TrueCrypt + Internet
Насколько безопасна данная связка? Один мой знакомый принципиально не использует TC когда компьютер подключен к интернету под виндами (боится, что из сети узнают ключи или незащищенные данные для ускоренного подбора ключа позже)
Это параноя или в какой-то степени может быть оправдано? И если последнее, то вечный вопрос: где утечка и как защититься ?
комментариев: 1060 документов: 16 редакций: 32
Та штука – это вроде картридер с собственной клавиатурой – чтобы защитить пин от перехвата в случае злонамеренности терминала. В общем, замысел тут в том, что у клиента есть устройство, которому он может доверять.
Какого ещё терминала? PIN не передаётся же никогда, только пароль (в интернет-банкинге).
комментариев: 1060 документов: 16 редакций: 32
Тогда пардон, я неверно понял, что это за устройство. Я думал, что это кардридер, который подключается, например, по USB и имеющий свою клавиатуру – чтобы кейлоггером было пароль не увести. "Терминал" тут в наиболее широком смысле.
комментариев: 9796 документов: 488 редакций: 5664
Есть прямо в виде карточек. Где-то планировались проекты смарт-карт со встроенной номерной клавиатурой и экраном на электронных чернилах, которые потребляют очень мало энергии и способны годами работать от встроенной батарейки. Грубо говоря, это аппаратный хэш-KDF от встроенного ключа и часов для одноразовой парольной аутентификации. Клавиатура используется для подстройки часов, ввода PIN и доступа к простейшим функциям. На карточке есть экран для вывода краткосрочных пинов, которые надо перепечатать на клавиатуре компьютера, подключённого к интернет. Сама карточка в таком сценарии физически ни к чему не подключается. Для интернет-оплаты и банкинга было бы удобно.
Не, не, там всё, как unknown описал. Это именно отдельное air gapped устройство, оно не подключается ни к чему и никогда, там и интерфейсов никаких для подключения нет. Это просто как калькулятор на столе.
Они тут просто пошли дальше: совместили кардридер (в этом смысле) и саму карту в единое устройство.
С кардридером оно ровно так и работает, просто его нужно с собой дополнительно всюду таскать. Они потом дальше разработали мобильный банкинг — это возможность делать интернет-покупки онлайн через смартфон, аутентифицируются они точно так же через кардридер. Однако, тенденции таковы, что им хочется пойти ещё дальше и нарушить безопасность в пользу удобства: сделать привязку платежей не к карте на чипе, а к параметрам чипа на самом смартфоне, т.е. объединить банковскую карточку, телефон и кардридер в одно устройство. Поскольку аутентификация транзакций будет привязана к секрету на чипе телефона, пока телефон не потерялся, посторонние не смогут сделать покупку. Параллельно для пущей безопасности это хотят привязать к position based cryptography. Конечно, основной метод фишинга при этом всё равно остаётся (взлома софта на смартфоне, при котором более нельзя доверять ничему, что написано на экране).
комментариев: 9796 документов: 488 редакций: 5664
Мало того, что надо палить им свой телефон, так ещё и GPS-координаты?
Там были какие-то ещё тонкости, но я уже забыл их. Например, можно сделать так, что если вы переводите на другой счёт кому-то, то потребовать, чтобы этот другой находился с вами в географической близости — это в некотором смысле имитирует требования для передачи наличности из рук в руки, когда вы с кем-то вместе и хотите за него покупки оплатить.
«Position based crypto», кажется, встречалось даже квантовое.