id: Гость   вход   регистрация
текущее время 11:07 29/03/2024
Автор темы: Гость, тема открыта 09/01/2008 23:40 Печать
Категории: криптография, openpgp, инфобезопасность, защита дисков, аутентификация, стандарты
https://www.pgpru.com/Форум/PGPdiskWholeDisk/ДвухфакторнаяАвторизация-Фикция
создать
просмотр
ссылки

Двухфакторная авторизация – фикция?


Раньше использовал WDE исключительно с авторизацией по паролю или с ключом Aladdin. Решил попробовать использовать режим, где кроме пароля надо использовать флешку. Вставил флешку во встроенный кардридер (SD 32), при добавлении пользователя выбрал соответствующую галочку, ввел пароль, создал пользователя, зашифровал диск. Все отлично. На флешке образовался файл, что-то типа WDE01. При вставленной флешке и введенном пароле все загружается (шифровался в том числе и системный раздел). При отсутствии флешки жалуется на неправильный пароль. Все как надо. Но, через некоторое время флешка перестала читаться из проводника. Проводник писал, что флешка не отформатирована. Появились и странности при загрузке. Загрузочный экран начал писать, что не может установить местонахождение флешки, но, после введения пароля спокойно загружался, как и с флешкой. Даже если она была вынута. Как такое может происходить? Я бы понял, если бы с флешкой что-то случилось, и я бы потерял информацию. Тут же – наоборот, оказалось возможным обойтись без флешки, что же это за двухфакторная авторизация? Я в недоумении и доверия к WDE изрядно умерилось, хотя пользуюсь программой уже два года (легально).


 
Комментарии
— Гость (10/01/2008 01:04)   <#>
Чёрт! Уже третий человек! А я ведь предупреждал!

"Они все слепыыые", "Никто не замееетит", да? А ведь некоторые замечают, пусть и случайно. Кто оказался прав? А если он сейчас побежит орать повсюду, что в WDE вот такенный бекдор, как мы станем отчитываться перед заказчиками?

И вообще, где все? Надо бы удалить этот тред, так нет, начнут свою обычную шарманку "Да Вы не так поняли, да всё работает, просто...". А через год таких тем станет слишком много и нас раскусят окончательно. Тогда я снова смогу повторить, что "я же предупреждал". А толку... Эх.
— ntldr (10/01/2008 04:30)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
А по сабжу кто-нибудь может сказать? Я вижу как минимум несколько вариантов обьяснения ситуации:

1 – Топикстартер нагло врет. Ничего такого не было.
2 – Топикстартер в чем-то ошибся, или что-то не так сделал.
4 – PGP WDE содержит странный глюк приводящий к возможности загрузки без ключевого файла (?)
4 – Это не глюк, а малодокументированая фича (?)
5 – Это бекдор внесенный злодеями из спецслужб (не очень то вериться что бекдор может быть таким).

Лично я не пользуюсь PGP WDE и не читал досконально его документацию, поэтому не могу ответить на этот вопрос. Однако интересно узнать ответ.
— Гость (10/01/2008 04:42)   <#>
6 – протрояненная версия :)
— Гость (10/01/2008 04:47)   <#>
или с ключом Aladdin

Вот если поискать по слову Aladdin на этом сайте можно узнать много интересного, если мне память не изменяет :=)
— SATtva (10/01/2008 14:30, исправлен 10/01/2008 14:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
С каких это пор PGP использует обычную флэшку как опознавательный знак для аутентификации? Режима два: 1) только пароль (однофакторная аутентификация), 2) открытый ключ на смарт-карте + её PIN-код (двухфакторная аутентификация).

Топикстартер похоже не понимает, о чём пишет. Он просто зашифровал обычную флэшку и решил, что теперь может использовать её в качестве знака опознавания. Учитывая, что PGP WDE поддерживает единовременную аутентификацию (single sign-on), он автоматически открывает доступ ко всем зашифрованным устройствам, доступным в момент запуска ПК. Допускаю, что не найдя при загрузке флэшку, он выдавал по этому поводу ошибку (хотя загрузку всё равно можно было продолжить через меню Bootguard, о чём топикстартер не догадывался, а прочитать в руководстве не пришло ему в голову), но когда флэшка оказалась с битым загрузочным сектором, просто стал её пропускать.

Кстати, если PGP действительно выдаёт ошибку при отсутствии на этапе загрузки зашифрованной флэшки (подтвердить не могу; знаю, что это имеет место в отношении разделов диска, за исключением системного), это, лично на мой взгляд, большая глупость разработчиков: программа подобное отсутствие должна бы просто молча игнорировать.
— Гликоген (10/01/2008 16:01)   <#>
Спасибо всем откликнувшимся. Приятно, что из "Топикстартер нагло врет. Ничего такого не было", я постепенно превратился в "Топикстартер похоже не понимает, о чём пишет". Может быть, с помощью столь выдающихся разъяснений постепенно что-то и понимать начну. Хотелось бы только, чтобы перед продолженем курса обучения учителя попробовали бы хоть раз запустить для ознакомления PGP DEsktop 9.7 (Build 1012) с соответствующей лицензией, и убедились, что режимов аутентификации там не два, а четыре:
1. с ключом eTocken и его пином.
2. с простым паролем (или паролем Windows).
3. с паролем и ключевым файлом на флешке.
4. с паролем и ТРМ модулем (доступен, если модуль присутствует в оборудовании).
— SATtva (10/01/2008 16:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Справедливо, у меня версия не последняя. Но смотрим здесь:

Extended pre-boot smart card support

PGP Whole Disk Encryption has greatly expanded pre-boot authentication to a variety of smart cards. The following smart cards are supported in this release as noted:

  • ActiveIdentity CAC cards, 2005 models
  • Aladdin eToken Pro (without 2048-bit capability)
  • Aladdin eToken 64K (2048-bit RSA capable)
  • Aladdin eToken Pro 32K (2048-bit RSA capable)
  • Charismathics CryptoIdentity plug 'n' crypt Smart Card only stick
  • RSA SID800 (for credential storage only)
  • S-Trust StarCOS smart card
  • Rainbow iKey 3000

В списке только смарт-карты. А что говорит руководство пользователя о заявленной Вами функциональности?
— Гликоген (10/01/2008 17:09)   <#>
Уважаемый SATtva. Я уже понял, что с последней версией Вы не работали. Не думаю, что можно строить какие-то догадки на основе общих рассуждений, т.к. очевидно, что это либо локальный глюк PGP конкретного выпуска в конкрентых условиях, либо результат каких-то моих действий, анализировать которые, не поработав с опять же конкретной версией, невозможно. Я просто проинформировал об интересном, как мне показалось, случае людей, интересующихся PGP. Мне не надо никакой помощи и советов. О чем Вы всё хотите со мной поспорить и что мне доказать, мне не совсем понятно. Впрочем, тому, кто "нагло врет" и "не понимает, о чем пишет", это простительно.
— Гликоген (10/01/2008 17:31)   <#>
x
Two-Factor Authentication
Two-Factor authentication adds another level of security in addition to your PGP Passphrase.
There are a few ways it is offered as listed in the options below.
USB flesh Authentication
requires an ordinary USB flesh Device to be inserted to generate the user key. which wll then
be required every time at startup
TPM (Trusted Platform Module) is a hardware solution
available only with TPM hardware
t
Proceed with passphrase authentication only
Generic USB Flash Device: IG: 3.8 GB Removable Medie
r TPM not available with this hardware
I
zJ
<Back
Next> Cancel Help

Текст с окошка "создать нового парольного пользователя". Ошибки и все в кучу – использовалась программа распознавания. В USB порт была вставлена флешка 4 ггб. Скриншоты в этом форуме не знаю, как делать.
— SATtva (10/01/2008 20:06, исправлен 10/01/2008 20:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если всё так, тогда признаю свою ошибку и прошу извинить меня за резкий ответ (разговоры о бэкдорах в PGP с некоторых пор вызывают реакцию коленного рефлекса). Но "интересность" феномена для меня может подтвердить только его воспроизводимость.
— Praetorian (04/12/2008 02:40)   <#>
Такая же ерунда как и у автора темы
т.е. независимо от того есть флешка или нет меня пускают по правильному паролю
мало того, если включить в биосе флопик, то оно ищет данные аутентификации на нем, а флешку игнорирует. После чего выдает вроде "Authorization USB disk not found press any key to skip two-factor authentication". После спокойно пускает по паролю
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3