Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Il difetto della fotocamera è un'impronta digitale unica
Nuovo argomento   Rispondi    Indice del forum -> Scienze e nuove tecnologie
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 19 Gen 2021 20:00    Oggetto: Il difetto della fotocamera è un'impronta digitale unica Rispondi citando

Leggi l'articolo Il difetto della fotocamera è un'impronta digitale unica
Rivoluzionario sistema di autenticazione ideato da una startup italiana.


 

 

Segnala un refuso
Top
{Michele}
Ospite





MessaggioInviato: 20 Gen 2021 08:52    Oggetto: Rispondi citando

Sono perplesso, se la "chiave privata" viene acquisita dal software analizzando i dati della telecamera (come indicato nell'articolo, ossia acquisendo immagini) cosa frena un attaccante dal dedurre tale chiave osservando le mie foto?
Cioè, il fatto che la chiave non sia facilmente clonabile fisicamente perché legata a propietà fisiche del dispositivo, è sicuramente una bella cosa, ma non dovrebbe essere anche riservata? (le foto che scatto non lo sono).
Oltretutto la chiave privata è un numero, trafuga il numero e potrai impersonare l'utente a prescindere da cosa tu possieda fisicamente.
Da quanto scritto nell'articolo non capisco quindi come si impedisca ad un attaccante che osserva delle foto scattate dalla fotocamera vittima, di applicare le stesse logiche di analisi "difetti" e calcolare così la stessa chiave privata.
Sicuramente ci avranno già pensato e ci sarà qualche dettaglio non riportato nell'articolo per necessità di sintesi, in caso potreste integrare nei commenti?
Top
zero
Dio maturo
Dio maturo


Registrato: 22/03/08 17:34
Messaggi: 1385

MessaggioInviato: 20 Gen 2021 09:52    Oggetto: Rispondi citando

Concordo con Michele,
Inoltre lo smartphone e' INSICURO per definizione, vista la quantita' di malware che circola.

Citazione:
La tecnologia ToothPic può essere utilizzata per accedere a conti bancari,

Pessima idea. Gli smartphone NON sono sicuri. Inoltre e' facile perderli o dimenticarli da qualche parte.
Meglio i vecchi generatori di token, che posso tenere in un luogo sicuro
Top
Profilo Invia messaggio privato
Paolosalva
Semidio
Semidio


Registrato: 16/12/17 15:32
Messaggi: 232
Residenza: Italia

MessaggioInviato: 22 Gen 2021 12:49    Oggetto: Rispondi citando

Come troppo spesso succede, anche in questo sito che dovrebbe essere serio, chi scrive l'articolo non si preoccupa minimamente che sia completo ed esaustivo, gli basta avere un titolo clickbait. Licenziatelo!
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 10040
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 23 Gen 2021 15:08    Oggetto: Rispondi citando

{Michele} ha scritto:
Sono perplesso, se la "chiave privata" viene acquisita dal software analizzando i dati della telecamera (come indicato nell'articolo, ossia acquisendo immagini) cosa frena un attaccante dal dedurre tale chiave osservando le mie foto?
Cioè, il fatto che la chiave non sia facilmente clonabile fisicamente perché legata a propietà fisiche del dispositivo, è sicuramente una bella cosa, ma non dovrebbe essere anche riservata? (le foto che scatto non lo sono).
Oltretutto la chiave privata è un numero, trafuga il numero e potrai impersonare l'utente a prescindere da cosa tu possieda fisicamente.
Da quanto scritto nell'articolo non capisco quindi come si impedisca ad un attaccante che osserva delle foto scattate dalla fotocamera vittima, di applicare le stesse logiche di analisi "difetti" e calcolare così la stessa chiave privata.
Sicuramente ci avranno già pensato e ci sarà qualche dettaglio non riportato nell'articolo per necessità di sintesi, in caso potreste integrare nei commenti?

In realtà la chiave privata non è memorizzata da nessuna parte ma viene rigenerata ogni volta che serve tramite il "pattern" del sensore dello smartphone e l'algoritmo del SW ToothPic, poi viene cancellata, quindi, senza entrambi gli elementi e la necessità di generazione, la chiave privata non esiste.
Ovviamente lo smartphone deve essere adeguatamente protetto da accessi indesiderati in caso di smarrimento o furto, ma questo vale comunque e per qualsiasi dispositivo utilizzato in una catena di sicurezza informatica.
Top
Profilo Invia messaggio privato
{Michele}
Ospite





MessaggioInviato: 23 Gen 2021 17:25    Oggetto: Rispondi citando

@gladiator : che la chiave venisse rigenerata ogni volta a partire dall'hardware mi era chiaro.
Quello che mi lasciava perplesso è che la sorgente del rumore usato per derivare la chiave ogni volta è immutabile e pubblica (questo ho capito da quanto scritto, da qui la mia perplessità).
Immutabile perché il sensore della videocamera non posso cambiarlo.
Pubblico perché le foto che scatto immortalano questo rumore (nelle foto), osservandone molte dovrebbe essere possibile inferirlo (esattamente come fa l'app che acquisisce immagini ad ogni richiesta di "firma" per rigenerare la chiave).
Quindi se ho Instagram e pubblico centinaia di foto o meglio video, chiunque potrà osservarli (se non proprio tutti almeno un centinaio di persone..che non è poco).
Con queste informazioni, al netto della codifica (che potrebbe interferire) dovrebbe potersi calcolare il "rumore" unico della videocamera.

A quel punto posso essere impersonato.
Questo era il mio ragionamento, e da qui la mia perplessità.
Top
yayo75
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 07/08/06 21:53
Messaggi: 84

MessaggioInviato: 23 Gen 2021 19:05    Oggetto: Rispondi citando

Concordo con Michele.

Se l'impronta unica del dispositivo è riflessa nella foto, è poco diverso dall'impronta digitale: non ti serve necessariamente il dito, basta rilevare l'impronta dalle ditate che lasci in giro toccando dappertutto. : P

Immagino che il massimo che si potrebbe fare sarebbe usare l'impronta rilevata in modo unico, tipo alterandola in qualche maniera non conoscibile (supponendo via codice proprietario, non opensource). Ma col reverse engineering secondo me andando per tentativi si sgamerebbe l'algoritmo. Durerebbe poco.

O altrimenti inserirsi in cima alla catena di controllo del dispositivo, cioé sopra ogni altro software, facendo da ponte, quindi rilevando il dato che serve ma poi alterandolo per tutte le applicazioni che vogliono accedere alla fotocamera per fare foto, così che le foto siano "ripulite".
Ma andrebbe fatto di fabbrica, perché se installi il software manualmente dopo aver riempito il tuo profilo social di foto...

Boh... Mi pare interessante a uso studio, ma non per implementazione pratica.
Personalmente mi fido di queste pensate solo per la sicurezza di dati di poco conto.
Per il resto, finché non mi danno un dispositivo completamente open... : /
Top
Profilo Invia messaggio privato HomePage
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 10040
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 23 Gen 2021 19:09    Oggetto: Rispondi

@{Michele}

La chiave viene generata dall'algoritmo dell'app tramite il fingerprint del sensore non tramite delle immagini:

Citazione:
Everytime a key needs to be unlocked, the Key Protection SDK takes control of the camera for a few seconds and reads the sensor fingerprint. No interaction is required from the user.


Quindi per generare la chiave vengono utilizzati una caratteristica intrinseca dello smartphone - non delle immagini acquisite dallo stesso - ed un algoritmo proprietario dell'app che gira in area protetta:

Citazione:
For this reason, the best smartphone-based cryptographic systems do not store data and perform calculations like any other app does — they use secure computation environments that guarantee application integrity and data confidentiality. This can be done using e.g. the trusted execution environment or whitebox cryptography techniques.


Spero di aver chiarito meglio quanto ho evinto dalle spiegazioni presenti nel sito dello sviluppatore.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Scienze e nuove tecnologie Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi