Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
{Michele} Ospite
|
Inviato: 20 Gen 2021 08:52 Oggetto: |
|
|
Sono perplesso, se la "chiave privata" viene acquisita dal software analizzando i dati della telecamera (come indicato nell'articolo, ossia acquisendo immagini) cosa frena un attaccante dal dedurre tale chiave osservando le mie foto?
Cioè, il fatto che la chiave non sia facilmente clonabile fisicamente perché legata a propietà fisiche del dispositivo, è sicuramente una bella cosa, ma non dovrebbe essere anche riservata? (le foto che scatto non lo sono).
Oltretutto la chiave privata è un numero, trafuga il numero e potrai impersonare l'utente a prescindere da cosa tu possieda fisicamente.
Da quanto scritto nell'articolo non capisco quindi come si impedisca ad un attaccante che osserva delle foto scattate dalla fotocamera vittima, di applicare le stesse logiche di analisi "difetti" e calcolare così la stessa chiave privata.
Sicuramente ci avranno già pensato e ci sarà qualche dettaglio non riportato nell'articolo per necessità di sintesi, in caso potreste integrare nei commenti? |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1945
|
Inviato: 20 Gen 2021 09:52 Oggetto: |
|
|
Concordo con Michele,
Inoltre lo smartphone e' INSICURO per definizione, vista la quantita' di malware che circola.
Citazione: | La tecnologia ToothPic può essere utilizzata per accedere a conti bancari, |
Pessima idea. Gli smartphone NON sono sicuri. Inoltre e' facile perderli o dimenticarli da qualche parte.
Meglio i vecchi generatori di token, che posso tenere in un luogo sicuro |
|
Top |
|
|
Paolosalva Semidio
Registrato: 16/12/17 15:32 Messaggi: 266 Residenza: Italia
|
Inviato: 22 Gen 2021 12:49 Oggetto: |
|
|
Come troppo spesso succede, anche in questo sito che dovrebbe essere serio, chi scrive l'articolo non si preoccupa minimamente che sia completo ed esaustivo, gli basta avere un titolo clickbait. Licenziatelo! |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 23 Gen 2021 15:08 Oggetto: |
|
|
{Michele} ha scritto: | Sono perplesso, se la "chiave privata" viene acquisita dal software analizzando i dati della telecamera (come indicato nell'articolo, ossia acquisendo immagini) cosa frena un attaccante dal dedurre tale chiave osservando le mie foto?
Cioè, il fatto che la chiave non sia facilmente clonabile fisicamente perché legata a propietà fisiche del dispositivo, è sicuramente una bella cosa, ma non dovrebbe essere anche riservata? (le foto che scatto non lo sono).
Oltretutto la chiave privata è un numero, trafuga il numero e potrai impersonare l'utente a prescindere da cosa tu possieda fisicamente.
Da quanto scritto nell'articolo non capisco quindi come si impedisca ad un attaccante che osserva delle foto scattate dalla fotocamera vittima, di applicare le stesse logiche di analisi "difetti" e calcolare così la stessa chiave privata.
Sicuramente ci avranno già pensato e ci sarà qualche dettaglio non riportato nell'articolo per necessità di sintesi, in caso potreste integrare nei commenti? |
In realtà la chiave privata non è memorizzata da nessuna parte ma viene rigenerata ogni volta che serve tramite il "pattern" del sensore dello smartphone e l'algoritmo del SW ToothPic, poi viene cancellata, quindi, senza entrambi gli elementi e la necessità di generazione, la chiave privata non esiste.
Ovviamente lo smartphone deve essere adeguatamente protetto da accessi indesiderati in caso di smarrimento o furto, ma questo vale comunque e per qualsiasi dispositivo utilizzato in una catena di sicurezza informatica. |
|
Top |
|
|
{Michele} Ospite
|
Inviato: 23 Gen 2021 17:25 Oggetto: |
|
|
@gladiator : che la chiave venisse rigenerata ogni volta a partire dall'hardware mi era chiaro.
Quello che mi lasciava perplesso è che la sorgente del rumore usato per derivare la chiave ogni volta è immutabile e pubblica (questo ho capito da quanto scritto, da qui la mia perplessità).
Immutabile perché il sensore della videocamera non posso cambiarlo.
Pubblico perché le foto che scatto immortalano questo rumore (nelle foto), osservandone molte dovrebbe essere possibile inferirlo (esattamente come fa l'app che acquisisce immagini ad ogni richiesta di "firma" per rigenerare la chiave).
Quindi se ho Instagram e pubblico centinaia di foto o meglio video, chiunque potrà osservarli (se non proprio tutti almeno un centinaio di persone..che non è poco).
Con queste informazioni, al netto della codifica (che potrebbe interferire) dovrebbe potersi calcolare il "rumore" unico della videocamera.
A quel punto posso essere impersonato.
Questo era il mio ragionamento, e da qui la mia perplessità. |
|
Top |
|
|
yayo75 Eroe in grazia degli dei
Registrato: 07/08/06 21:53 Messaggi: 103
|
Inviato: 23 Gen 2021 19:05 Oggetto: |
|
|
Concordo con Michele.
Se l'impronta unica del dispositivo è riflessa nella foto, è poco diverso dall'impronta digitale: non ti serve necessariamente il dito, basta rilevare l'impronta dalle ditate che lasci in giro toccando dappertutto. : P
Immagino che il massimo che si potrebbe fare sarebbe usare l'impronta rilevata in modo unico, tipo alterandola in qualche maniera non conoscibile (supponendo via codice proprietario, non opensource). Ma col reverse engineering secondo me andando per tentativi si sgamerebbe l'algoritmo. Durerebbe poco.
O altrimenti inserirsi in cima alla catena di controllo del dispositivo, cioé sopra ogni altro software, facendo da ponte, quindi rilevando il dato che serve ma poi alterandolo per tutte le applicazioni che vogliono accedere alla fotocamera per fare foto, così che le foto siano "ripulite".
Ma andrebbe fatto di fabbrica, perché se installi il software manualmente dopo aver riempito il tuo profilo social di foto...
Boh... Mi pare interessante a uso studio, ma non per implementazione pratica.
Personalmente mi fido di queste pensate solo per la sicurezza di dati di poco conto.
Per il resto, finché non mi danno un dispositivo completamente open... : / |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 23 Gen 2021 19:09 Oggetto: |
|
|
@{Michele}
La chiave viene generata dall'algoritmo dell'app tramite il fingerprint del sensore non tramite delle immagini:
Citazione: | Everytime a key needs to be unlocked, the Key Protection SDK takes control of the camera for a few seconds and reads the sensor fingerprint. No interaction is required from the user. |
Quindi per generare la chiave vengono utilizzati una caratteristica intrinseca dello smartphone - non delle immagini acquisite dallo stesso - ed un algoritmo proprietario dell'app che gira in area protetta:
Citazione: | For this reason, the best smartphone-based cryptographic systems do not store data and perform calculations like any other app does — they use secure computation environments that guarantee application integrity and data confidentiality. This can be done using e.g. the trusted execution environment or whitebox cryptography techniques. |
Spero di aver chiarito meglio quanto ho evinto dalle spiegazioni presenti nel sito dello sviluppatore. |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|