לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי         אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה "רק שני דברים הם אינסופיים: היקום והטמטום האנושי, ואני עדיין לא בטוח לגבי הראשון." -- אלברט איינשטיין ________________________________________________________________________________________________________________________________________________________________ חץ ימינה  

לך אחורה   לובי הפורומים > השכלה כללית > מדע, טכנולוגיה וטבע
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 16-07-2012, 17:54
צלמית המשתמש של one_man
  one_man one_man אינו מחובר  
 
חבר מתאריך: 08.12.11
הודעות: 626
כתבה דוקטורנט מאונ' ת"א הצליח לפרוץ הצפנת AES של 128 ביט בעזרת ניתוח צריכת המתח של המעבד

המצגת: http://www.thecom.co.il/files/wordo...A-CryptoDay.pdf

מאמר בנושא באתר TheCom
http://www.thecom.co.il/article.php?id=17143

בקיצור רב:
יוסי אורן, דוקטורנט במעבדת הצפנות ואבטחת רשתות, הראה כי בעזרת הנתונים הבאים ניתן להשיג את המפתח של הצפנת AES חזקה:
* המידע המוצפן
* המידע המפוענח
* ניתוח צריכת האנרגיה של המעבד שמבצע את הפיענוח
* אופטימיזציה מתמטית לסילוק רעשי רקע

החישובים הנדרשים פשוטים מספיק כדי לרוץ על מחשב ביתי (במהלך הניסוי הזמן המומוצע לפריצה עמד על 342 שניות)

למיטב הבנתי שיטה זו חושפת לפריצה התקני הצפנה פיזיים כמו ממירי לווין, מכשירי סליקה בנקאית וכדו'
_____________________________________
משלי י"א י"ד


נערך לאחרונה ע"י one_man בתאריך 16-07-2012 בשעה 17:58.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 18-07-2012, 13:38
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,647
בתגובה להודעה מספר 1 שנכתבה על ידי one_man שמתחילה ב "דוקטורנט מאונ' ת"א הצליח לפרוץ הצפנת AES של 128 ביט בעזרת ניתוח צריכת המתח של המעבד"

בוא נדייק, 342 שניות ל-10% הצלחה.

זה רלבנטי רק אם יש לך נגישות גישה אינטראקטיבית להתקן הצפנה וגישה פיזית להתקן (או דרך אחרת להשיג את נתוני החשמל). אם אני נותן לך רשימה של plaintext-ים ו-ciphertext-ים שכולם הוצפנו במפתח זהה, זה לא עוזר לך.

אני לא יודע מה זה מכשירי סליקה בנקאית, ואני בכלל לא בטוח שדרך הפעולה של ממירי טלוויזיה לוויינית רלבנטית לעניין. לפי מה שידוע לי, ממירים משתמשים בהצפנה אסימטרית, ולכן אני מניח שמשתמשים שם במפתח סימטרי שונה בכל פעם (לא יודע אם זה בכל הודעה, בכל session או מחליפים כל פרק זמן מסוים), ולכן קבלת מפתח AES מסוים לא עוזרת לך בשום צורה.

אבל כמובן שמדובר במחקר יפה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 18-07-2012, 16:46
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,647
בתגובה להודעה מספר 5 שנכתבה על ידי one_man שמתחילה ב "במכשירי סליקה בנקאית התכוונתי..."

ציטוט:
במקור נכתב על ידי one_man
במכשירי סליקה בנקאית התכוונתי לקוראי האשראי ( של "כספיט" למשל ) - המכשירים האלחוטיים שמשמשים סוחרים קטנים ובעלי דוכנים לביצוע עיסקאות אשראי.
http://www.caspit.co.il/%D7%9E%D7%9...7%95%D7%A8.aspx
על פי המפרט של המכשיר שבקישור הוא עומד בתקן EMV ברמות 1 ו2 מה שאומר שהוא משתמש ב3DES או AES להצפנה וב RSA לצורך אימות במפתח ציבורי.

למיטב הבנתי המחקר מראה שמי שמחזיק בידו מתקן כזה יכול (בעלות סמלית של ביצוע מספר רכישות) לפצח את מפתח ההצפנה ולשלוח חיובים מזוייפים לחברת האשראי.
אני בספק שהמכשיר משתמש במפתח AES קבוע עבור כל התקשורת. אני מעריך שהכוונה היא שמצפינים session-key באמצעות RSA, ואז את תוכן ההודעות ב-AES עם המפתח שנקבע. במקרה כזה, כל מה שהתקיפה מאפשרת היא השגת המפתח הספציפי שבו משתמשים הפעם, אבל המפתח הזה לא עוזר לך לפענח הודעות עבר או הודעות עתידיות, ואת ההודעות הנוכחיות ממילא יש לך (זו דרישה לצורך ביצוע התקיפה).

אם משתמשים במפתח AES קבוע לצורך כל ההתקשרויות בין העמדה לחברת האשראי, קל יותר לקנות את המכשיר, להתחבר אליו עם ציוד בדיקה שעולה ממש לא הרבה, להוריד את ה-firmware ולראות את המפתח הקבוע. אולי יותר קל אפילו לדבר עם מישהו שעובד באחת החברות ולבקש ממנו את המפתח. אפשר גם לנסות תקיפות קריפטולוגיות פרופר, אבל יותר קל לשאול מישהו המפתח הקבוע...
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #12  
ישן 18-07-2012, 18:46
צלמית המשתמש של פסטן
  פסטן פסטן אינו מחובר  
 
חבר מתאריך: 14.12.09
הודעות: 9,647
בתגובה להודעה מספר 11 שנכתבה על ידי one_man שמתחילה ב "מה פתאום - זה לא חוקי!..."

אז אלה ארנקים שמממומשים בצורה מטופשת. :\

disclaimer: זה נושא עצום, ולכן מה שאני אגיד כאן לא מתיימר להיות תקף במקר הכללי.

זה מטופש למדי להחזיק על הכרטיס עצמו מספר שהוא סכום הכסף שיש לך, כי זה אומר שיש לך רק רמת הגנה אחת - הקושי של הכתיבה לכרטיס. יש מספר גישות בעיקרון שאפשר ללכת בהן. אם יש מוסד מרכזי, אז במחשבים של הבנק שמור כמה כסף יש לך, והכרטיס שיש לאנשים הוא רכיב שמזהה אותם בתור בעלי החשבון. על הכרטיס יהיה מפתח פרטי שאין לך גישה ישירה אליו, והוא מאפשר לך לחתום על עסקות. ברגע שמבוצעת עסקה, היא נחתמת ונשלחת לבנק והוא מעדכן את מצב החשבון שלך. אם אני, בעל הכרטיס, מצליח להוציא את המפתח הפרטי, אני יכול לשכפל את הכרטיס, ואני יכול לבצע עסקות ממספר מקומות על אותו חשבון (לדוגמה, לתת לך את העותק). אם מישהו אחר מצליח לעשות לי את זה, הוא יכול לבצע עסקות על חשבוני, אבל (א) הוא לא יכול להוסיף לי כסף אלא רק להפחית ממני כסף ו-(ב) יכולה להיות הגבלה על חיובים ברמת הבנק (כמו שיש לכרטיסי אשראי וכו'), ולכן אי-אפשר יהיה לגנוב ממך יותר מההרשאה שמוגדרת לחשבון שלך.

אם אתה מאלה שלא סומכים על על מוסד מרכזי ורוצים מערכת מבוזרת, קו"ח היא תהיה מבוססת מפתח פומבי וטריקים מתמטיים דומים. בעיקרון, אתה תשמור על הכרטיס 'הוכחות עסקה' או הוכחות לקיום של כסף שקיבלת ממקורות אחרים.

נראה לי מוזר מאוד לשמור על הכרטיס את סכום הכסף ממש.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס

אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 07:33

הדף נוצר ב 0.22 שניות עם 10 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2019 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר