hruza

boze boze, kdy uz na idnes zacnou psat clanky lidi co tomu rozumi... bod 4 - zabezpeceni pomoci certifikátu zcela opomiji ulozeni certifikatu a klicu na cipove karte, coz je neco uplne jineho nez v souboru na disku, usb atd. Certifikat v souboru je z hlediska bezpecnosti uplne o nicem, coz ted dokazaly pripady z KB...

Heslo × certifikát

Tak heslo je nejnižší způsob zabezpečení? Když mi někdo ukrade certifikát i s usb klíčem, může jej zkusit rozšifrovat stokrát, tisíckrát, miliónkrát... Když je heslo obvyklého typu "maruska1", má útočník velmi vysokou šanci. Jak lze podobného efektu docílit s heslem, když na zadání hesla v bance mám tři pokusy? Jak mi může někdo ukrást něco, co existuje pouze v mojí hlavě?!

Vůbec se nedivím, že větší počet průserů má právě KB a nikoli - dle "odborníků" - hůře zabezpečená ČS.

Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

sdělit, jak silné je zabezpečení pomocí certifikátu uloženém v šifrovací kalkulačce?

Co když útočník třeba pomocí keyloggeru odchytí několik dvojic: otázka(např. 6-ti místné číslo), odpověď  opsaná z šifrovací kalkulačky (shluk, řekněme 8-mi znaků).

Je reálně možné aby útočník, když se dostane k několika takovýmto dvojicím (dotaz, odpověď) dovedl už dále odpovědi sám generovat pro každý nový dotaz?

Díky předem za případnou odpověď.

Re: Může mi nějaký znalec problematiky, pokud se tady nějaký vyskytne,

Tyhle prostredky jsou (obvykle,  nevylucuji i neci hloupoust) konstruovany tak, ze na rekonstrukci jejich nastaveni je potreba zachytit tech dvojic o mnoho, mnho radu vice nez je vubec k dispozici. Jednodussi utok je zachytit vsechny dvojice otazka odpoved a sestavit tabulku. Jiste riziko tkvi v moznosti nekolikanasobneho opakovani stejne otazky a odpovedi, coz lze obejit kvalitnim generovanim otazek (pripadne dostatecne velikou mnozinou) , pripadne pridanim dalsiho faktoru (napr casu -- nastaveni se meni podle data kdy se ukon provadi).Nebezpecnejsi je ze se utocnik muze napr pomoci spywaru stat "prostrednikem" mezi Vami a bankou. Potom Vam muze podstrcit autentifikacni dialog a vasi odpoved se zadanim jinych udaju podstrcit bance. Takto jde kalkulacku obejit.

Vice napriklad: http://www.schneier.com/blog/archives/2005/03/the_failure_of.html

Je proto treba:

a) kontrolovat SSL certifikaty

b) provadet autentifikaci s neza(vir/spywar)ovaneho pocitace (napr s uzitim Knoppixu).

Knoppix

Na ochranu proti zlodejum je dobra distribuce Linuxu Knoppix. Staci stathnout, vypalit na DVD a nabootovat. Obsahuje browser a kdyz sit pouziva DHCP dokaze se k ni hned pripojt. Potom pouzit firefoxe, a cely kram zase vypnout. Spyware nema sanci dostat se na DVD-R.