?
Jan Waclawek
wek@evona.sk
Pondělí Březen 13 10:41:43 CET 2006
Velmi pekny exemplar komplikovanej chronickej paranoie :-)))
Mozem zopar poznamok?
Thomas Shaddack wrote:
> Na urovni cipu samotneho nemame sanci s nasim rozpoctem neceho
> vyznamnejsiho dosahnout. Pouzijme tedy reseni jiz aplikovana v jinych
> podobnych kontextech, tedy cipy pro smart karty. Na prvni pohled takovy
> Atmel AT90SC6464C-USB vypada zajimave, s hardwarovou podporou pro RSA,
> AES, a SHA256, hardwarovym generatorem nahodnych cisel, a interfacem pro
> USB.
Toto pochopitelne nie je absolutne nevyhnutna poziadavka; vo vacsine
pripadov sa RSA, AES atd. da pocitat softwarovo a nie je nejaka
restriktivna poziadavka na rychlost; ale ak su "poruke", je kazdopadne
ich dobre pouzit.
Tieto "secure" chipy maju vyhodu, ze su na nich niekedy urobene pokusy o
zamedzenie napadnutia aspon tymi beznymi metodami; je otazne, nakolko to
odola "chlapikom s mikroskopmi" - priamo by som v ramci paranoie
predpokladal, ze takito maju preklepnute prednostne tieto cipy a maju
pre ne uz predzute riesenie, takze nakoniec ta vyhoda ani nie je
bohvieakou vyhodou; ale protivnikovi sa treba snazit stazit pracu
kombinaciou vsetkych dostupnych metod.
Akurat ta dostupnost, no, akosi som ich v GMku nevidel...
> Dalsi uroven zalezi na ulozeni citlivych dat v RAM. Jelikoz data maji
> urcitou trvanlivost i po vypnuti, je treba je v pameti obcas presoupavat
> sem a tam. Jelikoz klic potrebujeme relativne maly (napr. 256 bitu), a
> pameti mame spoustu, muzeme pouzit kombinace n bytu v pameti a pocitat z
> nich treba paritu, a postupne je v nahodnem poradi prehazovat nebo XORovat
> mezi sebou. Zde je treba dat pozor na to, aby prislusne operace byly pokud
> mozno co nejpodobnejsi mezi sebou z hlediska odberu proudu, nezavisle na
> obsahu pametovych bunek; tim zabranime tomu, aby se obsah paneti dal
> neprimo odvodit z elektromagnetickych emisi cipu nebo z jeho odberu
> proudu. Jelikoz cip musi tohle provozovat nonstop, spolu s par dalsimi
> vecmi, takze modul musi obsahovat vlastni napajeni, nejlepe lithiovou
> baterii.
>
Kedze baterka je/musi z principu byt vo vnutri "nedobytneho" puzdra,
meranie prudu je irelevantne. Dekodovanie z elektromagnetickych emisii
je v pripade zapuzdrenia (t.j. cip je dostatocne daleko od povrchu)
prakticky nemozne aj v pripade znameho algoritmu (ak nema nejaku fakt
brutalnu chybu); mysliet na to sa vsak samozrejme moze, ale nepokladal
by som to za prilis dolezitu poziadavku.
> Klic vcetne zdroje musi byt zality do pryskyrice. Mel by byt schopny
> detekovat pokus o naruseni pryskyrice, napr. pokus o odbrouseni nebo
> odleptani; napajeni mezi baterii a procesorem by se treba dalo vest
> tenkymi draty mnohonasobne omotanymi kolem jednotky predtim nez se tato
> zalije do nepruhledne pryskyrice.
Mno, ja vo vseobecnosti doporucujem beton s nahadzanymi odistenymi
rucnymi granatmi :-)))
Drot samotny pri odleptani samozrejme ostane neporuseny, ak ostane
neporuseny aj cip... :-) Ale merat z cipu by sa dalo kadeco.
>
> Tamper-resistant moduly se delaji i tak, ze se pouzije hermeticke pouzdro
> pod tlakem naplnene dusikem, a ztrata tlaku uvnitr se vyhodnoti jako
> otevreni pouzdra.
To je tiez zaujimava myslienka, pekna do filmu ale v praxi asi uplne
nepouzitelna... Dobre pre ten Level2, t.j. tamper-evidence, alebo pre
sejf ci nieco podobne; "nasu krabicku" by som otvaral pochopitelne v
pretlakovej komore (unik o detailoch konstrukcie nejde vylucit; navyse
ocividne hermeticky uzavreta nadoba minimalne vzbudi pozornost).
>
> Likvidaci klice mozno provest dale i "na zadost", napr. stiskem tlacitka
> destrukce. Procesor pak zapomene svoji RAM a premaze ji nahodnymi cisly.
Toto je klucova poziadavka; mozno by sa mal vyzadovat nejaky doubleclick
aby sa vylucila nahodna "aktivacia" a mozno by sa mohlo indikovat
uskutocnenie "destrukcie" kvoli "pohode" uzivatela.
>
> Dalsi moznost zahrnuje primou termalni likvidaci cipu.
Toto znie hrozne lakavo ale mne sa nijako nechce verit ze je to
priechodzie. Nie som expert ale mam obavy, ze to nejde rozumne spravit
bez rizika poskodenia "uzivatela". Urcite to nebude male a nenapadne.
Tiez to vylucuje prenosnost lietadlom apod.
>
> Napad s pouzitim zlomitelneho mini-CD by mohl byt pouzitelny tez. Ovsem
> jako klic je nutne pouzit nejaky dlouhy soubor, ze ktereho pak kratsi klic
> ziskame jako jeho hash. Pri ztrate dostatecneho mnozstvi bitu souboru,
> napr. toho co bylo v miste zlomu, pokud toto nebude zachraneno pomoci
> error-correcting mechanismu media, pak nedojde k vyznamnejsimu oslabeni
> klice ani pri zachrane zbytku souboru.
Mno ale to si vyzaduje dokladne skumanie. IMHO tie ciste elektronicke
riesenia uz skumane su a su aj pomerne verejne zname vysledky.
> Zadavani PINu je vhodne resit na modulu samotnem, cimz se omezi moznost
> oslabeni systemu pomoci infikovani host pocitace keyloggerem a ziskani
> PIN. Pozor na odposlechnuti cvakani klaves nebo na pinhole videokamery.
> Vzhledem k urovni protivnika pozor i na elektromagneticke emise.
Hehe, technologicky pokrocila paranoia... Znova kvoli rozmerom tam
klavesnicu ci cokolvek ine nedostanete a uzivatel bude tazko ochotny
zadavat PIN pomocou morzeovky na jednom tlacitku... Nie nie tadialto
cesta nevedie.
>
> Vzhledem k hardwarem akcelerovanym sifrovacim algoritmum muze modul i
> slouzit jako externi sifrovaci system pocitace; pak klice v nem ulozene
> nebo vygenerovane nemusi v plaintextove forme vubec modul opustit.
To mozno ano, ale v ramci stazovania ulohy treba mat hesla vsade, aj v
kluci, aj mimo. Tento druh paranoie sa dosiahne lahko, bezbolestne,
nikomu nevadi (akurat si tie kompy trocha zarataju no ale na to su), a
je to lacne a pritom pomerne ucinne. Ak "chlapci s mikroskopom" zistia,
ze kluc sice lahko vylusknu do hodiny ale potrebuju ich taku tisicku,
tak ich to minimalne nastve.
> Netusim jak tu biometriku udelat spolehlive. Nejsem si jisty jestli to uz
> je dostatecne zrala technologie.
Nie je a nikdy ani nebude. To vsetko sa da prilis lahko oklamat a vzdy
to tak bude (je taky film kde si borec z "nizsej kasty" dava
krv/moc/vlasy atd. chlapa z "vyssej kasty" aby sfalsoval identitu, lebo
bezne tam pouzivaju identifikaciu DNA).
Ale ako "dalsi faktor" je to dobre aj tak ako to je.
> Detaily budou zalezet na konkretni aplikaci.
Hehe no to celkom urcite.
Tak sme sa pri pondelku pobavili... :-)
wek
Další informace o konferenci Hw-list