?

Log in

No account? Create an account
Security (b)log
Журнал (о) безопасности
Как сертификация продуктов влияет на безопасность 
10th-Sep-2008 03:15 am

Heise Security опубликовало прекрасную историю об уязвимости продукта, прошедшего сертификацию FIPS 140-2.

Сертификация FIPS-140-2 определяет требования к криптографическим подсистемам как в части их физической защиты, так и собственно к их функционалу, процедуре управления ключами, аутентификации и т.п. Продукт, о котором идет речь — USB-флешка Stealth MXP компании MXI Security, выполняющая шифрование данных с использованием алгоритма AES и имеющая считыватель отпечатка пальца для реализации многофакторной аутентификации. Казалось бы, тут мы имеет стопроцентное попадание под требования стандарта и успешное прохождение сертификации по уровню 2 гарантирует нам полную сохранность данных. Правильно?! Нет!

Как обнаружили специалисты Heise Security, программное обеспечение, выполняющее аутентификацию пользователя, когда тот подключает флешку, загружает в оперативную память компьютера хеши текущего (и, возможно, предыдущих) паролей, используемых для аутентификаци. Эти хеши не имеют salt и потому уязвимы для rainbow-атаки.

Итого, продукт прошел сертификацию, получил бумагу, на его безопасности это,видимо, никак не сказалось. Хочу ли я сказать, что такие сертификации бесполезны? Пожалуй, нет, потому что при их отсутствии ошибки могли бы быть еще более устрашающими (хотя уж куда больше? ;) ), но полностью доверять их безопасности, увы, нельзя.

Comments 
10th-Sep-2008 06:17 am (UTC)
Anonymous
Сертификация естественно не панацея. Знаю один русский сертифицированный ФСТЭК-ом и ФСБ продукт, уязвимость в котором позволяет за три минуты получить права LOCAL SYSTEM на компьютере, где он установлен.
10th-Sep-2008 08:03 am (UTC)
А подробнее ?
10th-Sep-2008 06:23 am (UTC)
я правильно понимаю, что про проблемы с безопасность продуктов, сертифицированных ГТК/ФСТЭКом ты не слышал? )))
10th-Sep-2008 08:35 am (UTC)
как бы это сформулировать - я сохранял иллюзии, что "у них" результаты лучше :)
10th-Sep-2008 08:49 am (UTC)
ну давай вместе посмеёмся )))
однако мне хочется надеяться, что всё налаживается, а не превращается в профанацию
10th-Sep-2008 11:02 am (UTC)
а ты мой опус про это забыл?
10th-Sep-2008 04:05 pm (UTC)
напомни?
10th-Sep-2008 06:00 pm (UTC)
http://arkanoid.livejournal.com/183473.html

не совсем, но смежная тематика ;-)

да и винда имеет сертификат Common Criteria, а там чего только не находили..
10th-Sep-2008 08:10 pm (UTC)
а, вспомнил, да. ну, с EAL понятно, физически невозможно проверить целостность этого дела, да и там другое сертифицируется. а тут - дырка именно в сертифицируемом функционале.
10th-Sep-2008 08:03 am (UTC)
Мда.  Сертифицированная секретная железка.. а потом по форумам бродят больные и кричат - AES фигня ! он ненадежен! Хотя виноваты-то конкретные реализации в виде софта..
10th-Sep-2008 08:04 am (UTC)
кстати, ты как-то обещал написать про ГОСТ.
10th-Sep-2008 04:05 pm (UTC)
да, я уже почти собрался
10th-Sep-2008 11:32 am (UTC)
о. шифрованная флэшка )

ivlad, скажи пожалуйста, а как реализована защита на флэшке со сканером отпечатка пальцев ? Я вот слышал от людей, что из такой флэшки память вынимается, ставится на другую, без сканера - и вуаля access granted. А касательно шифрования - я слышал, что есть флэшки, с шифрованием налету, и инфа кладется в память уже шифрованная.

и еще, вот есть такой продукт ШИПКА 1.7 , если кто юзал отпишите. Интересная тема для госорганов, имхо.

http://okbsapr.ru/sh_223.html
10th-Sep-2008 04:28 pm (UTC)
> Я вот слышал от людей, что из такой флэшки память вынимается, ставится на другую, без сканера - и вуаля access granted. А касательно шифрования - я слышал, что есть флэшки, с шифрованием налету, и инфа кладется в память уже шифрованная.

вы все-таки определитесь, что вы слышали. :) зашифровать на основе отпечатка пальца элементарно - представить информацию об отпечатке файла в виде последовательности байт, применить к ней PBKDF2 и получить ключ шифрования, которым уже расшифровывать сессионный ключ.

Страница продукта - одна из самых дурацких, среди тех, которые я видел. Из нее совершенно нельзя понять, что это такое. Флешка с шифрованием? Генератор случайных числел? USB-смарт-карта? offload engine для шифрования?

С Шипкой я не сталкивался, а с Аккордом, кажется, да. Или с аналогичным поделием. Висло и отказывалось загружаться. Не думаю, что я бы доверил такому комплексу ценный сервер.
11th-Sep-2008 12:13 pm (UTC)
Если пошарить по ссылкам над текстом - это что-то вроде USB-смарт-карты.
24th-Sep-2008 12:26 pm (UTC)
Кхгм... :)
This page was loaded Sep 23rd 2019, 6:35 pm GMT.