id: Гость   вход   регистрация
текущее время 22:25 28/03/2024
создать
просмотр
ссылки

TrueCrypt + Internet


Насколько безопасна данная связка? Один мой знакомый принципиально не использует TC когда компьютер подключен к интернету под виндами (боится, что из сети узнают ключи или незащищенные данные для ускоренного подбора ключа позже)
Это параноя или в какой-то степени может быть оправдано? И если последнее, то вечный вопрос: где утечка и как защититься ?


 
На страницу: 1, 2, 3 След.
Комментарии
— sentaus (10/02/2015 12:18)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Вряд ли. Может быть, есть что-то общее с ним, но не знаю. Корректную ссылку я уже дал.

Та штука – это вроде картридер с собственной клавиатурой – чтобы защитить пин от перехвата в случае злонамеренности терминала. В общем, замысел тут в том, что у клиента есть устройство, которому он может доверять.
— Гость (10/02/2015 12:24)   <#>
Sentaus, у вас в Германии нет таких штук?

чтобы защитить пин от перехвата в случае злонамеренности терминала.

Какого ещё терминала? PIN не передаётся же никогда, только пароль (в интернет-банкинге).
— Гость (10/02/2015 12:27)   <#>
По этой схеме (с кардридером) также работают платежи на интернет-магазинах. При платёжке картой сначала приходится ввести её данные, а потом выхлоп с кардридера, на котором набивается PIN-код и цифры, выданные сайтом. Зато телефон ни на каком этапе не нужен.
— sentaus (11/02/2015 11:41)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Какого ещё терминала? PIN не передаётся же никогда, только пароль (в интернет-банкинге).

Тогда пардон, я неверно понял, что это за устройство. Я думал, что это кардридер, который подключается, например, по USB и имеющий свою клавиатуру – чтобы кейлоггером было пароль не увести. "Терминал" тут в наиболее широком смысле.
— unknown (11/02/2015 12:02, исправлен 11/02/2015 12:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Есть прямо в виде карточек. Где-то планировались проекты смарт-карт со встроенной номерной клавиатурой и экраном на электронных чернилах, которые потребляют очень мало энергии и способны годами работать от встроенной батарейки. Грубо говоря, это аппаратный хэш-KDF от встроенного ключа и часов для одноразовой парольной аутентификации. Клавиатура используется для подстройки часов, ввода PIN и доступа к простейшим функциям. На карточке есть экран для вывода краткосрочных пинов, которые надо перепечатать на клавиатуре компьютера, подключённого к интернет. Сама карточка в таком сценарии физически ни к чему не подключается. Для интернет-оплаты и банкинга было бы удобно.

— Гость (11/02/2015 12:51)   <#>

Не, не, там всё, как unknown описал. Это именно отдельное air gapped устройство, оно не подключается ни к чему и никогда, там и интерфейсов никаких для подключения нет. Это просто как калькулятор на столе.


Они тут просто пошли дальше: совместили кардридер (в этом смысле) и саму карту в единое устройство.


С кардридером оно ровно так и работает, просто его нужно с собой дополнительно всюду таскать. Они потом дальше разработали мобильный банкинг — это возможность делать интернет-покупки онлайн через смартфон, аутентифицируются они точно так же через кардридер. Однако, тенденции таковы, что им хочется пойти ещё дальше и нарушить безопасность в пользу удобства: сделать привязку платежей не к карте на чипе, а к параметрам чипа на самом смартфоне, т.е. объединить банковскую карточку, телефон и кардридер в одно устройство. Поскольку аутентификация транзакций будет привязана к секрету на чипе телефона, пока телефон не потерялся, посторонние не смогут сделать покупку. Параллельно для пущей безопасности это хотят привязать к position based cryptography. Конечно, основной метод фишинга при этом всё равно остаётся (взлома софта на смартфоне, при котором более нельзя доверять ничему, что написано на экране).
— unknown (11/02/2015 13:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Мало того, что надо палить им свой телефон, так ещё и GPS-координаты?
— Гость (11/02/2015 13:42)   <#>
А вы как хотели? С другой стороны, если в разумных рамках, можно просто очертить ареал обитания, как и в случае с кредитными картами: например, принимать только те платёжки, какие совершены с телефона, находящегося в конкретном городе.

Там были какие-то ещё тонкости, но я уже забыл их. Например, можно сделать так, что если вы переводите на другой счёт кому-то, то потребовать, чтобы этот другой находился с вами в географической близости — это в некотором смысле имитирует требования для передачи наличности из рук в руки, когда вы с кем-то вместе и хотите за него покупки оплатить.

«Position based crypto», кажется, встречалось даже квантовое.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3