The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Проект Kryptonite развивает систему хранения закрытых ключей..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от opennews (ok) on 04-Май-17, 10:32 
Представлен (https://blog.krypt.co/the-end-of-id-rsa-d8fd2951d406) проект Kryptonite (https://krypt.co/), предлагающий новую систему для хранения закрытых ключей SSH на смартфоне, вместо размещения  в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей - ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется (https://github.com/kryptco) в исходных текстах, но лицензия на код пока не определена (https://github.com/kryptco/kryptonite-android/blob/master/LI...).


Kryptonite может рассматриваться как подобие двухфакторной аутентификации для SSH-ключей. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая операция с ключом требует явного подтверждения на смартфоне и ввода кода доступа к ключу.


Так как ключи хранятся отдельно, они не привязаны к локальным системам и один ключ можно использовать с разных компьютеров. С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).

Процесс работы с Kryptonite выглядит следующим образом: На локальных системах устанавливается пакет с ssh-агентом kr (https://github.com/kryptco/kr), а на смартфоны специальное приложение. Далее запускается процесс сопряжения мобильного приложения и рабочих станций пользователя. Сопряжение сводится к выполнению в терминале на рабочей станции команды "rk pair", которая приводит к отображению QR-кода. Пользователь фотографирует мобильным приложением этот QR-код, после чего Kryptonite генерирует пару  SSH-ключей, сессионные ключи и устанавливает канал связи с агентом. Обмен данными между агентом и смартфоном может производиться по Bluetooth, шифрованному каналу поверх TCP/IP и другим средствам связи. Далее при каждом использовании SSH на сопряжённой рабочей станции на смартфоне выводится уведомление и требование подтвердить вход.

На смартфоне в iOS ключ хранится в iOS Keychain и генерируется на базе 4096-разрядных ключей RSA в реализации Apple iOS Security Framework или на базе Ed25519 в реализации libsodium. В Android ключи сохраняются в аппаратно изолированном хранилище ключей Android Keystore (https://developer.android.com/training/articles/keystore.html)  и генерируются в виде 3072-разрядных ключей RSA. Android Keystore выступает в роли чёрного ящика, из которого ключи не могут быть извлечены, в том числе самим Kryptonite. При поступлении запроса по SSH, Android Keystore генерирует цифровую подпись при помощи сохранённого ключа и возвращает результат. В случае утери или кражи смартфона достаточно удалить привязанные к нему открытые ключи из всех своих учётных записей и заменить на новые открытые ключи, сгенерированные на новом смартфоне.

URL: https://blog.krypt.co/the-end-of-id-rsa-d8fd2951d406
Новость: http://www.opennet.dev/opennews/art.shtml?num=46496

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +32 +/
Сообщение от ОлдФак (ok) on 04-Май-17, 10:32 
Ага, закрытые ключи на смартфоне. А смартфон их при любом удобном случае - дядям Сэмам.
Молодцы!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +8 +/
Сообщение от XXX (??) on 04-Май-17, 14:06 
"Может им еще и ключи от сервера где деньги лежат?" (с)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

73. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от DmA (??) on 04-Май-17, 15:40 
у вас есть способ передавать ключи со смартфона не размещая их там? Они всё равно будут у дяди Сэма!
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

77. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +4 +/
Сообщение от _ (??) on 04-Май-17, 16:09 
Так и не размещай их _там_ Д,Б!
Да сервера иногда ломают.
Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то :)
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

82. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –5 +/
Сообщение от DmA (??) on 04-Май-17, 16:25 
> Так и не размещай их _там_ Д,Б!
> Да сервера иногда ломают.
> Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то
> :)

Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

119. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 21:16 
> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!

Вы хотите поговорить о том, что Вам кажется?

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

136. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от DmA (??) on 05-Май-17, 08:24 
>> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
> Вы хотите поговорить о том, что Вам кажется?

а я всегда только об этом и говорю!

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

158. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 05-Май-17, 15:11 
Это всё Ротшыльды, сцу..
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

2. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +18 +/
Сообщение от Аноним (??) on 04-Май-17, 10:33 
>С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).

По-моему, хипстота снова пытается всех обмануть.
Не кажется ли вам, что подобный trade-off не в пользу мобильного приложения?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +6 +/
Сообщение от Аноним (??) on 04-Май-17, 17:52 
> хипстота

Ещё какая!
https://avatars3.githubusercontent.com/u/1348691
https://avatars2.githubusercontent.com/u/356333

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +11 +/
Сообщение от Аноним (??) on 04-Май-17, 10:37 
В этой новости не хватает ссылок на тестирование безопасности android приложений...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –11 +/
Сообщение от Аноним (??) on 04-Май-17, 10:57 
Технологии защиты в Android на порядок лучше (SELinux, sandbox-изоляция, идентификаторы процессов, ограничение к API и т.п.), чем в стационарных системах. Не ставьте на смартфон всякую непроверенную гадость и смотрите/урезайте права доступа, которые требует приложение, и всё будет в порядке.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от tstalker (ok) on 04-Май-17, 11:20 
Подавляющее большинство целевой аудитории пользователей смартфонов разбираются в IT Security примерно так же, как я в балете.
Какие права доступа?
Они и слов таких никогда не слышали.
А потому лови шпалу, как говорят на ЯПе.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от rob pike on 04-Май-17, 11:26 
В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +6 +/
Сообщение от Аноним (??) on 04-Май-17, 12:20 
> В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.

Это не так, последние 10 лет cpu без подобного модуля не запускаются, см.
https://libreboot.org/faq.html#intel
https://libreboot.org/faq.html#amd

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

56. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Ivan_83 (ok) on 04-Май-17, 13:56 
Только разница в том, что для работы МЕ нужна её встроенная сетевушка.
АМД же своим псп вообще с сетью работать не умеет.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

68. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 15:13 
Спорное утверждение. Кто там выдаёт разрешения на продажу сетевух? А где заводы?
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

76. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от Аноним (??) on 04-Май-17, 16:08 
>В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему.

Ко всему он доступа не имеетпри наличии IOMMU в девайсе.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

139. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от фф on 05-Май-17, 09:48 
Нет. iommu это не про то. Это только виртуальное адресное пространство io. Вся мякотка в контроле DMA. А DMA контролируется через pcie ACS расширение. Которое реализовано в основном на серверах.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

14. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 11:42 
>  Технологии защиты в Android на порядок лучше

Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 11:51 
Пруф какой-нибудь что ли.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 04-Май-17, 12:21 
> Пруф какой-нибудь что ли.

https://www.cnet.com/news/malware-from-china-infects-over-10.../

Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил, что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс на короткий номер. Стоит это 5 рублей, но всё равно, неприятно. Естественно, как получил рут, сразу снёс.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

138. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от DmA (??) on 05-Май-17, 09:17 
>> Пруф какой-нибудь что ли.
> https://www.cnet.com/news/malware-from-china-infects-over-10.../
> Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил,
> что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс
> на короткий номер. Стоит это 5 рублей, но всё равно, неприятно.
> Естественно, как получил рут, сразу снёс.

точно снёс? :)Может она только делает вид, что удалилась?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

143. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 11:15 
Лол, она как системная была. Я ещё заодно всякие гуглофремворки и прочее снёс. А потом плюнул на всё и накатил AOSP.
Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

160. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:23 
Этот весёлый мир китайского андроида.


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 12:24 
>>  Технологии защиты в Android на порядок лучше
> Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То
> деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!

Эти вирусы атакуют пользовательскую ОС, к Android Keystore они доступа не имеют.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

57. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 14:03 
> к Android Keystore

Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То есть ты считаешь, что они не могут получить рута и вытворять что угодно? Да я не в жизнь не поверю.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

121. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 23:50 
>> к Android Keystore
> Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То
> есть ты считаешь, что они не могут получить рута и вытворять
> что угодно? Да я не в жизнь не поверю.

Причём тут root? Android Keystore недоступен для чтения, у него нет такой функции «прочитать ключ».

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

144. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 05-Май-17, 11:16 
Ты очень наивный падаван. Через ядро можно прочитать всё что угодно. А эксплойтов в блобах дохера на ведре.
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

151. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 13:32 
> Ты очень наивный падаван. Через ядро можно прочитать всё что угодно.

ну ставься на ипхон - там не все.

в андроиде keystore - _программный_ механизм, хотя и защищенный сандбоксингом от самого андроида и тем более от юзерских программ. Он _может_ использовать tpm, если его найдет - а может и нет, ты это никак не проверишь, равно как и то что он его правильно использует, а не как у китайца получилось - например, сохраняя отладочную копию рядом на флэшку и еще две в облако ;-) В ипхоне этот механизм заведомо аппаратный, судя по попыткам давить на эпл в суде - даже имея бесконечные деньги, быстро добыть оттуда информацию невозможно ("взлом" имени ФБР - это именно взлом, то есть не сумели расковырять id, а сумели обойти проверку - эквивалентом в случае ssh будет взлом твоего sshd без всякого ключа. Да, возможен, но телефон тут не виноват. А то что они хотели - чтобы эпл выпустил фейковое "обновление" (телефон для установки отпирать не надо), отключающее проверку для хороших ребят, опять же, а не извлекающее то, чего заведомо не извлечь)

btw, в яблобуках новой модной волны - такая хрень встроена в клавиатуру вместо функциональных клавиш (да, ужаснитесь - это ипхон. с ios, да, отдельный, изолированный от системы на большом ноуте. И да, с id сенсором и всем барахлом внутри. А вы думали, это просто светящийся регулятор громкости? ;)

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

154. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 13:54 
> Есть куча уязвимостей помогающих получить рут на девайсах

Да, kingroot называется.
Но я буду вам признателен, если вы поделитесь ссылкой на рабочий эксплоит к андроbду 6.0.1.
А то как-то грустно без рута на телевизоре...
ЗЫ: Xiaomi Mi 3s 60"

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

51. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 13:46 
Какие вирусы? Фонарик, которые запришивает пермишен на отправку смс? Самая основная уязвимость андроида держит его в руках. И тут никакие песочницы, selinux не помогут
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

61. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 14:07 
Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты доверяешь свои данные системе, у которой половина блобов в ядре несвободная. У ядерных блобов есть прямой доступ к ядру, думаешь они не могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

72. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 04-Май-17, 15:26 
Это если речь про ядерные блобы. На практике на многих девайсах уже активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то и что похуже), а он может иметь (и имеет!) пользователя не заморачиваясь с кольцами доступа ОС.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

75. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 15:54 
> Это если речь про ядерные блобы. На практике на многих девайсах уже
> активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то
> и что похуже), а он может иметь (и имеет!) пользователя не
> заморачиваясь с кольцами доступа ОС.

Ну анон выше писал, что рут можно легко получить на почти всех девайсах. Так что проблемы заразить ведро вообще нет.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

123. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 00:00 
> Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты
> доверяешь свои данные системе, у которой половина блобов в ядре несвободная.
> У ядерных блобов есть прямой доступ к ядру, думаешь они не
> могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то,
> теоретически ты защищён, да.

Почему тебе лень кликнуть на ссылку в новости и узнать наконец что такое Android Keystore?

> У ядерных блобов есть прямой доступ к ядру, думаешь они не
> могут слить данные?

Нет не могут, потому что Android Keystore это отдельный защищённый чип и у него нет функции «прочитать ключ».

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

145. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 05-Май-17, 11:19 
Слушай, ты наивный. Доступ ядра есть?! Есть! Всё. Можно прочитать. Кстати, судя по API можно получить сертификат и ещё много чего через него. То есть подписать сертификат и управлять устройством типа нельзя? Я вообще не понимаю, чего ты ведро выгораживаешь? Всем известно, что защищённых на 100% ОС не бывает. Не говоря уж о том, что есть бэкдоры даже в хардваре. Вон, на Intel AMT посмотри.

> отдельный защищённый чип

Значит у гугла есть доступ к твоему смартфону, только и всего. И молись, чтобы он не сливал этот доступ третьим лицам.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

152. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от пох on 05-Май-17, 13:40 
> Слушай, ты наивный. Доступ ядра есть?!

в случае чипа с tpm - нету. Только через апи и только на чтение. Сами ключи не читаются.
Все, ты сдулся?

> Есть! Всё. Можно прочитать. Кстати, судя
> по API можно получить сертификат и ещё много чего через него.

он для этого и нужен. А вот получить закрытый ключ - только взломав ломаемую (без tpm) реализацию.

> То есть подписать сертификат и управлять устройством типа нельзя? Я вообще

легально - нет.
Ты не понимаешь что такое сертификат и как работает.

> 100% ОС не бывает. Не говоря уж о том, что есть
> бэкдоры даже в хардваре. Вон, на Intel AMT посмотри.

это не бэкдор, к твоему сведению. Это вполне штатный _платный_ для пользователя (дорого, ентерпрайз онли) механизм, в некоторых очень специфических случаях и при поддержке со стороны операционки, позволяющий использовать себя для удаленного доступа. Ну и да, ты уже под колпаком у интела - чего ты от гугля-то прятать собрался?

> Значит у гугла есть доступ к твоему смартфону, только и всего. И

у гугля возможно и есть, но зачем гуглю твой вшивый локалхост?
А если ты сотрудничаешь с ФСБ вместо ФБР - ты сам виноват.

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

161. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:28 
> если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.

От СОРМ он поможет?


Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

26. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 12:25 
>урезайте права доступа, которые требует приложение

Научи без получение рута на девайсе.
Почему то при всех этих технологиях зашиты приложения имеют Андройд как хотят

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

40. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от wins proxy on 04-Май-17, 13:20 
В типичном Android-смартфоне куча уязвимостей, закрывать которые вендор и не собирается.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

55. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Ivan_83 (ok) on 04-Май-17, 13:56 
Только вот доверия вендорам нет, да и дырок много.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

137. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от DmA (??) on 05-Май-17, 09:14 
> Технологии защиты в Android на порядок лучше (SELinux, sandbox-изоляция, идентификаторы
> процессов, ограничение к API и т.п.), чем в стационарных системах. Не
> ставьте на смартфон всякую непроверенную гадость и смотрите/урезайте права доступа, которые
> требует приложение, и всё будет в порядке.

и да и нет!Частично. Selinux изоляция всё это давно есть в Линукс на десктопе! А в большинстве систем даже как-то преднастроено!Всё это оттуда и пришло в Андроид через Линукс.
У Винды нет никакого мандатного доступа, только дискретный.Но даже на винде 80 процентов возможностей сделать свой комп более безопасным не используется -какие приложения хотят выйти в Интернет и делать там всё что захотят, такие и выходят, запускаются почтовые программы и браузеры с правами администратора, отсюда широкое распространение вирусов шифровальщиков, скачивать с официальных сайтов даже бесплатные программы не принято, и не принято проверять их на вирусы. В Андроиде и вовсе нельзя приложение на вирусы проверить после установки, только можно запустить сразу. Так что как и 20 лет назад самое слабое место в безопасности компьютера - это пользователь!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

162. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:32 
> запускаются почтовые программы и браузеры с правами администратора

На винде? Это ты сам придумал? Нет, конечно технически это можно, но.. Ну ладно, запускаешь ты ФФ с ТБ на винде из под администратора и бог с тобой.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

4. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от YetAnotherOnanym (ok) on 04-Май-17, 10:43 
Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 12:26 
А если недалеко от вышки? Антенна даже не понадобится. Как минимум, выпаять радиомодуль.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

89. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 04-Май-17, 17:34 
Угу, выпилить из чипа лобзиком.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

120. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 22:43 
Смарт в шапочке из фольги!
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

163. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:36 
> Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.

А также вынуть батарею и забросить её в пруд с утятами. Для 100% гарантии надёжности всё что осталось положить под трамвай.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от Аноним (??) on 04-Май-17, 10:47 
>которая приводит к отображению QR-кода

Как узнать хипстоту...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от annonim on 04-Май-17, 10:50 
> систему хранения закрытых ключей SSH на смартфоне

/0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +4 +/
Сообщение от Анончик on 04-Май-17, 10:56 
Я конечно хипстота, но это уже перебор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +14 +/
Сообщение от Аноним (??) on 04-Май-17, 11:38 
Ты не хипстота. Быть хипстотой - это мейнстрим, а хипстер никогда не признает себя мейнстримщиком. Позер!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

132. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Анони on 05-Май-17, 02:02 
Как там дела в 2012ом?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

164. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 05-Май-17, 15:37 
> в 2012ом?

2k12 - так пиши.


Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

141. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 10:37 
так эти челки носили, те что сейчас про бритвы не знают
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

165. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:38 
> так эти челки носили, те что сейчас про бритвы не знают

Резали чёлки бритвами? Себе или окружающим?


Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

12. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от rob pike on 04-Май-17, 11:28 
> Обмен данными между агентом и смартфоном может производиться по Bluetooth

Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже похоже на что-то полезное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от anonimus on 04-Май-17, 11:48 
в виде наручных часов, не имеющих портов, пожалуй было бы самое оно
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –3 +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 12:00 
это уже явно перебор. учитывая неизбежную маргинальность такой железки - порты не проблема, целенаправленно атаковать никто не станет, а от остального спасёт экзотичность
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

166. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:41 
> Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже
> похоже на что-то полезное.

Согласен!
http://herocollector.com/Content/ArticleImages/communicator.jpg


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 11:45 
Чем это лучше ключа на зашифрованной флэшке?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от пох on 04-Май-17, 11:55 
> Чем это лучше ключа на зашифрованной флэшке?

тем что с флэшки его могут спереть плохие ребята, когда ты этой флэшкой воспользуешься в своем ненадежном компьютере (и там она, разумеется, уже расшифрованная), а с мабилы - только хорошие - причем им и переть не понадобится, в описанной схеме - надо просто попросить твою мабилу авторизовать заодно и их. Удобно, надежно, никаких лишних логов (у не тех людей, у тех, разумеется, логи вполне могут быть ;-)

зато на модном хипсторском езыке, хипстота одобряэ.

(какой смысл в ключах на зашифрованной флэшке, честно говоря, нифига непонятно. Если ты оставляешь свой ящик без присмотра - тебя не спасет зашифрованная флэшка - еще и пароль от нее тигидам туда же, куда и содержимое - а чо, вдруг он еще к чему-то твоему подойдет. А вот сломать/потерять/подарить хорошим ребятам ее и остаться без ключей - гуано вопрос)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от music on 04-Май-17, 12:26 
а смартфон можно уронить, утопить, как от этого спастись? а, ну да синхронизация на гугл драйв и дропбокс ;-)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

49. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 13:43 
> а смартфон можно уронить, утопить

здесь это трейдоф, понятный - можно остаться без ключей, но их не сопрет просто так кто-то, на полчасика одолживший твой компьютер (зашедший с помощью AMT, заодно походя обойдя secure boot ;-)  - во всяком случае, ему понадобятся совершенно нетривиальные телодвижения и сам телефон, а как только ты все это выключил, снова останется без твоих ключей - к ним надо обращаться каждый раз через телефон и как-то обойдя проверку (тоже каждый).

С флэшкой трейдоф непонятный-  ты без флэшки, у хороших ребят, поломавших твой ноут, есть копия твоих ключей в расшифрованном тобой же виде, но, поскольку они не оставляли тебе свой адрес, ты не можешь попросить их поделиться (хотя я бы в отделе безопасности спросил ;-)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 12:44 
Тем, что слямзить можно дистанционно, пользователь даже не догадаетя. А расшифровывать придётся хоть со смартфона, хоть с флешки.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 11:58 
Чем он лучше езопасных тайм ключей QR от Google Authenticator?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 12:43 
а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

53. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от пох on 04-Май-17, 13:51 
> а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?

и где она, нормальная -то?
_нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.

то есть в идеале - usb-token с пинпадом (требует _одновременно_ продемонстрировать наличие артефакта _и_ знание пина. Причем правильный пин не является особоценным товаром, поменять его можно в любую секунду и это никак не требует синхронизации с тем, от чего там лежат ключи). И, разумеется, понятным мне содержимым, а не нечто залитое эпоксидкой, а внутри sd карта с ключами там же где и шифрованный раздел, как мы все любим.

С тех пор, как вездесущие камеры свели пользу от otp-генераторов на базе хешей к нулю, я уже очень давно ищу им какую-нибудь замену. Тоже нету в природе.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

66. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +4 +/
Сообщение от Ergil (ok) on 04-Май-17, 14:48 
> _нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.

Чувак, я тебе открою тайну, никому не говори.
Google Authenticator нигде не хостится, он реализует два RFC(RFC 6238 и RFC 4226) и приложение работает оффлайн. Их же, к примеру, реализует FreeOTP Authenticator, у которого исходники открыты(https://github.com/freeotp) кушай, не обляпайся и больше не говори чуши.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

86. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –6 +/
Сообщение от пох on 04-Май-17, 17:17 
> Чувак, я тебе открою тайну, никому не говори.

чувак, я тебе открою другую тайну: это тред об аутентификации на собственные сервисы, а не в угугль.

> Google Authenticator нигде не хостится

ну конечно, конечно.
Ты уже можешь показать мне _свой_ ssh-сервер, на который ты можешь зайти с otp-паролем из этого аутентификатора без обращения к внешним сервисам? Еще лучше - свой (как у этих вот ребят) ssh-agent, которым можешь зайти на этот самый сервер, не светя закрытый ключ ни на сервере, ни на хосте?

> Их же, к примеру, реализует FreeOTP

то же самое - куча ненужного ведроид-мусора. Полагаю, источником вдохновения служила тухлая версия того же гуглевого приложения, которая все еще доступна в исходниках. Серверную сторону предоставляет, тадам, кто бы мог подумать! (если бы было, чем)

А использовать какие-то сложные многостадийные аутентификаторы в сам гугль, вместо нормального секьюрного пароля 12345Z может только больной параноик, который давным-давно под колпаком у товарищ майора.

Я бы еще понял, если бы ты назвал linotp, который таки _реализует_ отличный от гугля именно _сервис_ аутентификации (при определенных нетривиальных усилиях - даже и в ssh), но я спрашивал - _нормальный_, а не ентер-прайс питоновское угребище неимоверной кривизны, требующее отдельный (веб, мля! с модным rest api) сервер с sql'ем, блекджеком и отчислениями братве за крышу и полагающийся либо на странные, либо на откровенно угребищные технологии для собственно аутентификации (либо бегающий в чужое облако, причем последнее мелким шрифтом в самом конце).

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

97. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 17:58 
Ёк. Ты вообще что такое TOTP знаешь или со скуки влез туда, о чём вообще не в курсе?
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

98. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от пох on 04-Май-17, 18:08 
что такое - знаю. Как реализовано - не знаю и знать не хочу.
Вот эта чудесная хня в pam_google_какаятопогребень - она точно сама все считает, а не берет у гугля готовый ответ?

Если да, то возвращаемся к исходному вопросу- чем она лучше поделия на go, которое хотя бы не светит ни кодом, ни ключами наружу, и где, блин, что-то вменяемое, вместо.

Как (примерно) выглядит вменяемое - я описал (нет, это не убиквити, если вы про нее подумали - там все _совсем_ плохо)

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

103. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 18:28 
Ну вот залезь в описание (и в исходники при желании) и не неси чушь. Стандарты открыты, реализаций полно, хоть открытых под любую платформу вплоть до самопальных брелоков, хоть закрытых - любых, всё тысячекратно обнюхано и проверено. Тем и лучше, собственно.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

107. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 18:45 
> Ну вот залезь в описание (и в исходники при желании) и не

желания нет - поверю на слово. Это, мягко говоря, не та технология, которой я хотел бы пользоваться в критичных местах. И слишком неудобная для некритичных.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

113. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 19:13 
Возьми исходники и посмотри. Не хочешь ковыряться в ведроид-помойке — хотя бы на это глянь: http://www.nongnu.org/oath-toolkit/
Про RFC тут уже кто-то писал, но чукча ж не читатель...
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

36. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –3 +/
Сообщение от Аноним (??) on 04-Май-17, 12:53 
> Чем он лучше езопасных тайм ключей QR от Google Authenticator?

Ты продумал защиту от брутфорса? Шесть цифр легко подобрать.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от КЭП on 04-Май-17, 13:08 
Ты подумал об ограничении на количество неверных вводов, умник?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –5 +/
Сообщение от Аноним (??) on 04-Май-17, 13:25 
> Ты подумал об ограничении на количество неверных вводов, умник?

Умник - это попытка оскарбить? :-)

Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

91. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 17:38 
> Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.

Кому нужны твои шесть цифр через три дня, если они меняются каждые 30 секунд?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

124. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 05-Май-17, 00:38 
>> Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.
> Кому нужны твои шесть цифр через три дня, если они меняются каждые
> 30 секунд?

Более того, как ты собрался проверять пароль трёх дневной давности? Подбирают текущий 30 секундный пароль, а не прошлый.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

133. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 04:11 
"Оскарбить" - наделить, снабдить скарбом, каким-л. имуществом, то же, что одарить.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

157. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 05-Май-17, 15:06 
У тебя кавычки не верные, в русском языке используют «ёлочки» или „лапки“.
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

186. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 09-Май-17, 02:37 
«французские так-то»
Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

42. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 13:24 
sshguard и плюс защита самой rate-limit в google PAM
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

45. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 04-Май-17, 13:33 
> sshguard и плюс защита самой rate-limit в google PAM

Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним IP с атакующим, что для 3G не такая уж редкость. А для ботнета sshguard не проблема.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

50. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 04-Май-17, 13:46 
>> sshguard и плюс защита самой rate-limit в google PAM
> Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
> IP с атакующим, что для 3G не такая уж редкость. А
> для ботнета sshguard не проблема.

В последнем OpenSSHd уже встроен rate-limit на уровне ip.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

63. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 14:17 
>>> sshguard и плюс защита самой rate-limit в google PAM
>> Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
>> IP с атакующим, что для 3G не такая уж редкость. А
>> для ботнета sshguard не проблема.
> В последнем OpenSSHd уже встроен rate-limit на уровне ip.

А чем он лучше sshguard? Он так же заблокирует и админа, если он в одной подсети с ботнетом.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

46. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 13:33 
Удачно вам перебрать брутфорсом Time-based One Time Password.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

62. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 04-Май-17, 14:13 
> Удачно вам перебрать брутфорсом Time-based One Time Password.

На угадывание шести цифр TOTP требуется три дня.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

83. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 17:06 
Как считали?
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

125. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 00:40 
> Как считали?

https://sakurity.com/otp

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

148. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 12:54 
Там же описано лекарство: Simply lock the account after 10 failed attempts and ask the user to change his password.
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

159. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:12 
> Там же описано лекарство: Simply lock the account after 10 failed attempts
> and ask the user to change his password.

Ага, автор предложивший Google Authenticator об этом не упомянул, поэтому я уточнил у него, какое лекарство подразумевает он.

Ответить | Правка | ^ к родителю #148 | Наверх | Cообщить модератору

84. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 17:08 
Хотя в любом случае - если что-то лупит попытками входа с верным ключом и кривым кодом - на это должна быть реакция, в виде письма как минимум
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

87. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 17:21 
> Хотя в любом случае - если что-то лупит попытками входа с верным
> ключом и кривым кодом - на это должна быть реакция, в
> виде письма как минимум

ну и что мне делать с этим письмом - распечатать и на йолку повесить?
К тому же спасибо за новую идею ddos'а систем - всего-то надо сделать с десяток попыток с одного зомбо-ip, чтобы ты получил песьмо щастья, я правильно понял? ;-) Жди завтра почтальона - на камазе.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

96. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 17:56 
с десяток попыток с верным ключом. Соответственно, что делать - понятно - дёргаться, менять ключи, аудитить безопасность и так далее.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

99. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от пох on 04-Май-17, 18:11 
> с десяток попыток с верным ключом. Соответственно, что делать - понятно -
> дёргаться, менять ключи, аудитить безопасность и так далее.

ну и - я под елкой, интернет где-то далеко, ключ утек - то ли через поломанную мобилку, то ли не такое оно локальное как вы мне рекламируете...
что-то модное go-приложение в этом свете выглядит и то разумнее. Еще бы я верил что та хрень что на хосте написана правильно.


Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

102. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 18:23 
Ну у вас же есть какая-то тактика на случай, если ключи утекли - по какой-либо причине? Ну там - на серваке публичные прибить, новые с заведомо чистого устроства создать, дальше плясать отсюда?

2FA в данном случае просто обеспечит, что вы узнаете об утечке до того, как этими ключами смогут воспользоваться.

А насчёт "интернета нет" - это вообще какие-то детские отмазки. Если что-то серьёзное на сервере - значит всегда есть кто-то с полномочиями и интернетом. А если нет - ну найти способ погасить нафиг сервак пока из-под ёлки не выберетесь. Не на сам сервер зайти - так в хостерскую панель или КВМ или через поддержку хостера или родственников попросить питание домашнего сервака дёрнуть...

Причём указанный выше вариант 2FA, в отличие от предлагаемой этими ребятами штуки, тривиально делается на чём угодно - хоть на совершенно изолированной железке, хоть на стационарной машине.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

106. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от пох on 04-Май-17, 18:42 
> Ну у вас же есть какая-то тактика на случай, если ключи утекли
> - по какой-либо причине?

нету. Ну в смысле, я не храню и не использую ключи там, где они могут утечь (или уже поздно пить боржом - если взломана моя система, никаких писем уже не будет, или их  еще и не я прочитаю). Именно по этой причине мне очень, очень хочется не завязанного ни на какие ключи otp аутентификатора. Набирать шесть слов с бумажки - достало неимоверно, а безопасность такого решения под большим вопросом.
Раньше вместо бумажки был телефон, но, по очевидным причинам, сплыл.

> А насчёт "интернета нет" - это вообще какие-то детские отмазки. Если что-то
> серьёзное на сервере - значит всегда есть кто-то с полномочиями и

щасс я ему свои ключи дам, ага. Максимум, можно попытаться объяснить, как инвалидировать. Но скорее всего, не мой случай.

> так в хостерскую панель или КВМ или через поддержку хостера или
> родственников попросить питание домашнего сервака дёрнуть...

это все для локалхоста только годится. А те что у меня - даже если их вот уже поломали, они должны продолжать работать, пока не найдешь и не уберешь причину.
А локалхост -то чо беречь, этой порнухи с дохлым ишаком полный интернет.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

108. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 18:51 
Ну так 2FA как раз и есть для случая "я не храню и не использую ключи там, где они могут утечь" - на тот маловероятный случай, что утечь таки может. И здесь 6 цифирок со смартфона или брелока как раз, с одной стороны, мало напрягают, с другой - дадут время что-то предпринять, если всё же прилетело.

ладно, дурной спор.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

111. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 19:04 
> Ну так 2FA как раз и есть для случая "я не храню

так в оригинале было не про 2FA, а про просто замену гуглем этой вот чудо-хрени.

> тот маловероятный случай, что утечь таки может. И здесь 6 цифирок
> со смартфона или брелока как раз, с одной стороны, мало напрягают,

напрягают - там где я вынужден пользоваться этой хренью.

И ни от чего не спасут, если первый фактор (то есть ключ) все же утек - скорее всего у меня уже и паяльник в жопе, и хорошо бы у мобилки был заряд, а то он может раньше нагреться до некомфортной температуры.

Как единственная - нет, спасибо, не нать такого.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

130. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 05-Май-17, 01:11 
Э... я не думаю, что кто-то в здравом уме будет это использовать как единственный метод. А насчёт принуждения беспокоиться - пустое дело, в любом случае всё вытащат
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

69. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Ergil (ok) on 04-Май-17, 15:13 
Что ты брутфорсить собрался? Шестизначное число меняющееся каждые 30 секунд? Да еще после того, как ты набрутфорсил ключ? :-D Выщипайте мне перья, я хочу это видеть! fail2ban тебя пришибет сразу, ты даже до брутфорса ключа не дойдешь, я уж молчу про то, что хрен ты его подберешь. А! Да! Тебе же еще надо логин угадать :-D
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

126. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 00:48 
fail2ban это хороший способ заблокировать вход администратору :-)
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

128. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Укпшд on 05-Май-17, 00:56 
> fail2ban это хороший способ заблокировать вход администратору :-)

Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

168. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от _ (??) on 05-Май-17, 16:31 
>Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует

Ну то есть то, что местные называют Jump-server. Ок. Детский вопрос - а с какого статика ты заходишь на тот статик? ;-) Ибо если проломят его - то отЪымеют сразу всё ибо оно в вайт листах да и ключики небось на нём хранятся. И не говори что нет - не поверю.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

178. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 06-Май-17, 00:48 
>> fail2ban это хороший способ заблокировать вход администратору :-)
> Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить

только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вполне себе ошибка auth. (и с ключами, мягко говоря, перпендикулярен)

> ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой
> вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте,

вот его и будут ломать.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

22. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 12:02 
Улыбка с утра.)
Однако, и ведь попрёт в "массы".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от gogo on 04-Май-17, 12:29 
Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это - бред.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

90. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от пох on 04-Май-17, 17:34 
> Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это
> - бред.

это такой телнет, только модный, да?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от evkogan on 04-Май-17, 12:33 
Идея носить всегда с собой закрытые ключи и контролировать каждое их использование хороша. Но использовать для этого смартфон...
Вот если это отдельное устройство, да еще и вообще без блобов, в том числе в прошивках, а еще лучще openHW. Но еще и дешевое для массового потребителя и хоть минимально симпатичное (все же все время с собой таскать), то да идея интересная.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 12:46 
ну, смотря на сколько нужно open, но на современных мк должно быть крайне дёшево. если выкаблучиваться и FPGA брать - конечно, вряд ли выйдет
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

100. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от пох on 04-Май-17, 18:15 
> ну, смотря на сколько нужно open

ну, товарищу, вероятно, не нравится gpu-загрузка модных одноплаток и странные выкрутасы со сборкой полу-рабочего ядра из чужих модулей.

других нет.

Я бы вот согласился терпеть (и таскать, вместо лопаты) модную одноплатку - если бы она решала вторую проблему - pin/скан отпечатка/еще что-то в том же роде.
Она не то чтоб совсем не умеет, но это получается и дорого, и хрупко, и крупно (нужны отдельная клавиатура и экран, необязательно vty)

Кстати, _промышленный_ вариант подобных решений - существует. Но, насколько я сумел узнать -абсолютно для нас недоступный.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

105. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 18:35 
https://www.seeedstudio.com/FST-01-without-Enclosure-p-1276.... или https://www.seeedstudio.com/maple-mini-p-861.html допилить, добавив экран и клаву - не сложно и недорого
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

109. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 18:55 
>  https://www.seeedstudio.com/FST-01-without-Enclosure-p-1276.... или
> https://www.seeedstudio.com/maple-mini-p-861.html
> допилить, добавив экран и клаву - не сложно и недорого

э... ну и кто допилит? Раз недорого - это,кстати, сколько? - я может в очередь запишусь на покупку. Условие - оно не должно необратимо рассыпаться при падении на стол с  высоты своего размера.

Я-то думал про вполне работоспособный без паяльника вариант чего-то типа rpi/или уж совсем ардуины(первое менее палево, да) плюс кнопки плюс экраны которые _есть_ а не "может кто допилит - включая драйвера и пайку". Условие - соблюдено (с двух своих размеров - рассыплется, да)

Если что, промышленное решение выглядит вот так: https://vtb-gid.ru/img/g_parole_2.png
(COTP, не TOTP) - размером, понятно, с кредитку, в комплекте с которой и работает. Надежно.
Стоит, по всей видимости, три копейки, поскольку одно время раздавалось на халяву.

То что с другой стороны - стоит миллиард и не продаетцо в частные руки, да.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

131. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 05-Май-17, 01:57 
Ну, я подумываю потихоньку, но торговать бы пытаться не стал, вот на гитхаб вывалить для желающих - дело другое. Впрочем, есть сильное подозрение, что у нас разные требования - я бы хотел иметь возможность увидеть (возможно - выбрать) какой ключ будет использован и нажать кнопку "разрешить", дополнительный пин вводить смысла не вижу.

Если хочется готовую железку - можно посмотреть в сторону самых дешевых MP3-плееров, на которые какой-нибудь rockbox ставится, и на его базе склепать... В любом случае малинка там - адский перебор.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

155. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 14:02 
> гитхаб вывалить для желающих - дело другое. Впрочем, есть сильное подозрение,
> что у нас разные требования - я бы хотел иметь возможность

разные, да - зачем мне еще одна убиквити, только не умещающаяся на кольце с ключами и хрупкая.

> увидеть (возможно - выбрать) какой ключ будет использован и нажать кнопку
> "разрешить", дополнительный пин вводить смысла не вижу.

смысл, что если у тебя сперли железку со стола - то нужен еще и пин. Если подсмотрели пин, удаленно хакнув камеру - то еще нужно спереть железку, удаленно не выйдет (если против тебя твоя же служба безопасности, которая может то и другое, ты заранее проиграл, но зачем им твой ключ от корпоративного сервера, они пешком до него дойдут). Причем именно спереть, уже зная пин, а не заранее взять поиграть - показанная мной штука не копируема. А как только у тебя возникли подозрения - то и другое мгновенно превращается в тыкву, а ты берешь из заначки запасную.

> Если хочется готовую железку - можно посмотреть в сторону самых дешевых MP3-плееров,

а rsa алгоритмы для нее самому писать? Не, не мой бизнес.
малина перебор, но для нее все уже написано.

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

170. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 05-Май-17, 16:55 
Защита от физического доступа - это та песня, которую я петь не умею, а делать пин "чтобы было" - тупо.

То, что я более-менее понимаю, как сделать (и что лично мне важнее) - это прикрыться от удалённых атак и, в отличие от юбикея - обойтись открытым кодом, благо GNUK - более-менее проверенная временем  и просмотренная людьми штука.

Насчёт хрупкости, врочем - не понимаю, откуда такая идея. Запаять, да потом компанудом залить полностью или частично, плюс корпус от того же USB-модема - всё довольно дубово выйдет.

Ответить | Правка | ^ к родителю #155 | Наверх | Cообщить модератору

179. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 06-Май-17, 01:02 
> Защита от физического доступа - это та песня, которую я петь не
> умею, а делать пин "чтобы было" - тупо.

так это логический доступ - тупо шифруем пином что-то ценное, и после третьей неудачой попытки расшифровать - заменяем содержимым таймера, чисто поржать.

> - это прикрыться от удалённых атак и, в отличие от юбикея
> - обойтись открытым кодом, благо GNUK - более-менее проверенная временем  

но это ж вроде только хранилка pgp-шных ключей, или они тоже что-то новое сделали с тех пор как я на них смотрел? (в смысле, оно само даже пошифровать pgp'ом ничего не может, ему нужна помощь за...хоста?)

> Насчёт хрупкости, врочем - не понимаю, откуда такая идея.

я про вариант с экраном и клавиатурой, разумеется, а не типовой gnuk token.
там есть ньюансы, оно придумано для нежненько на стол класть двумя руками.

Ответить | Правка | ^ к родителю #170 | Наверх | Cообщить модератору

184. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 06-Май-17, 13:54 
С моей точки зрения - уж больно невелика разница между "взять и пин потыкать" и "спереть и разобрать". Ну, зависит от условий, конечно, но делать такие штуки без заказа имеет смысл только если лично ты понимаешь, как их применить. А дальнейшая защита - в принципе тоже делаема как-то на STM32, но я там не рылся и не особо хочу.

Из Usages для GNUK:
    Use with OpenSSH through gpg-agent (as ssh-agent)

Шифрует сам - собственно, как вы и хотели, "Note that there is no ways to export keys from the Gnuk Token, so please be careful." - но вот генерация происходит на компе.

Ответить | Правка | ^ к родителю #179 | Наверх | Cообщить модератору

110. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Аноним (??) on 04-Май-17, 18:56 
еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше то уже не полетит. Следовательно с заовда она должна уходить по 7-10$, плюс себе нужно что то заработать, и того себестоимость должна быть максимум 5$. И в эти 5$ нужно уместить плату, проц, экран, пару кнопок, корпус и сборку. Ну не реально такое сделать, может только если от млн экземпляров.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

112. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от пох on 04-Май-17, 19:07 
> еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше

за штуку, которая на фотке выше (за полную реализацию, а не за сами кнопки ;-)
реализованную как надо, а не как всегда, я готов заплатить $500 сходу.
Но что-то мне подсказывает, что на другом конце там rsa appliance, который и 50000 маловато будет, и протоколы закрытые. А в пять сотен обойдется комплект для настройки карт, и тот тоже просто так не купить.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

115. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 20:15 
вас таких которые по 500$ готовы заплатить тысяча ну может две три на всей земле, да и то что ты готов не факт что заплатишь как показывает практика.
Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

116. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 20:41 
> вас таких которые по 500$ готовы заплатить тысяча ну может две три на всей земле

ну, во-первых больше - если оно вдруг хорошее, то корпоративные заказы подтянутся (фсб не придет, потому что тут нет шифрования данных).
во-вторых, я всегда предпочитал иметь дело с одним заказчиком на 500 чем с двумя десятками по 25 - и мозг весь съедят, и времени отнимут не в пример больше, и денег в сумме вроде и столько же, а в руках подержать почему-то удается только 25.

> да и то что ты готов не факт что заплатишь как показывает практика

стока - вот прям сразу как увижу рабочий прототип серверной части того, что показал. Или рабочий экземпляр примерно такого же размера и надежности, и серверную часть. У кого?
Если надо больше (если использовать именно эту хрень, скорее всего выйдет сильно дороже) - то тут да, надо уже детальки смотреть.

Если что - спецификации на смарткарты, бланковые карты - доступны.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

185. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 06-Май-17, 14:16 
Если нет уж настолько денег на железку - значит, защищать нечего. Хотя если не брать смарткарты, то вложиться можно.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

31. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 12:36 
>вместо размещения в файле ~/.ssh/id_rsa
>мобильного приложения для Android и iOS
>iOS Keychain
>Apple iOS Security Framework

Нет, спасибо, не надо. Дураков нет.

PS Хипстеры, запилите хранение ключей в облаках.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 12:47 
уже было, вроде
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

81. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним84701 (ok) on 04-Май-17, 16:24 
> PS Хипстеры, запилите хранение ключей в облаках.

Типа:
https://privacy.microsoft.com/en-us/privacystatement
> The BitLocker recovery key for your personal device is automatically backed up online in your personal Microsoft OneDrive account.

?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

92. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 04-Май-17, 17:43 
> PS Хипстеры, запилите хранение ключей в облаках.

По ссылкам не ходил? Они это и предлагают, только уже за бабло.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –3 +/
Сообщение от Нанобот (ok) on 04-Май-17, 13:00 
тю, хорошая идея же
непонятно, чего нытики/параноики так возбудились
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 13:27 
Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

64. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 14:21 
> Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.

Вирус не имеет доступа к Android Keystore.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

80. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от _ (??) on 04-Май-17, 16:24 
Он и к ядру шиндафс доступа не имеет, а вот поди ж ты :)
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

127. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 00:52 
> Он и к ядру шиндафс доступа не имеет, а вот поди ж
> ты :)

Ядро это программное решение, а keystore — аппаратное, но зависит от реализации, да.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

41. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 13:21 
Сначала надо убедиться, что этот самый смартфон имеет большую защиту. Сейчас почти не найдёшь не обновляющихся браузеров на компе с инетом. А сколько смартфонов со старыми прошивками? Ок прошивка это не браузер. Но ssh ключи ведь наверное не для старой пиратки Zver WinXP Super Edition. А актуальные ОС гораздо быстрее обновляются чем смарты. Мысль о том, что все ключи и пароли попросту брошены на тумбочке в прихожей и к тому же легко могут быть унесены в чужом кармане может отравить любую счастливую жизнь".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 04-Май-17, 13:35 
>А сколько смартфонов со старыми прошивками?

Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без гугл сервисов.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

74. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от Анониим on 04-Май-17, 15:43 
> fdroid

Это ещё под вопросом

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

85. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Crazy Alex (ok) on 04-Май-17, 17:11 
Чем именно он не устроил?
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

149. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 05-Май-17, 12:56 
> Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без
> гугл сервисов.

И без ГСМ-модуля, ага.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

48. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Anonplus on 04-Май-17, 13:42 
Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.

Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/), которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно зашифрована и синхронизируется через любое облачное хранилище.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 14:27 
> которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

По какому протоколу?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

93. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 04-Май-17, 17:46 
> Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости
> PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.
> Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в
> кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола
> ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/),
> которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.
> Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно
> зашифрована и синхронизируется через любое облачное хранилище.

Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

104. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 18:32 
> Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.

это не костыли, разумная предосторожность - "родное шифрование ключей" упирается в короткий (потому что его часто надо набирать) и легкий (потому что их надо не один а много) пароль, а в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.

База keepass зашифрована _хорошим_ паролем, поскольку вводить надо только один и только в начале сессии, при этом после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.

Остаются вопросы - как написан keeagent (не тащит ли он в рот всякую га...не тащит ли он в себя уже расшифрованный закрытый ключ через дырявый ipc - хотя бы даже на время аутентификации, полагаю - тащит) и доверяете ли вы keepass вообще.

Ну и у товарисча, повидимому, винда, что добавляет интересных вопросов.

В общем, мой внутренний параноик против, но это ничего еще не значит.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

122. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 23:58 
> короткий (потому что его часто надо набирать)

Использую длинный. Набираю раз в день.

> в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.

Попробуй, дотянись.

> после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.

Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо — какая разница? Необходимая для расшифровки информация так или иначе хранится в памяти.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

156. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 14:14 
>> короткий (потому что его часто надо набирать)
> Использую длинный. Набираю раз в день.

один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

> отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.
> Попробуй, дотянись.

это много проще, чем хакать хранилку.

>> после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.
> Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо
> — какая разница?

существенная - нам уже мало приаттачиться к памяти процесса или сбросить его в core dump, надо еще разбираться с его собственным специфичным шифрованием (опять же - если сделано правильно, то и от памяти будет мало пользы - храним какую-нибудь нужную детальку в регистре и никогда не убираем оттуда - только дебаг поможет)


Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

169. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от _ (??) on 05-Май-17, 16:53 
>>> короткий (потому что его часто надо набирать)
>> Использую длинный. Набираю раз в день.
>один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

Точно также как в твоём сохранижопие :) Один на все ключи.

Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору

175. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 22:07 
> Точно также как в твоём сохранижопие

ну и вот чем тогда оно лучше, кроме того что в памяти все ключи разом и в раскрытом виде? (причем не факт что они тебе сегодня нужны вообще - сохранижопие при этом их и вынимать из закрытого файла не станет, полагаю, не его стиль)

Я хоть добавляю поштучно, если вообще пользуюсь агентом (собственно, у меня выбора нет)


Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

182. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 06-Май-17, 11:12 
> один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

У тебя для каждого сервера отдельный ключ со своим паролем? Ты админишь два сервера или носишь с собой под каждую ёлку монитор с бумажками?

Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору

129. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Аноним (??) on 05-Май-17, 00:59 
> а в памяти ssh-agent они
> и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж
> не верить) - приходи и бери любой, кто дотянется до сокета.

ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен рут и доступ к памяти процесса.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

153. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 13:48 
> ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен

если у тебя есть доступ к сокету - тебе не очень нужен ключ, агент за тебя проделает всю нудную работу ;-)

> рут и доступ к памяти процесса.

в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
(а на винде, заметим, недостаточно, у процессов нет доступа к этому апи без повышения привиллегий. Обходится, да. Но с гемором. Гемор даст тебе время засечь подозрительное явление - в теории.)

keepass, заметь, аккуратнее - сам по себе доступ к его памяти мало что даст.
Правда, дьявол в деталях - агенту, скорее всего, таки уходит ключ в открытом виде (см в тексте новости, как надо было делать _правильно_ ;-) - но да, нужны protocol-specific фичи в собственно хранилке.


Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

171. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от _ (??) on 05-Май-17, 16:57 
1*
>> рут и доступ к памяти процесса.
>в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.

Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.
goto 1**
:)

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

176. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 22:10 
>>в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
> Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.

зачем тебе его ключ, мы ж локальную сторону хакаем? Предположим, уже. Тырить файл с диска бестолку, ибо он с паролем, перехватывать пароль нудно и неэффективно. Попросить ssh-agent нас авторизовать - бесплатно, беспалевно и сразу. Пошуршать в его памяти - чуть сложнее, но снабжает дешифрованным ключиком, который можно унести в норку и использовать когда юзер сопит в подушку.


Ответить | Правка | ^ к родителю #171 | Наверх | Cообщить модератору

52. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от Аноним (??) on 04-Май-17, 13:51 
Кто-нибудь, научите их записывать ключи на бумажке
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 13:53 
> Кто-нибудь, научите их записывать ключи на бумажке

сперва верните мне мой монитор, с приклеенными бумажками.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от Майор Домушник on 04-Май-17, 14:07 
Выпиленную дверь уже вернули?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

88. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 04-Май-17, 17:23 
> Выпиленную дверь уже вернули?

кто писал на ней пароли - сам виноват
все нормальные люди делают ЭТО на монитор.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

167. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 15:55 
>> Выпиленную дверь уже вернули?
> кто писал на ней пароли - сам виноват
> все нормальные люди делают ЭТО на монитор.

А у вас ещё какие-то маленькие куколки есть же? Вы на них это тоже ведь делаете.


Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

58. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от F on 04-Май-17, 14:06 
А если телефон надо сменить? А в том числе с IOS на Android или наоборот?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 17:48 
> А если телефон надо сменить? А в том числе с IOS на
> Android или наоборот?

Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

101. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от пох on 04-Май-17, 18:22 
>> А если телефон надо сменить? А в том числе с IOS на
>> Android или наоборот?
> Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.

д.лы, б..
Учиться им у ms еще сто лет, и так ничему и не научиться.
Надо было - наоборот! заплатишь - они разрешат тебе работать без облака.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

67. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +1 +/
Сообщение от vitalif (ok) on 04-Май-17, 14:48 
Не надо мне этих чудес DRM для хранения моих ключей... сам потом не достанешь, а гугл достанет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от CHERTS email(??) on 04-Май-17, 16:21 
Идея интересная, но ничерта не работает на Debian 8.4
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

114. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +5 +/
Сообщение от IZh. on 04-Май-17, 19:50 
Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю больше, чем телефону на андроиде. Даже банально потому, что у андроида кодовая база больше. Если на компе не иметь открытых портов (ну или по минимуму), то какие способы проникновения на комп остаются? По ssh вряд ли. Если только в почтовом клиенте баг или в браузере.

А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) -- больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к тому же, обожают лезть на свои серверы (https://www.opennet.dev/opennews/art.shtml?num=46472).Опять-таки, многие производители телефонов годами систему не обновляют при десятках известных CVE (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления выходят постоянно.

И вот на этом вот предлагается хранить ключи?..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 04-Май-17, 20:42 
спасибо, что чётко и понятно выразили 98% моих опасений по поводу сего поделия
+100500
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

118. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от пох on 04-Май-17, 20:54 
> Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений
> хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю
> больше, чем телефону на андроиде.

там как бе основная фишка - крипто-дивайс. У тебя в обычном линуксном компе такой есть? (они так-то в принципе, есть, но и купить сложно, за невменяемые деньги, и, обычно, со странными api windows only. И чаще всего - облачным.)

> Даже банально потому, что у андроида кодовая база больше.

это, простите, что за бред?

> Если на компе не иметь открытых портов (ну или по минимуму)

если на андроиде не иметь не только открытых портов, но и вообще сетевых интерфейсов (старый nexus без gsm модуля, wifi выключить, тем более что он на старых сам не включается) - это представляется куда более реалистичным, чем ваш компьютер - вы им пользоваться-то вообще для чего-то собираетесь?

> , то какие способы проникновения на комп остаются? По
> ssh вряд ли.

google for ssh remote root, наивный ребенок.

> Если только в почтовом клиенте баг или в браузере.

или в bash, ага.

> А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше
> подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) --

ты на какой помойке свой комп-то нашел? У меня из андроидного нет разьве что gps (то есть есть, в столе лежит, но щас выключен) и компаса - очень сомневаюсь, что тебя поломают через gps, когда есть сеть.

> больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к

под андроид больше приложений чем под обычные x86 операционки? Изумительно. Да под них одних только троянов больше, чем приложений в гуглесторе.

> тому же, обожают лезть на свои серверы

и зачем ты это понаставил на телефон, и почему наивно думаешь что твой "десктоп" неуязвим для такого же точно?

> многие производители телефонов годами систему не обновляют при десятках известных CVE

многие производители матплат вообще никогда не собиралиcь "обновлять систему", а там, там...там-тадам: https://www.opennet.dev/opennews/art.shtml?num=46482

> (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления
> выходят постоянно.

затыкая все новые и новые дыры.

> И вот на этом вот предлагается хранить ключи?..

если бы только это - это было бы нехудшим предложением.
К сожалению, в качестве токена телефон немного неудобен.


в общем, своего внутреннего параноика надо, конечно, кормить, но не одними ж глупостями.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

146. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от IZh. on 05-Май-17, 11:33 
> там как бе основная фишка - крипто-дивайс. У тебя в обычном линуксном компе такой есть?
> (они так-то в принципе, есть, но и купить сложно, за невменяемые деньги, и, обычно, со >странными api windows only. И чаще всего - облачным.)

Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутентификации на сервере через тот же криптодевайс?

>> Если на компе не иметь открытых портов (ну или по минимуму)
> если на андроиде не иметь не только открытых портов, но и вообще сетевых интерфейсов (старый nexus без gsm модуля, wifi выключить, тем более что он на старых сам не включается) - это представляется куда более реалистичным, чем ваш компьютер - вы им пользоваться-то вообще для чего-то собираетесь?

Собираюсь. У вас много приложений на компе пользуются сетью, если не считать браузер и почтовый клиент? У вас GIMP подвержен MITM?

>> , то какие способы проникновения на комп остаются? По ssh вряд ли.
> google for ssh remote root, наивный ребенок.

И часто в ssh находились баги, позволяющие реально проникнуть в чужую систему? Именно проникнуть.

>> Если только в почтовом клиенте баг или в браузере.
> или в bash, ага.

Вы в bash скармливаете чужие скрипты? Чтобы поэксплуатировать уязвимость в bash'е нужно сначала как-то в систему проникнуть. Я говорил о браузере и почтовом клиенте как о приложениях, обрабатывающих сырые данные, поступающие из интернета. На обыкновенном компе таких пограничных приложений гораздо меньше, чем на телефоне. На телефоне чуть ли не каждое приложение лезет в сеть на тот или иной сервер.

>> А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше
>> подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) --
>ты на какой помойке свой комп-то нашел? У меня из андроидного нет разьве что gps (то есть есть, в столе лежит, но щас выключен) и компаса - очень сомневаюсь, что тебя поломают через gps, когда есть сеть.

Ну, поехали. Стандартный телефон содержит в себе порядка 5-7 процессоров или других "вычислителей": application CPU, Communication Processor, camera DSP, audio DSP, RPM (resource power manager), TrustZone (не процессор, но отдельная операционная система). И у каждого из них своя прошивка со своими багами. Многие из них являются полноценными процессорами ARM, например RPM. У вас на компе это всё есть?

>> больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к
> под андроид больше приложений чем под обычные x86 операционки? Изумительно. Да под них одних только троянов больше, чем приложений в гуглесторе.

Вы на комп ставите разные левый варез? Особенно, под Linux? В то же время, из Google Play народ ставит весьма сомнительные приложения сотнями.

>> тому же, обожают лезть на свои серверы
> и зачем ты это понаставил на телефон, и почему наивно думаешь что твой "десктоп" неуязвим для такого же точно?

Я не понаставил. Но у меня под Linux'ом больше возможностей добыть исходники приложений, чем в случае с андроидом.

>> многие производители телефонов годами систему не обновляют при десятках известных CVE
> многие производители матплат вообще никогда не собиралиcь "обновлять систему", а там, там...там-тадам: https://www.opennet.dev/opennews/art.shtml?num=46482

Я не говорю, что на компах абсолютно безопасно, и ломать там нечего. Но, на мой взгляд, безопаснее. Если взять именно обновления операционной системы, то все современные дистрибутивы оперативно выпускают обновления. Да, баги находят, но и исправляют. Это лучше, чем находить и не исправлять. В случае с компом, у вас, как правило, нет проблем, чтобы обновить линукс даже на компе 5-10-летней давности. В то же время с телефонами, срок поддержки девайсов, в лучшем случае, пара лет. Производитель, так уж и быть, самые критичные дыры исправит, и забивает на девайс, фокусируясь на разработке следующего. То есть, если не покупать новый аппарат каждые два года, нельзя быть уверенным, что всё в нём безопасно. К тому же, даже и в эти пару лет, обновления выходят не так оперативно, как в линуксе.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

150. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 13:11 
> Чем криптодевайс поможет при получении удалённого доступа к устройству, и

тем что хотя бы работает только в это время.
А в случае получения удаленного (или локального) доступа к твоему "десктопу" - ключики тигидам навсегда, и можно подождать пол-годика, пока ты решишь что ничего такого, показалось. Или успеть, наоборот, до того, как ты инвалидируешь их все и везде - это не телефон выключить.

> Собираюсь. У вас много приложений на компе пользуются сетью, если не считать

ты ужаснешься, сколько их. Практически каждый новый-модный шелл, к примеру, умеет пользоваться сетью (остальные вызывают nc ;-) Рекомендую как-нибудь, просто для самообразования, вместо линукса поставить *bsd, и, вручную, отслеживая экранный вывод, взгромоздить туда все те же пакеты, которыми пользуешься в линуксе. Тебя гарантированно стошнит от _сотен_ автоматических предупреждений "эта программа тащит в себе библиотеку гдетовlocal/чтото.so, которая может и предназначена для работать в качестве network server".

> браузер и почтовый клиент? У вас GIMP подвержен MITM?

gimp сам по себе, не говоря о десятке входящих в него 3-d party либ, вполне подвержен code exec, тыщи их было уже. После чего прекрасно сам построит mitm-safe туннель куда надо.
И таких "гимпов" у тебя- прямо вот начиная с твоего bash. Неудачно распаковал архив - поздравляю, шарик, ты балбес.

>> google for ssh remote root, наивный ребенок.
> И часто в ssh находились баги, позволяющие реально проникнуть в чужую систему?

да, слишком часто для сервиса такого уровня опасности. Один даже лично Ylonen оставил на память (правда, это был целый новый класс уязвимостей, о которых тогда просто не догадались - и это единственная такая ошибка в ssh1, но его-то еще руками писали, а не хвостами)

Кстати, на код для roaming я наткнулся, ковыряясь в ssh не очень тухлой bsd - похоже, нам все врали что он полностью удален после последнего инцидента. Нихрена там не удалено.

> Вы в bash скармливаете чужие скрипты?

в нем достаточно нажать tab невовремя, разглядывая распакованный tar (или даже нераспакованный).
http://www.opennet.dev/opennews/art.shtml?num=45997

> Чтобы поэксплуатировать уязвимость в bash'е нужно
> сначала как-то в систему проникнуть.

я и спрашивал - ты системой-то пользоваться собираешься? А то если нет - то и андроид неплохо защищен в представленном сценарии.
Такой вот получается огромный и неудобный токен. Но общедоступный, и, кстати, дешево.

> Я говорил о браузере и почтовом клиенте как о приложениях, обрабатывающих сырые данные,

ты очень фиговый эксперт. У тебя _все_ приложения внезапно могут обработать "сырые данные" - если ты вообще пользуешься компьютером для работы.

> обыкновенном компе таких пограничных приложений гораздо меньше, чем на телефоне. На
> телефоне чуть ли не каждое приложение лезет в сеть на тот или иной сервер.

на телефоне далеко не каждое приложение куда-то лезет, и тем более не каждое делает это опасным путем, а не через api "получить через гугля денег с лоха", неплохо защищенное от попадания денег лоха мимо кармана гугля.
Причем, приложения работают в сандбоксе, и поломав приложение не имеющее штатного доступа к крипто-дивайсу, никуда ты из него особо не дернешься, понадобится еще много чего поломать, последовательно, и быстро, пока хозяин не очухался - см первый абзац.

> Ну, поехали. Стандартный телефон содержит в себе порядка 5-7 процессоров или других

ох, а сколько всего интересного содержит "стандартный" писюк на baytrail - ты ужаснешься.
Причем доступ ко всему этому есть (через апи, конечно) у любого юзера, скажи спасибо всяким Console-kit, ненужноd и прочему хламу для альтернативно-одаренных пользователей, меняющему пермишны на ходу и без спросу или предоставляющему "сервис" в обход них.

> являются полноценными процессорами ARM, например RPM. У вас на компе это
> всё есть?

конечно. Для начала подумай, как это он у тебя вообще включается по нажатию кнопки на usb клавиатуре, или по таймеру, если процессор обесточен, вроде бы?
И еще иногда пресловутый AMT, отменяющий даже те слабенькие защиты, которыми нас облагодетельствовал интел.

> Вы на комп ставите разные левый варез? Особенно, под Linux? В то
> же время, из Google Play народ ставит весьма сомнительные приложения сотнями.

очень странный передерг. Я на комп, кстати, ставлю (потому что нелевый либо недоступен, либо не по деньгам, а жить как-то надо). А из гугл плей не ставлю, нахрен не нужно.
"народ" понаставит и туда и туда.

> Я не понаставил. Но у меня под Linux'ом больше возможностей добыть исходники
> приложений, чем в случае с андроидом.

от того что ты "добыл исходники", в твоем линуксе не меняется ровным счетом ничего. (если сайт с исходниками (любой из миллиона!) подменили или поломали, то еще ты добыл эксплойт для баша, ага)
А проверить эти исходники хотя бы на отсутствие заведомо вредоносных закладок (как будто просто ошибок недостаточно) - не в человеческих силах вообще.

> Я не говорю, что на компах абсолютно безопасно, и ломать там нечего.
> Но, на мой взгляд, безопаснее. Если взять именно обновления операционной системы,

взгляд совершенно неправильный. Поскольку мы мешаем мягкое с теплым.

> то все современные дистрибутивы оперативно выпускают обновления.

угу, и как там у редхата/центоси с CVE-2016-10229 в 6.x?  
оно, если что - allows remote attackers to execute arbitrary code
Ах, да - они только-только n_hdlc победили, полугодичной древности.

А первые пол-года и сраный китаец обновления выпускает - ко мне вот даже по воздуху прилетело, едва успел остановить.

> с компом, у вас, как правило, нет проблем, чтобы обновить линукс
> даже на компе 5-10-летней давности. В то же время с телефонами,

как правило, есть проблема - если этот линукс не для красоты стоял.

> срок поддержки девайсов, в лучшем случае, пара лет. Производитель, так уж

в случае с телефонами, никто не пользуется телефоном 10летней давности (кстати, зря - в 2007м были неплохие не-андроедо-based телефоны. Наверное, даже пресловутый гуглеаутентификатор на них работает, если вручную вбить код)
Да, надо вовремя избавляться от хлама, к счастью, он стоит $100 а не $1000 как минимально-приличный компьютер. (а если обзаводиться именно как токеном - то и за 2000ре с лейблом мегафон вполне можно - какая разница какую симку в него НЕ вставлять никогда)

Суммируя: вы - прекрасный образец человека, которому _нужно_ использовать предложенную технологию. Потому что в технологии разбираетесь из рук вон плохо. А эта штука, в целом, сделана хорошо и правильно. Векторы атаки есть, но они либо для гугля (_вам_ точно не гугля надо бояться) либо их в разы меньше чем в _вашем_ случае с писюком (в силу вашего очень слабого понимания, как и что там работает), и при удачном стечении обстоятельств эта штука вам поможет вовремя нивелировать атаку на писюк (вылезет предложение подтвердить аутентификацию, которую вы не инициировали - вот тут батарейку долой, и идем разбираться, откуда оно).

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

173. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 18:31 
> угу, и как там у редхата/центоси с CVE-2016-10229 в 6.x?  

А что с ним не так? Я серьёзно спрашиваю, может я не в курсе.
https://access.redhat.com/security/cve/cve-2016-10229
https://access.redhat.com/solutions/3001781

Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

177. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от пох on 05-Май-17, 22:27 
> А что с ним не так? Я серьёзно спрашиваю, может я не
> https://access.redhat.com/security/cve/cve-2016-10229

04-19 - мгм...
баг всплыл в начале апреля (в смысле, о нем уже все узнали, а судя по cve некоторые знали сильно раньше), через пару недель осилили значить...
Я к этому времени уже потерял интерес к вопросу, хотя и удивлен, почему это в рассылке тихо.

Если "серьезно" - возьми да и приложи патч - если прилепится, будут вопросы к редхату. (мне интересно, с чего это они решили что неуязвимы, когда nvd считает иначе, но не настолько чтоб возиться - у меня, к счастью, нет редхатов в открытых сетях)

А пока у меня полный мэйлбокс писем про hdlc и dccp - это уже сколько, пол-года исполнилось или еще рано поздравлять? По hdlc (local root прямо сразу) даже для семерки фикс пришел 12 апреля, что-ли... Original release date: 03/07/2017

Ответить | Правка | ^ к родителю #173 | Наверх | Cообщить модератору

180. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от IZh. on 06-Май-17, 01:34 
А вы -- прекрасный образец задранного самомнения, любящий переходить на личности, и обвинять всех и каждого в незнании. ;-)

За 100 баксов будет хлам, а не телефон с поддержкой из Китая или Индии, и соответствующим уровнем сервиса. Хорошие телефоны от более-менее нормальных вендоров стоят дороже.

Обновления для телефона выходят часто раз в полгода, и это в лучшем случае. Сравните с частотой выхода обновлений обычного линукса.

Уж сколько раз было, что вендоры забывали обновлять телефоны, концентрируясь на новыз моделях. И речь не о десятилетних девайсах (это вы передёргиваете), а о стандартном сроке поддержки, который в большинстве случаев составляет 2, и лишь в редких -- 3 года. Через 3 года девайс превращается в набор дыр.

Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие от стоковой прошивки, защищённой от изменения при помощи Secure boot и всяких там root detection daemon'ов. Наличие исходников всегда лучше их отстутствия. Утверждать обратное, как минимум, нелогично.

На компе никто не отменял тот же MAC (хоть SELinux, хоть любой другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery + Privoxy + ... А у вас на андроиде много браузеров с подобными аддонами?

Все приложения "сырые" данные не обрабатывают. Чтобы поэксплуатировать дыру в том же GIMP'е меня нужно сначала как-то убедить скачать картинку с эксплоитом, и зачем-то начать её редактировать. Очень, знаете ли, маловероятная атака. Равно как и ваш пример с tar-архивом. Я, вот, через mc файлы смотреть предпочитаю -- замучаетесь под меня подбирать эксплоиты и социальную инженерию, чтобы я сделал то, что нужно. А программ, получающих данные извне, на PC не так и много.

Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.

Да, AMT -- зло. Но на телефонах это появилось гораздо раньше, и в большем количестве. Уже были новости про найденные бэкдоры в прошивках модема на самсунгах. Доверенное железо -- это отдельная тема. Но PC я доверяю больше, так как контролирую больше. На PC для особо параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит, позволяющих раздраконить различные популярные BIOS'ы. В случае же с телефоном, secure boot на большинстве девайсов -- и фиг вы что своё зашьёте. Исходников нет. Образы Trust Zone и модема часто зашифрованы (что и не дизассемблируешь), и что там у них в голове происходит, одному производителю известно.

Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил, апдейтов что-то не видно. Ибо компания сейчас сосредоточена на HTC U -- следующем флагмане. И некогда им думать о каких-то CVE. И это HTC -- не последняя фирма.

(И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать, должно сойтись несколько условий:
1) Приложение, использующее MSG_PEEK (относительно редкий вариант -- все тупо мониторят сокет, и вычитывают, что пришло)
2) Буфер должен быть меньшего размера.
Вы так часто пишете? Соответственно, чтобы проникнуть таким способом на девайс, ещё нужно найти приложение, в котором UDP используется таким образом.)

Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

181. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 06-Май-17, 03:22 
> За 100 баксов будет хлам, а не телефон с поддержкой из Китая

я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?
> или Индии, и соответствующим уровнем сервиса.

то есть все же - понтoваться?

> Хорошие телефоны от более-менее нормальных

для озвученной задачи не нужен хороший. Нужен минимально-китайский - типа вон валяющегося у меня на столе (он, на самом деле, overpriced - где-то в столе лежит "мегафон", в девичестве m3sa - стоил аж тыщу рублей, новый, да, в мегафоне. Все, кроме tpm модуля, там есть. В том что за сто есть и модуль (хз как понять, умеет ли он им пользоваться) Апдейты, что характерно, первые пару лет тоже были, хотя и не по воздуху, четверка, кажись, так вообще не умела. Дальше ему полагалось быть либо разбитым, либо просто так выкинутым. Что, в целом, и слуцилась.

> Обновления для телефона выходят часто раз в полгода, и это в лучшем

для пресловутого мегафона они выходили раз в пару месяцев.

> случае. Сравните с частотой выхода обновлений обычного линукса.

мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен.
хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему).
Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.

> Уж сколько раз было, что вендоры забывали обновлять телефоны, концентрируясь на новыз
> моделях. И речь не о десятилетних девайсах (это вы передёргиваете), а

это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тоже не всякий линукс стану обновлять (эмм...собственно, какого года у меня этот - 13го, наверное? Обновлению не подлежит, совсем. Сломается gpu, необратимо.)

> о стандартном сроке поддержки, который в большинстве случаев составляет 2, и
> лишь в редких -- 3 года. Через 3 года девайс превращается

повторяю: дивайс за $100 надлежит за эти два (даже не три) разбить, потерять или просто выкинуть и новый купить. С компьютером 2013го, что характерно, этого не сделаешь - и не 100, и, в общем, жалко.

> Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие

эмм, ну как обычно - много сам-то пофиксил? А вот упомянутый товарищ?

> от стоковой прошивки, защищённой от изменения при помощи Secure boot и
> всяких там root detection daemon'ов. Наличие исходников всегда лучше их отстутствия.

как минимум - наличие исходников упрощает хакеру поиск дыр.

> На компе никто не отменял тот же MAC (хоть SELinux, хоть любой

покажите мне того, кто им пользуется на личном компьютере, хоть домашнем, хоть еще каком?
targeted не показывайте - или перечислите реально используемые _вами_ на таком компьютере программы, для которых есть target. А то ведь окажется, что вы надежно защищены от чего-нибудь типа rsyslog.
Вот всяких install.html и README.md начинающихся с "первым делом отключите" я начитался тыщи. Но это про серверный софт, там есть таргеты.

> другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery +
> Privoxy + ... А у вас на андроиде много браузеров с

и вы все это вот, конечно же, хотя бы бегло глазами пробежали, не добавляет ли оно вам больше проблем, чем решило? (особенно вот ghostery, учитывая реальный бизнес этой конторы)

> подобными аддонами?

не переживайте, у вас на десктопе тоже скоро не будет. Что там из них совместимо с модным-новым-гугловым типом расширений?

> Все приложения "сырые" данные не обрабатывают. Чтобы поэксплуатировать дыру в том же
> GIMP'е меня нужно сначала как-то убедить скачать картинку с эксплоитом, и
> зачем-то начать её редактировать.

то есть я и говорю - компьютером вы не пользуетесь.
> Очень, знаете ли, маловероятная атака.

если гимпом пользоваться по назначению - вполне вероятная. Если им не пользоваться вовсе, то, конечно, нет.

> Равно как и ваш пример с tar-архивом. Я, вот, через mc файлы смотреть

в нем уже встроенный tar-смотрельщик, а не экстеншн, запускающий тот же tar? ctrl-o, tab [выполняется $SHELL в pty] - для вас точно-точно в принципе невыполняемая комбинация?

> предпочитаю -- замучаетесь под меня подбирать эксплоиты и социальную инженерию, чтобы

тут и подбирать не нужно, mc - насквозь гнилой софт.

> я сделал то, что нужно. А программ, получающих данные извне, на
> PC не так и много.

_все_ программы на моем pc - получают "данные извне". Я не создаю данных, кроме вот писанины на сайте, которая после submit тоже превращается в "данные извне".

> Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.

кто сказал, что официальный репо не хакнут/автор не поехал крышей/не получил предложение от которого нельзя отказаться?
Кстати, что вы только что бормотали про исходники - вы их тоже исключительно в официальных пакетах изучать собрались?

> Да, AMT -- зло. Но на телефонах это появилось гораздо раньше, и

да, зло - стоит, сссскотина, денег неприличных.

> в большем количестве. Уже были новости про найденные бэкдоры в прошивках
> модема на самсунгах.

