Elektronicke autorizace zarizeni - algoritmy

Pondělí Září 25 16:28:44 CEST 2017

Zapomněl jsem dodat jednu důležitou věc, celé zařízení nemá běžný přístup k
síti, v podstatě jde o měřící ústřednu ke které se připojují čidla a nejde
v něm skladovat databáze už vydaných klíčů, protože zákazník si může koupit
nové originální čidla a nikdo nebude do ústředny kvůli tomu nahrávat
aktualizace.
Takže ano, každé čidlo může mít své jedinečné výrobní číslo a šlo by poslat
z ústředny xxx bajtů, které čidlo zašifruje a pošle zpátky, dle toho by se
poznalo zde se jedná o originál.
Otázka je, kolik těch bytů by minimálně muselo být, aby útok hrubou silou
nebyl možný, tím myslím, že by jako někdo zjistil všechny možné kombinace.
Nějaké časové ošetření asi také nepůjde udělat, protože by šlo poslat
dotaz, přečíst odpověď a udělat reset a zas dokola, jesme tomu do 50ms
jeden cyklus. Ono nejde ani tak o to, že si někdo čidla kopíruje, ale ta
kopie nemá vlastnosti originálu a zákazník pak reklamuje špatnou funkci u
výrobce originálu i když ten s tím čidlem nemá nic společného.
K.

2017-09-25 15:10 GMT+02:00 Zuffa Jan <ZuffaJ na cgc.sk>:

> A este doplnim:
>
> Ak si budete drzat databazu privatnych klucov u seba a viete skotrolovat
>
> duplikovane zariadenia v sieti, jedine co bude moct attaker urobit je, ze
> nahradi
>
> uz dodane zariadenie svojim. Kluce by mali byt samozrejme generovane
> nahodne
>
> a dostatocne velke aby sa nedali uhadnut.
>
>
>
> j.
>
>
>
> *From:* Hw-list [mailto:hw-list-bounces na list.hw.cz] *On Behalf Of *Zuffa
> Jan
> *Sent:* Monday, September 25, 2017 3:07 PM
> *To:* HW-news
> *Subject:* RE: Elektronicke autorizace zarizeni - algoritmy
>
>
>
> Dobry den,
>
>
>
> Okremtoho, ze pouzijete nejaky chalenge – response algoritmus, minimalne
> by bolo vhode zabezpecit
>
> aby kazde zo zariadeni malo svoj privatny kluc. Najjednoduchsie ma napada
> ze bude korelovat so seriovym cislom zariadenia.
>
> Teda pre vas to bude znamenat ze na zaciatku si vyziadate seriove cislo,
> nasledne poslete chalenge a vycitate response.
>
> Alebo si budete drzat databazu privatnych klucov u seba.
>
>
>
> j.
>
>
>
> *From:* Hw-list [mailto:hw-list-bounces na list.hw.cz
> <hw-list-bounces na list.hw.cz>] *On Behalf Of *Karel M
> *Sent:* Monday, September 25, 2017 2:48 PM
> *To:* HW-news
> *Subject:* Elektronicke autorizace zarizeni - algoritmy
>
>
>
> Pekny den, mam zarizeni, ktere ma v sobe MCU s vnitrni EEPROM, kde jsou
> ulozeny parametry zarizeni, komunikace s vnejskem je po RS485. Zarizeni
> neni trvale napajeno a jde tedy resetovat, nema informaci o datu a case.
>
> Co bych potreboval nove udelat, je nejaky sikovny algoritmus pro
> autentizaci tohoto zarizeni, tedy ze se v nem nachazi nami vyrobena
> elektronika. Predstava je takova, ze se posle nejaky paket s pseudonahodnym
> slozenim, zarizeni to pomoci nejakeho algoritmu prepocte a posle zpet.
>
> Zajima me priklad nejakeho algoritmu vhodneho pro MCU a jak osetrit utok
> hrubou silou, kdyz zarizeni jde resetovat, nepamatuje si tedy v case chybne
> pokusy.
>
> Samozrejme je tu jeste priklad, kdy zarizeni bude kopie a paralelne k nemu
> na RS485 elektronika z naseho zarizeni (treba ze starsiho jinak zniceneho),
> to ale asi osetrit nejde.
>
> za tipy diky
>
> Karel
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20170925/8b98ce10/attachment-0001.html>