где имение, а где вода? Опять же - вы играете в опасные игры с ФБР и ФСБ? Чтобы тот бэкдор использовать, надо сильно дружить с самсунгом, и иметь оборудование, вряд ли доступное частному лицу в нашей стране.
И да, уже были (и гораздо раньше истории с самсунгом) новости про скрытое ядро vm прячущееся в BMC китайского сервера (а других у вас нет) - хз зачем и что оно там делало.

> я доверяю больше, так как контролирую больше. На PC для особо

да ничего вы не контролируете, это вам кажется только.
> параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит,
> позволяющих раздраконить различные популярные BIOS'ы.

популярные биосы десятилетней давности были блобом этак на пару пакованных мегабайт, успехов в дизассемблировании. Современный вы ни разобрать, ни понять в нем ничего вообще не сможете, благодаря новым модным интеловским технологиям, а размером он уже в десятки.

> Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC
> 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил,

видите как плохо покупать дорогостоящие пoнты подорого? ;-)

> это HTC -- не последняя фирма.

китаец как китаец.

> (И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать,
> должно сойтись несколько условий:

я вообще не знаю, что за хрень может штатно ТАК работать (хотя для кого-то ж этот апи "понюхать пакет и запихать обратно в дырку откуда взяли" придумали), но - а кто сказал что "хрень" это делает не намеренно - и ее вы же сами и запустили?

> Вы так часто пишете?

каждый раз как пишу троянца, ага.

> нужно найти приложение, в котором UDP используется таким образом.)

оно само вас найдет, не переживайте.

до кучи - наберите netstat -ua и задумайтесь о грустном (я вот задумался. Нет, это нельзя выбросить, и верифицировать тоже. И оно кривое, это я хорошо знаю)

Ответить | Правка | ^ к родителю #180 | Наверх | Cообщить модератору

183. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от IZh. on 06-Май-17, 12:39 
> я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?

Мне бы в идеале один телефон.

> мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен. хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему). Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.

Мы про обновления ядра. У меня, например, VPS есть на OpenSUSE, и обновления ядра прилетают в худшем случае раз в месяц-два. И всё остальное фиксится весьма оперативно, в отличие от устройсв Sony, HTC и др., коими доводилось пользоваться.

> это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тоже не всякий линукс стану обновлять (эмм...собственно, какого года у меня этот - 13го, наверное? Обновлению не подлежит, совсем. Сломается gpu, необратимо.)

13-го? Если бы это был телефон, вы бы уже три года без обновлений жили.

>> Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие
> эмм, ну как обычно - много сам-то пофиксил? А вот упомянутый товарищ?

Ну, допустим, некоторое количество моих патчей давно в апстриме, включая патчи на ядро линукса (при этом баги нашёл сам). А так, да, чайник-чайником.

> как минимум - наличие исходников упрощает хакеру поиск дыр.

Или поисх бэкдоров и аудит безопасности.

>> другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery +
>> Privoxy + ... А у вас на андроиде много браузеров с
> и вы все это вот, конечно же, хотя бы бегло глазами пробежали, не добавляет ли оно вам больше проблем, чем решило? (особенно вот ghostery, учитывая реальный бизнес этой конторы)

Я говорю про то, чем пользуюсь, а не рассуждаю абстрактно.

> не переживайте, у вас на десктопе тоже скоро не будет. Что там из них совместимо с модным-новым-гугловым типом расширений?

У меня SeaMonkey, и я всем доволен. ;-) Ближайшую пару лет можно точно не беспокоиться.

>> Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.
> кто сказал, что официальный репо не хакнут/автор не поехал крышей/не получил предложение от которого нельзя отказаться? Кстати, что вы только что бормотали про исходники - вы их тоже исключительно в официальных пакетах изучать собрались?

Верификация соответствия исходников бинарникам -- отдельная тема. Я говорил про разумный уровень недоверия. В первую очередь, я имел в виду атаки извне. А то, знаете ли, можно дойти до того, что начать выращивать еду в собственном огороде. А то вдруг в супермаркете кто-нибудь отраву подсыплет? Там-то у еды цифровой подписи нет.

Да, если придёт официальный апдейт с официальным бэкдором, то будет всё плохо. Но в этом мире приходится кому-то доверять.

>> параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит, позволяющих раздраконить различные популярные BIOS'ы.
> популярные биосы десятилетней давности были блобом этак на пару пакованных мегабайт, успехов в дизассемблировании. Современный вы ни разобрать, ни понять в нем ничего вообще не сможете, благодаря новым модным интеловским технологиям, а размером он уже в десятки.

Полно разных утилит на биос-моддерских форумах. Там народ прекрасно раздербанивает их на модули, и, например, апгрейдит драйверы на старых материнках или добавляет поддержку RAID'а туда, куда официальный производитель добавлять не стал. Например, http://www.win-raid.com/t18f16-Guide-Manual-AMI-UEFI-BIOS-Mo...

>> Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC
>> 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил,
> видите как плохо покупать дорогостоящие пoнты подорого? ;-)

Девайс, в целом, отлично выполняет свои задачи.

>> (И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать, должно сойтись несколько условий:
> я вообще не знаю, что за хрень может штатно ТАК работать (хотя для кого-то ж этот апи "понюхать пакет и запихать обратно в дырку откуда взяли" придумали), но - а кто сказал что "хрень" это делает не намеренно - и ее вы же сами и запустили?

Ну так и я о том. Вам сначала надо установить такое приложение, а потом ещё и получить такой пакет из сети. У меня, вот, на компе фаервол стоит.

> до кучи - наберите netstat -ua и задумайтесь о грустном (я вот задумался. Нет, это нельзя выбросить, и верифицировать тоже. И оно кривое, это я хорошо знаю)

Задумывался. iptables -- мой ответ. Плюс самописный детектор атак, который анализирует логи, и добавляет адреса в чёрный список. Первый скан портов или неверный пароль по ssh или попытка обратиться в каталог типа /admin/ на сайте -- бан на сутки, второй -- на две недели, третий и последующий -- на три месяца. И ежедневный отчёт на почту -- сколько забанено всего, и сколько новеньких сегодня.

Ответить | Правка | ^ к родителю #181 | Наверх | Cообщить модератору

140. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (??) on 05-Май-17, 10:34 
Уж лучше Yubikey или аналоги чем это.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

142. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Майор Домушник on 05-Май-17, 11:10 
Yubikey нативно еще работает на macOS, Windows, Linux при логине.
Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

147. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох on 05-Май-17, 12:13 
> Уж лучше Yubikey или аналоги чем это.

не лучше.
Во всяком случае, было пару лет назад, когда я его всерьез разглядывал.

То есть, там не было единственно-правильного варианта, когда a) ключи не покидают устройство ни в каком случае - можно только показать ему _открытый_ ключик и попросить вердикт или, то что делает предложенная андроедоненужность - показать зашифрованный открытым ключиком server secret, получить в ответ расшифрованный (закрытый ключ _остается_внутри_токена_), зашифровать им ответ серверу "это я". (пункты 2-3 можно в принципе не выпускать наружу из токена, но это уже становится сильно protocol-specific).

и b) все это делается локально без "облачков".

Там, вместо этого, были совершенно ненужные варианты "что-то зашифровать block cipher" (это я могу и на основной системе) и "спросить у облачка подтверждение авторизации" - причем, поскольку индусы сэкономили три цента, вариант выбирается при инициализации ключа, если тебе нужен второй - купи два, а то индусу не хватает на краску для лба.

Слегка утрировано, но суть сохранена - это феерическое ненужно за много денег и с неочевидным (в плане легальности) путем покупки - от рюйских дилеров не удалось даже ответ получить.

А, ну и да - зашшшита в виде сенсорной кнопки, пинпад/сканер отпечатков индусы тоже не осилили. Любой, сперший у тебя флэшку, автоматически получает все твои пароли.

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

172. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от _ (??) on 05-Май-17, 17:41 
Ох, Ё! ... Дык ты из ЫкспЁрдов!
А я балбес с тобой как с мужиком разговаривал :(

Для остальных - да, не верьте ему, оно не в теме.
Вот лучше _сами_ читайте, смотрите картинки и думайте:
https://developers.yubico.com/U2F/Protocol_details/Overview....

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

174. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от нах on 05-Май-17, 20:44 
> Для остальных - да, не верьте ему, оно не в теме.

действительно не в теме - я изучал вопрос в том самом "2014" (на деле в 15м, но недалеко ушло) когда оно без гугля (который и начал навязывать всем подряд эту хрень) вообще ничего не могло - только работать банальной шифровалкой (причем в этом втором случае - не работал хитропротокол) и никакого "developer" у них в помине не было.

> Вот лучше _сами_ читайте, смотрите картинки и думайте:

мну бегло посмотрел, подумал что это просто полный п-ц. Воняет индусятиной как будто в Бомбее в местный сpальник забежал.
Вместо того чтобы сделать ровно ту хрень, которую я описывал, придумано очередное меганавороченное ненужно.  "very new protocol and is currently only supported by Google Chrome"
Кто, чорт возьми, готов потратить месяцы своего времени на детальный анализ очередного very new ненужно? Кто готов потом отдельно анализировать код, который придется пихать разом и на клиента, и на сервер - отдельно, потому что протокол может быть всем хорош и изумителен, а код написан как обычно (на практике провижу мегазапутанный протокол, к которому хороший код написать вообще нельзя).

Ну и до кучи - хорошо забытое старое:
https://developers.yubico.com/OTP/
(сейчас оно даже научилось, оказывается, обходиться собственным "validation server", не прошло и четырех лет, но это снова меганавороченная херня с хипстерским rest api - уверен, насквозь гнилая. Ну что она на пехепе, это уже цветочек на могилке).

нет, блжад, вы ЭТО предлагаете тем, кто панически боится андроида и простого механизма, использующего _стандартную_ - действительно много кем щупанную на прочность модель ssh keys?

А, ну и до кучи - по прежнему защиты от кражи никакой. Используйте двухфакторную аутентификацию и весь этот ад с сложными легкозабываемыми паролями, которые нельзя поменять локально.

короче, лучше пользуйте это дерьмище по прямому назначению - для авторизации в гмэйл, где храните письма бабушки, и куда там оно еще - such as Wordpress and Django. (скажите, вас _совсем_ не расторожило что это у них _первым_ пунктом возможных применений?)


P.S. вы испортили мне вечер. Я не то чтобы верил, что у них за эти годы вышло что-то хорошее, ознакомившись на раннем этапе, но даже не ожидал что по ссылке будет такой ад и п-ц, и что находятся люди (мнящие себя сирьозными пацанами), которые этого сразу же не понимают.

Ответить | Правка | ^ к родителю #172 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру