Исследователи безопасности из компании NinjaLab разработали  технику атаки по сторонним каналам, позволяющую клонировать ECDSA-ключи, хранимые в криптографических токенах YubiKey 5 и других устройствах, в которых используется криптографическая библиотека от компании Infineon. Атака получила кодовое имя EUCLEAK  и помимо токенов с чипами Infineon SLE78, таких как YubiKey 5, может применяться  ко многим другим системам с микроконтроллерами компании Infineon, включая чипы Infineon Optiga Trust M и Infineon Optiga TPM...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61817

• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 11:12 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 11:15 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Жироватт, 11:34 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:13 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Товарищ майор, 17:57 , 12-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,СЕО YUBIKEY, 15:55 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,бух., 13:12 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,бух., 15:30 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 00:15 , 07-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:48 , 08-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Kuromi, 22:43 , 21-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Ivan_83, 23:50 , 07-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 11:23 , 09-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Омоним, 20:45 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:52 , 14-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 11:14 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 11:28 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:15 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:22 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:38 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:50 , 06-Сен-24
            • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Омоним, 12:37 , 07-Сен-24
              • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 21:04 , 09-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:45 , 06-Сен-24
            • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 17:24 , 06-Сен-24
              • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Дон Педро, 21:09 , 06-Сен-24
                • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 18:15 , 08-Сен-24
                  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Абориген из Чиланзара, 15:14 , 10-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:42 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 13:16 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 15:02 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:50 , 08-Сен-24
            • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 18:17 , 08-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Жироватт, 11:32 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:17 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 13:34 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:56 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 15:05 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:29 , 06-Сен-24
            • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 16:32 , 06-Сен-24
              • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:30 , 06-Сен-24
                • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 21:08 , 06-Сен-24
                  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 21:28 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Жироватт, 11:30 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 11:34 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,vitalif, 11:36 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 11:56 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 11:59 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:11 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:39 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:38 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:54 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 13:25 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,YetAnotherOnanym, 15:07 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:46 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:14 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:19 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 23:37 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:28 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:40 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 12:46 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 12:53 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:36 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:52 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 14:58 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:28 , 06-Сен-24
            • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 16:34 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:52 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,penetrator, 15:33 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 16:48 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:35 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:57 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 18:22 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 13:29 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:06 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Хакинтошник, 13:51 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:08 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Ivan_83, 23:46 , 07-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 14:23 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:06 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:41 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:21 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:51 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:47 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 20:26 , 06-Сен-24
        • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 22:31 , 06-Сен-24
          • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 23:29 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 21:10 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 16:56 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:34 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Страдивариус, 15:10 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 15:43 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:39 , 06-Сен-24
      • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 20:40 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Qq, 17:44 , 06-Сен-24
    • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 20:45 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 17:39 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 18:32 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Denis Fateyev, 18:34 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 20:01 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Slop, 19:35 , 06-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 20:57 , 06-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Ivan_83, 23:43 , 07-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 11:30 , 09-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,pavlinux, 11:48 , 10-Сен-24
• Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,Аноним, 09:46 , 12-Сен-24
  • Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл...,нах., 00:11 , 17-Сен-24

В общем это не возможно

"в общем" - возможно. Т.е. в теории-то, сынок, мы с тобой миллионеры...

но и очередное подтверждение что убики - дерьмо на палочке, сделанное людьми не умеющими ни в какую безопасность и инженерию - тоже. На сей раз им повезло, ускреблись.

"В теории, сынок, мы два миллионера. А на практике - у нас дома сидят две продажные шкуры".

Вполне себе нормальный уровень, стоимость всей процедуры клонирования от разборки до сокрытия следов несопостовимо по стоимости возможному ущербу.

ну блин, я прям не знаю.. у меня точно сп-ить на такую сумму нечего.

Но я этой поделкой и не пользуюсь ведь...

А у тех кто пользуется - могут ведь быть деньжата... (ну, если они такие глупые, чтобы убику доверить их хранение пусть даже в качестве второго фактора)

Денег у меня на ней нет, а вот доступ к сотне другой серверов вполне себе есть. И если на эти сервера попадут посторонние, то компания влетит на конкретные такие бабки. Благо компания не моя ))

а где предудщие подтверждения?

возможно-невозможно, лучше бы написали какой митигейшен

в общем митигейшен - купить новый ключ: https://support.yubico.com/hc/en-us/articles/360013708760-Yu...

It is currently not possible to upgrade YubiKey firmware after manufacturing and deployment. To prevent attacks on the YubiKey which might compromise its security, the YubiKey does not permit its firmware to be accessed or altered.

нормальная бизнес-модель

Нормальное управление рисками. Через DFU или аналог все это сломали бы горадо раньше и задёшево.

Да у них целая корпоративная программа есть, когда ты по подписке ключики получаешь, устаревшие меняют на новые, но обычным юзерам - покупай новый.
Старые чсх потом оказываются у реселлеров (там за исключением пары нюансов все сбрасывается на заводские настройки) по трети цены.

Не использовать ECDSA и закрывать в сейфе, сейф под охраной держать.

блин, ну поприкалывались и хватит, откройте уже сейф, тут дышать нечем!

Терморектальный криптоанализатор- лучший инструмент экстремального социального инжиниринга... Один фиг паять придется.

Люди не спят дольше часа! И они сразу заметят пропажу чего угодно в метро! А спустя 2 дня они приходят специально, чтобы не травмировать чувства грабителей.

расходимся, тут денег нет. опять теоретическая увизгвимость.
Хотя конечно убикам пламенный привет за неумение банально залить жестким компаундом плату вместе с фольгой, что даже оладьин, прости Г-ди, в 94м году умел.

> за неумение банально залить жестким компаундом плату вместе с фольгой

Так-то в новости юбик вполне себе разобранный.

так об этом и речь. Оладьинов при разборке требовалось парочка запасных, потому что не повредить при отковыривании крошек эпоксидки не всегда получалось. Ну и разумеется обратно уже никак не собрать чтоб беспалева, корпус тоже только ломали кусачками.

А это наколенные подвальные технологи начала девяностых ведь придумывали. Сейчас можно было б и постараться.

Ты новость читал ваще? Чтоб считать ключ, надо разобрать юбик, сняв корпус. Ну будет у тебя там фольга и компаунд, все это удаляется при разборе. А дальше все восстанавливается и корпус печатается на 3D принтере, о чем в статье и написано

ты пробовал разбирать полностью залитые в эпоксидку ключи? Или так, п-дишь?

Ты даже сам корпус разобрать сможешь только по кусочкам и смотри не оторви линии к usb-разъему. Удовольствие отковыривать эпоксу от микросхем так чтобы не зацепить ничего лишнего - бесценно. С хорошим шансом об...ся.

А ведь существуют составы _специально_ предназначенные для того чтоб их было крайне сложно удалять, а не самая дешевая эпокса с шука.

Хорошим феном и паяльником всё удаляется.

Эпоксидка? Ню-ню... Удачи)))

ну как человек в свое время по уши в эпоксе - да, она (обычная) термонестабильна. Правда, что ты там раньше оторвешь - компаунд от микросхем или микросхемы от платы - тот еще вопрос, температура требуется достаточно высокая.

Я-то механические соединения разбирал, там меньше шансов все испортить (но люди с очень-прямыми-руками не из плеч - умудряются таки).

Но эпоксидки бывают ну ооочень специальные, а помимо них есть еще акрилаты, к примеру. И еще дохрена всего что я в виду непрофессионализма в вопросе не знаю. Остались ли еще профессионалы? А вот хрен его знает... Но на убиквитю работают "дизайнеры", а не инженеры.

В данном случае электрического контакта к внутренностям не требуется. Достаточно сточить слой над самой микросхемой, в том месте куда датчик подводится. Хоть ручной фрезой, точности не требуется, главное саму микросхему не просверлить.

ну если заранее знать где она, то да. Корпус керамический, повредить сложно. Опять же задачка для васяна снова усложняется.

Но эти ж даже и не попытались.

Поищи инфу, как Стингеры ломали (во времена Афгана). Там тоже все залито было. Попросили косторезов из Якутии, которые аккуратно всю эпоксидку срезали (Ибо больше некому было). И все прояснили. И даже ректального крипто никакого и никому.

это _государство_ "попросило" - типа хошь в колхоз, а не хошь - в вечную мерзоту живьем положим.

А у отдельных васянов шансов ноль.

>это _государство_ "попросило" - типа хошь в колхоз, а не хошь - в вечную мерзоту живьем положим.

Откуда такое представление о том как это было на самом деле? Из фильмов а-ля "Сволочи" или "Гуга"?

Немножко для представления уровня патриотизма в СССР во времена Афгана.
Я лично был свидетелем следующей истории.
В ташкентской учебке проводилась дополнительная медкомиссия на пригодность для прохождения дальнейшей службы "за речкой". Специально возили в окружной госпиталь. У парня из соседнего взвода зрение было около -4. К тому моменту, когда ему нужно было пройти окулиста, уже было известно, что с таким зрением "бракуют". И он договорился с курсантом из другого взвода, что тот пройдет проверку зрения вместо него. Разумно рассудив, что врач скорее всего не запомнит его лицо среди полутора сотен солдат. И у него всё получилось. И, да, он улетел в ДРА. Что было дальше с ним рассказать не могу, не знаю.

И никто ему ничем не угрожал :)

дык и говорю - никакой защиты от любознательных не предусмотрено.
Модные современные дизайнеры устройств безопасности - ненеслышали.

> дык и говорю - никакой защиты от любознательных не предусмотрено.

ну а теперь прикинь устройство с тампер протекшеном (микровзрычаткой) и эмсек сертификацией, прям натавские военные стандарты, поди продай каждому васяну.

ну зачем же так-то? оптодатчик и одноразово пережигаемая схемка тогда уж. Включил без корпуса и эпоксидки - в тыкву.
И без доступа к документации - попробуй догадайся, почему и как.

Но от типового васяна - и одной эпоксидки достаточно. Это тебе не оладьин, который просто меняли если "сгорел". У васяна единственный-уникальный шанс ненадолго подержать чужой ключ без палева, и время ограничено.

Т.е. у акатующих есть:
> измерительный комплекс Langer ICR HH 500-6 ($2300), применяемый для испытаний микросхем на электромагнитную совместимость, усилитель Langer BT 706, микроманипулятор Thorlabs PT3/M ($1000) с разрешением 10 мкм, цифровой микроскоп Dino-Lite AM4113TL ($450) и четырёхканальный осциллограф PicoScope 6424E ($7500) с 8-битным разрешением АЦП.

но бида, бида, нев вообще никакой документащии. Верю, что ужа там.

> но бида, бида, нев вообще никакой документащии

на langer- есть. Купили же ж (в стране где нет @н@льных кар за "покупку профессионального оборудования" в личных целях). А если у них есть документация на внутренности убика - то тут вопрос к службе безопасности самого убика - например, есть ли она вообще. И если нету - какой дурак этим пользоваться намерен?

Все равно тест/рекаверипоинты выводить за соплю. Или ты говоришь про полное покрытие всего, КРОМЕ usb?

конечно. рекавери маст дай. Единственная рекавери которая должна быть у таких поделок - кто-то с равным или более высоким чем твой уровнем доступа блокирует твою продолбаную игрушку нафиг.

Нельзя при этом тестировать ? Значит нельзя. Тестируй одну из ста и выбрасывай, и готовь юзерам быструю замену брака.

я просто не пойму зачем пытаться извлекать ключ?

Схема атаки проста, при покупке одного ключа вам настоятельно будут рекомендовать купить вторую, чтобы при потере или неработоспособности одной, не потерять доступ к "сервису", а лучше сразу приобрести 5 штук. Так вот все эти 5 по факту резервные ключи. И вуаля раз мы можем своровать ключ, тогда также мы можем его подменить на вид же они все одинаковые. А владелец просекет подмену лишь тогда когда ему будет необходим этот ключ с потерей n-1 ключей (в крайнем случае).

Можно и с одни ключом при помощи гаечного ключа по кумполу извлечь ключ. Тут уже от задачи зависит.

> я просто не пойму зачем пытаться извлекать ключ?
> Схема атаки проста, при покупке одного ключа вам настоятельно будут рекомендовать купить
> вторую, чтобы при потере или неработоспособности одной, не потерять доступ к

так и делаем. Мы ж не хотим как полные лошары вообще без доступа остаться. Но они в сейфе лежат, и ключи (причем - два) даже не у твоего начальства, а у другого отдела с нехорошим названием и у ИБ.
И чтоб сейф открыть и что-то оттуда под роспись взять - будешь неделю писать объяснительные, как так, казеную ценность проэтосамил.

Я вот как-то раз сам ключ этот самый забыл в сортире - месяц потом чуть ли не до генерального директора вонь стояла, даром что постороннему пользы от него никакой.

> Но они в сейфе лежат

Только не надо путать схему разделения секрета и надежного хранения резерва. В случае когда ваши резервные ключи хранятся у "у другого отдела с нехорошим названием и у ИБ", тогда вам сложнее будет обнаруживать место "утечки". И как мне доказать, что меня не подставили, слив тем самым "мой ключ". В конторах, описанная вами схема, это не схема резервирования, а схема разделения секрета. Ответственность за резервный ключ, как и за сам ключ и его использование (однозначная идентификация владельца), несет владелец ключа, а не какой-то васян из другого отдела. А если этот васян и хранит в резерве мой ключ, то обязательно не в "открытом" виде, то есть исключить возможность его использования. По существу, для надежного хранения "резерва" третьими лицами, необходимо также применить схему разделения секрета. А теперь подумаем как разделить физический юсб ключ :)

>> Но они в сейфе лежат
> Только не надо путать схему разделения секрета и надежного хранения резерва. В
> случае когда ваши резервные ключи хранятся у "у другого отдела с
> нехорошим названием и у ИБ", тогда вам сложнее будет обнаруживать место
> "утечки". И как мне доказать, что меня не подставили, слив тем

А, так они ж неактивированы. Если ты просохатил свой - его блокируют, и подключают новый. Откатить эту операцию нельзя, даже если ты тут же нашел его в заднем кармане за подкладкой, ты уже попал. Так что незаметно для тебя даже если сговорятся начальники двух не особо доброжелательных к тебе и друг другу отделов - не получится.

Поэтому вонь от оставленного мной без присмотра бесполезного ключа (того, железного, от сейфа, в смысле) и была совершенно неадекватна реальной угрозе.
Даже нacp...ть в сейф не получилось бы, нужен же второй.

> надежного хранения "резерва" третьими лицами, необходимо также применить схему разделения
> секрета. А теперь подумаем как разделить физический юсб ключ :)

Вот того что выше описано - вполне достаточно. В реальной, не высосанной из пальца жизни.

Еще бы сами токены были хотя бы чуть меньшим дерьмом...

> А, так они ж неактивированы.

Я вижу, что мы описываем разные ситуации, и воизбежания непонимания, опишу что я имел ввиду:

Рассмотрим некоторый сервис, к которому есть доступ по аппаратному ключу, и собственно потеря данного ключа, ЛИШАЕТ нас доступа к данному сервису.

К примеру - доступ к какому-нибудь ссх серверу только по ключу, через сеть, без возможности всяких там ipmi и физ. взаимодействия т.д. Очевидно, что потеряв ключ, теряем доступ. Отсюда, надо иметь резерв.

Но резерв чего? Не рассматриваем резервный (альтернативный способ) доступ. Резерв ключа - как копия этого ключа? Копия ключа нарушает принцип НЕИЗВЛЕКАЕМОСТИ аппаратного ключа. Согласно этому принципу, каждый аппаратный ключ - новый уникальный ключ. И как тогда может быть зарезервирован ключ?

Никак - и как вы правильно заметили, нужно выпустить новый ключ, и это факт занести в протокол, поднять вой и т.д. В такой трактовке, не существуют неактивированных ключей, значить нечего в сейфе хранить, а потеренный доступ вседа можно восстановить, подняв вой.

Но вернемся к моему случаю, с потерей ключа, вы теряете доступ. Чтобы этого не произошло, вам надо в этой системе зарегистрировать (добавить в authorized_keys) резервный ключ, который уже вы сможете хранить в сейфе. И этот ключ такой же АКТИВНЫЙ, который можно украсть и сделать все то, что описал в предыдущем коменте.

Такая же ситуация со всякими гугл-аутентификаторами, когда накрывался мобильник и терялся доступ к аккаунту. Введя понятие второго фактора, многие не понимают, что этот фактор не должен быть зависим от третих лиц (вещей - мобильное устройство) (номер ваш принадлежит сотовому оператору), и надежнее второго пароля записанного на бумажке и хранящегося в сейфе как второго фактора ничего не придумано.

> Еще бы сами токены были хотя бы чуть меньшим дерьмом...

да, в первую очередь должно быть надежным устройством хранения.

У тебя какой-то крайне ограниченный подвальный опыт с какими-то наколенными серверами с наколенной аутентификацией и "authorized_keys".

Обычно у сервера (на самом деле - не у сервера, а у централизованной системы AAA совершенно отдельно) чего-то крупного - не один админ. Поэтому никакая копия ключа ему не нужна.

Просто кто-то другой активирует тебе, неудачнику, новый ключик взамен прогаженного.

Та же ситуация и с гуглоаутентификаторами - приходишь (пешком!) ко мне, в большой компании еще и пропуск предъявишь вооон в ридер, я тебе сбрасываю привязку и можешь заново привязать новый телефон. (два привязать - нельзя, скопировать ключи из гуглоаутентификатора... ну якобы вроде тоже нельзя, хотя, конечно, кто ж тому гуглу верить-то...)

Но может быть (должна бы но где ж вы видели чтоб делали - хорошо? Я такое видел только в конце нулевых в некоторых банковских авторизациях) и другая система, когда к тебе заранее привязано сразу несколько ключей. Но работает только один. Активировал (или самоактивируется при первом использовании) другой - приехали, старый можешь выбросить. Поэтому ты заметишь, что его активировали,и наверное обидишся и поднимешь шум.

> У тебя какой-то крайне ограниченный подвальный опыт

почему ограниченный, я описал частный случай использования в личных целях, а не конторский, с какимито бредовыми системами централизованного ААА. Ересь это все, и зиротраст тому доказательство. Замените тот же ссх сервер на гмейл аккаунт, потеряйте мобилку с аутентификатором или профукайте аппаратный ключ, я посмотрю как вы намылитесь к самому гуглу, чтоб он вам новый ключ дал? или доступ к аккаунту, который вы по паспорту не верифицировали?

> Та же ситуация и с гуглоаутентификаторами - приходишь (пешком!) ко мне

Идете пешком в гугл или в пень?

> Поэтому ты заметишь, что его активировали,и наверное обидишся и поднимешь шум.

ага видел я такие двухфакторки, когда оставался без вотсапа :)

И снова у нас "уязвимость", для работы которой нужны физический доступ, гора высокочувствительной электроники (то бишь полноформатный стенд в лабораторных условиях) и очень прямые руки даже для версии без сокрытия факта клонирования...ясно.

>библиотека от компании Infineon

Ну раз вошли в топ-10 надо раскошеливаться на безопасность:
https://www.counterpointresearch.com/wp-content/uploads/2024...

Тьфу, а я уж обрадовался. А тут какой-то очередной "албанский вирус"...

Вот все эти ключи всего лишь удорожают доступ. Хотя конечно за такие деньги проще человека подкупить. Тут главное чтобы все эти девайся были у правильных людей из ФБР и АНБ.

>(например, отпечаток пальца)

Воспроизвести этот уникальный биометрический фактор гораздо проще, чем каким-то образом узнать логин и пароль от сервиса. Достаточно получить в доступ предметы, к которым недавно прикасался пользователь.

Вольфганг Шойбле и Урсула фон дер Ляйен ("Яровая Евросоюза") узнали это на личном опыте.

> Вольфганг Шойбле и Урсула фон дер Ляйен ("Яровая Евросоюза") узнали это на
> личном опыте.

у них разьве не пароль 123 был от всего?

Они просто пальцами в свои иФоны тыкали.

Разве можно в живые ифоны пальцами тыкать.

> Достаточно получить в доступ предметы, к которым недавно прикасался пользователь.

ну это разве не хуже стикера с паролем на мониторе? Стикер хоть в одном месте, а тут ваш пароль (отпечаток) повсюду. Биометрия епта :))) Лучшая биометрия - "мысль".

Твой пост огорчает фолловеров модных техноблогов.

Таков путь! :)

>четырёхканальный осциллограф PicoScope 6424E ($7500) с 8-битным разрешением АЦП

С 8-битным и даже 4-канальный можно купить на Али за намного мешьшее количество президентов.

товарищмаёр таможни - тут професси@н@льное оборудование ввозят без лицензий!

не проф, а спец оборудование или спец техника, хотя можно и квалифицировать как двойное назначение.

А можно взять советский С1-33 царь-осциллограф по цене металлолома.

> А можно взять советский С1-33 царь-осциллограф по цене металлолома.

И сдать на жельтий, так и озолотишься, и законы нарушать не надо, и разбираться в электронике незачем.

Отличный бизнес-план, я участвую! (все равно ты один его не упрешь)

Сейчас такой пятиканальный осциллограф (новый)  стоит дороже драгметаллов что в этом 160 килограммовом чуде.

"на добавить хватит!"

По цене металлолома его уже взяли аффинажисты. А вам если и продадут, то уже по цене соответсвующего количества драгметаллов и с накруткой.

Дал бы ссылку на восстановление сабжа но лень. Короче его купили по цене металла и запустили. И он даже работает.

> Дал бы ссылку на восстановление сабжа но лень. Короче его купили по
> цене металла и запустили. И он даже работает.

лошье какое-то продало, не понимали ценности.

Ценность — понятие относительное. Стояла бы у меня такая дура дома, ещё доплатил бы, чтобы вывезли.

> Ценность — понятие относительное. Стояла бы у меня такая дура дома, ещё доплатил
> бы, чтобы вывезли.

вот поэтому ты и неудачник. А я бы может и доплатил, если там не так много, но кто ж мне продаст...
Так и живу без миллионов :-(

Один московский институт продал. Когда старую лабораторию на металлолом сдавали.  

это лучше или хуже C-65, C-67?

> это лучше или хуже C-65, C-67?

да это вообще бесполезные новоделы. Я не сумел с полтыка даже фотографию нормальную найти (то что тебе найдет гугль - фейк, в смысле - неправильно подписанное, это не он), поэтому наслаждайся рисунком:
https://zapadpribor.com/static/images/catalog/32830/1600x120...

т.е. я совершенно не преувеличивал, что в одиночку сп-ть ЭТО нереально. Даже на тележке не уволочь - больше сотни кило весил.

Можешь себе представить, СКОЛЬКО можно заработать, сдав его на переплавку.

Нормальная фотка
https://sovietpribor.ru/images/0/0d/DSC03058.jpg
Пять лучей https://sovietpribor.ru/images/thumb/9/98/DSC03044.jpg/1920p...
Да ладно и саму ссылку с историей лови.
https://sovietpribor.ru/index.php?title=%D0%9E...

То что у тебя это однолучевой, а там пятилучевой ослик.  

Осциллоскоп! А ослик это, типа, C1-94.

Уже была такая атака: https://www.opennet.dev/opennews/art.shtml?num=54385

Реклама NinjaLab.

А ведь есть убики по FIPS сертифицированные..

Мораль новости что если надо все можно взломать склонировать, подобрать.

И что?
FIPS это ГОСТ, он для своих, чтобы гарантировать что оно везде соместимо и достаточно надёжно.
За пределами госов FIPS мало кому интересен.

> А почему я не должен знать вора

Любую пропажу можно считать кражей, как и любую кражу - пропажей, равновероятностно!

У вас либо своровали, либо вы "растяпа", одно из двух. Кто вы - зависит от психотипа человека. Не самодур, признает и допустит, что он "растяпа". И степень растяпости прямопропорционально "сумме в кошельке". Принять пропажу за кражу, можно косвенно, допустим вас в этом убеждает факт "криминальности" района где вы живете. А тут, как говорится, не пойман - не Вор.

Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность.

А вот с мошенником совсем иначе, вы сами собственно-ручно глядя в глаза отдаете ему "сумму". В данном случае вы вовсе не "растяпа", вы, "ну не знаю как тут называть". И вам не нужен никакой косвенный факт, чтобы доказать факт мошейничества, вы признаете, что вас "на...ли". Все однозначно ясно.

И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

> Любую пропажу можно считать кражей, как и любую кражу - пропажей, равновероятностно!

«В армии нет слова украли», ага.
Судье это потом объясните только.

> Судье это потом объясните только.

Вы вывод не поняли: Кража и пропажа - равновероятностны, то есть в суде вы одинаково должны либо доказать факт пропажи и тем самым опровергните факт кражи, и наоборот.

Следствие: Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность. И при пропаже вы "растяпа", что делает кражу и пропажу "неотличимыми".

> У вас либо своровали, либо вы "растяпа", одно из двух.

О, чувствуется народное обвинение жертвы)
"Сам виноват", "смотреть надо было", "что ж ты в миниюбке ходишь".. а не это из другой темы,
"зачем ты в таком районе припарковался" и тд.

> Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность.

А если была кража со взломом?
При этом дверь была с замком C или D?
Тоже "растяпа" или все-таки сделал все что мог?

> А вот с мошенником совсем иначе, вы сами собственно-ручно глядя в глаза отдаете ему "сумму".

Не обязательно. Ты можешь просто кликнуть на фишинговое письмо.
Или к тебе могут подсадить кейлогер через дыру в браузере.

> Все однозначно ясно.

Только в твоих больных фантазиях)

> И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

Да, говорю.
И суд тоже может их соизмерить и выдать соответствующие сроки.

> О, чувствуется народное обвинение жертвы)

В потертых коментах я писал, что если вы не психотип самодура, то вы сами себя будете обвинять в "растяпстве".

> А если была кража со взломом?

Взлом и кража разные понятия. В данном случае под кражой я рассматривал "карманные кражи", то есть взять то, что не принадлежит тебе.

> При этом дверь была с замком C или D?

Факты взлома замка разве доказывает кражу? Человек убит но кашелек на месте, разве убийство с целью кражи?

> Тоже "растяпа" или все-таки сделал все что мог?

В любом случае "растяпа", раз вы замок ставили с целью защититься от краж. И ключи вешаете на колечко, цепочку, а чепочку к петельке у штанов, чтобы что? Чтобы не потерять, а не - украли :)

> Не обязательно. Ты можешь просто кликнуть на фишинговое письмо.
> Или к тебе могут подсадить кейлогер через дыру в браузере.

Так это и есть кража, и никакое мошейничество. Цель кражи и профессионального вора, чтобы жертва не узнала (в идеале), что у нее что-либо украли, и в лучших традициях сочла за потерю. (Опять таки на примере карманных краж, если своровать у пьяного, то он с большей вероятностью будет винить себя, мол напился и потерял бдительность, вот и "потерял").

> Только в твоих больных фантазиях)

а нуда, вы доказали "здоровость" собственных.

> И суд тоже может их соизмерить и выдать соответствующие сроки.

У вас всегда будет сомнение (если вы не самодур) обвиняя кого-то в воровстве, а вот обвинять мошенника вы будете без сомнений, почему - я обяснил в потертых коментах.

>> О, чувствуется народное обвинение жертвы)
> В потертых коментах я писал, что если вы не психотип самодура, то вы сами себя будете обвинять в "растяпстве".

А зачем себя вообще обвинять?
Ты приложил усилия - поставил дверь закрыл ее.

> Взлом и кража разные понятия. В данном случае под кражой я рассматривал "карманные кражи", то есть взять то, что не принадлежит тебе.

О, так ты еще и юрист? А какое ПТУ заканчивал?
ст. 158 УК РФ гласит что "Кража, то есть тайное хищение чужого имущества" может быть
"б) с незаконным проникновением в помещение либо иное хранилище; "
То что ты фантазируешь про карманные деньги - это твои проблемы.

> Факты взлома замка разве доказывает кражу? Человек убит но кашелек на месте, разве убийство с целью кражи?

Факт взлома замка и пропажи вещей дает следователю основание предполагать кражу.

> В любом случае "растяпа",

Максимально тупая логика /_-

> Так это и есть кража, и никакое мошейничество.

Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.

> Цель кражи и профессионального вора, чтобы жертва не узнала (в идеале), что у нее что-либо
> украли, и в лучших традициях сочла за потерю. (Опять таки на примере карманных краж, если своровать у пьяного, то он с большей вероятностью будет винить себя, мол напился и потерял бдительность, вот и "потерял").

Странно, но в УК нет ничего о целях кражи.
Есть только ее формальное определение.

>> Только в твоих больных фантазиях)
> а нуда, вы доказали "здоровость" собственных.

Да, тк я аппелирую к законам и документам.
Если ты живешь в каком-то своем выдуманном мирке, то это твои проблемы

> У вас всегда будет сомнение (если вы не самодур) обвиняя кого-то в воровстве, а вот обвинять мошенника вы будете без сомнений, почему - я обяснил в потертых коментах.

Снова какие-то тупые фантзии.
Если у тебя кошелек из кармана вытащат в автобусе.
А потом на камерах все вино будет?
Твои комменты не просто так потерли, наверное админ ужаснулся их глупости.

Ответ на 4.93, Аноним (-), 17:47, 06/09/2024

> О, так ты еще и юрист? А какое ПТУ заканчивал?
> ст. 158 УК РФ гласит что "Кража, то есть тайное хищение чужого имущества" может быть
> "б) с незаконным проникновением в помещение либо иное хранилище; "
> То что ты фантазируешь про карманные деньги - это твои проблемы.

г) из одежды, сумки или другой ручной клади, находившихся при потерпевшем, -

вы хоть понимаете как трактуются пункты в статьях? Один из пунктов применяется. И взлом и проникновение никакого отношение к самому определению кражи не имеет. Это отягчающие обстоятельства, при котором совершается кража.

"Кража, то есть тайное хищение чужого имущества" - где определение хищения? что есть хищение? Кража это тайная кража имущества?

> Факт взлома замка и пропажи вещей дает следователю основание предполагать кражу

Убитый с кошельком в кармане разве убит ради кражи этого кошелька?

> Максимально тупая логика /_-

Где доказательство?

> Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
> Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.

158 статью прочли, а дальше лень было 159 прочесть?

"""
УК РФ Статья 159. Мошенничество
Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием,

Примечания. 1. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.
"""

И как видим, мошенничество это хищение (кража) путем обмана или злоупотребления доверием. Фишинг это мошенничество, а предмет кражи - пин код. Кража пин кода и кража денег из кармана как видите квалифицируются разными статьями вашего УК. Кража пин кода не может влечь за собой обвинения в краже денег.

Карманные кражи по сути сложно доказывать, следуя определению хищения "совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества", необходимо доказать корыстную цель, во-первых, и во-вторых, доказать права на то имущество, что у вас было украдено.

Вы записываете (серийники) и нотариально заверяете все имеющиеся у вас билеты центробанка?

> Странно, но в УК нет ничего о целях кражи.
> Есть только ее формальное определение.

Странно думать, что УК логически правильный, промолчу про здравый смысл.

> Да, тк я аппелирую к законам и документам.
> Если ты живешь в каком-то своем выдуманном мирке, то это твои проблемы

да, именно законам, а не законам логики. А живу я в здравом смысле, чего и вам желаю.

> Если у тебя кошелек из кармана вытащат в автобусе.
> А потом на камерах все вино будет?

ну я же говорил, не пойман - не Вор. Ток вам в современном мире надо будет доказать истинность съемки, что собственно в наше время становится куда сложнее со всякими дипфейками.

> Твои комменты не просто так потерли, наверное админ ужаснулся их глупости.

в логах модерирование есть пометка, по какой причине удален тот или иной коментарий, пометка - "удаление вместе с подветкой", в отличии от - "bot TOR".

> И взлом и проникновение никакого отношение к самому определению кражи не имеет. Это отягчающие обстоятельства, при котором совершается кража.

Еще как имеет.
Это значит, что "похитил ли ты из кармана" или "взломал дверь" - это все равно будет кража.

> "Кража, то есть тайное хищение чужого имущества" - где определение хищения? что  есть хищение? Кража это тайная кража имущества?

хищение - противоправное безвозмездное изъятие чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или иному владельцу этого имущества.

Оно может быть явным - на тебя наставили пушку - грабеж, прострелили ногу - c̶ ̶u̶n̶d̶e̶f̶i̶n̶e̶d̶ ̶b̶e̶h̶a̶v̶i̶o̶u̶r̶ разбой.
Тайным - кража.
Путем обмана - мошенничество.
И тд.

>> Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
>> Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.
> УК РФ Статья 159. Мошенничество
> Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием,

Да именно так. У тебя путем обмана добыли пин к карте.

> Примечания. 1. Под хищением в статьях настоящего Кодекса понимаются...

Ого, ты даже смог найти определение хищения!
Твой интеллект просто кратно вырос в моих глазах.
А зачем тогда выше задавал тупые вопросы?

> И как видим, мошенничество это хищение (кража) путем обмана или злоупотребления доверием.
> Фишинг это мошенничество, а предмет кражи - пин код. Кража пин кода и кража денег из кармана как видите квалифицируются разными статьями вашего УК. Кража пин кода не может влечь за собой обвинения в краже денег.

Еще как может. Если с этой карты их сняли.
Почитай судебные решения и не неси чушь.

> Карманные кражи по сути сложно доказывать, следуя определению хищения "совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества", необходимо доказать корыстную цель, во-первых, и во-вторых, доказать права на то имущество, что у вас было украдено.

Э? Если это попало на камеру - то ваще не вопрос.
Если в кошельке ваши карточки, права или любые другие доки - тоже.
Телефон может быть привязан к госуслугам или другим сервисам.
Оператор отлично знает какой IMEI к какому номеру относится.

> Вы записываете (серийники) и нотариально заверяете все имеющиеся у вас билеты центробанка?

Нет, это максимум что смогут забрать при краже или даже ограблении.

> Странно думать, что УК логически правильный, промолчу про здравый смысл.

Естественно он не всегда правильный, чего только стоит "Неправомерное завладение автомобилем без цели хищения" по которому куча лоботрясов вскрывали машины "просто покататься".

> да, именно законам, а не законам логики. А живу я в здравом смысле, чего и вам желаю.

Но в суде будут следовать УК, даже если он не логичен.
Поэтому логично знать как оно работает, даже если мне это не нравится.

> ну я же говорил, не пойман - не Вор. Ток вам в современном мире надо будет доказать истинность съемки, что собственно в наше время становится куда сложнее со всякими дипфейками.

Пфффф, ты наверное не общался с отечественной полицией.

Улучшить закон можно только изменением через законодательные органы.
Дума, совфед и тд.
Можешь написать своему депутату)

> Еще как имеет.
> Это значит, что "похитил ли ты из кармана" или "взломал дверь" - это все равно будет кража.

Я могу взломать вашу дверь и ничего не взять, и это будет расцениваться как нанесение материального ущерба, а не взлом с кражей. Взлом - нанесение ущерба, проникновение - нарушение границ частной собственности, все это по разному квалифицируется и в том числе может в отдельности, как отдельно квалифицируется кража из дома и кража из кармана. Это хоть вам понятно? Вы пытаетесь икать логику в УК? Ее там нет, УК формально не полон! И вовсе не непротиворечив к слову.

> Оно может быть явным

Цель Вора, остаться в тайне. Цель разбойника - может быть и явна, и квалифицируется как разбой.

УК РФ Статья 162. Разбой

"""
1. Разбой, то есть нападение в целях хищения чужого имущества, совершенное с применением насилия, опасного для жизни или здоровья, либо с угрозой применения такого насилия

2. Разбой, совершенный группой лиц по предварительному сговору, а равно с применением оружия или предметов, используемых в качестве оружия

3. Разбой, совершенный с незаконным проникновением в жилище, помещение либо иное хранилище или в крупном размере
"""

Опять же цель - хищение, и опять новая статья и иная квалификация со своими обстоятельствами.

"""
18. Под незаконным проникновением в жилище, помещение или иное хранилище следует понимать противоправное тайное или открытое в них вторжение с целью совершения кражи, грабежа или разбоя. Проникновение в указанные строения или сооружения может быть осуществлено и тогда, когда виновный извлекает похищаемые предметы без вхождения в соответствующее помещение.
"""

Обратите внимание, "Проникновение в указанные строения или сооружения может быть осуществлено и тогда, когда виновный извлекает похищаемые предметы без вхождения в соответствующее помещение.", а кто будет доказывать, что сей предмет находился в "соответствующее помещение", когда его "извлекали без вхождения". Опять камеры внутри помещения?

> Да именно так. У тебя путем обмана добыли пин к карте.

Этот пин вы продиктовали мне по телефону сами! Достаточно двум позвонить и спросить у вас пинкод и тем самым поставить обвинение в неудобную позу, когда пойман один из мошенников.

> А зачем тогда выше задавал тупые вопросы?

К самому УК у меня еще есть куча вопросов, к вам у меня вопросов нет, и так все ясно.

> Еще как может. Если с этой карты их сняли.
> Почитай судебные решения и не неси чушь.

Если бы да ка бы, вот такое в суде не катит. Хищения пинкода - мошенничество, в том и только том случае если есть "путем обмана или злоупотребления доверием", то есть "я обманут" когда? или "я ДОВЕРИЛ и меня обманули".

Представьте фишинговый звонок и там голос говорит сразу "скажите ваш пинкод" и вы в ответ говорите в трубку "диктуете пинкод", как по вашему, лингвистическая экспертиза разве оценит это как обман или злоупотребление доверием? Где определение обмана? Где определение доверия и его злоупотребление? А может вы провокатор явно диктующий свой пинкод, чтобы потом обвинить меня в мошенничестве?

А почему же работает схема с дрянью подкинутой в карман? Факт того, что она извлечена из вашего кармана, делает, по вашему же УК, вас виновным, и никого не заботит вы полноправный владелец сей дряни или нет.

Э? Если это попало на камеру - то ваще не вопрос.
Если в кошельке ваши карточки, права или любые другие доки - тоже.
Телефон может быть привязан к госуслугам или другим сервисам.
Оператор отлично знает какой IMEI к какому номеру относится.

> Если в кошельке ваши карточки, права или любые другие доки - тоже.

я промолчу, что все эти вещи могут оказаться в ближайшей канаве после совершения преступления.

> Нет, это максимум что смогут забрать при краже или даже ограблении.

Ну вот и никто в суде не выясняет происхождение и право владения денег по факту. Хотя на самих деньгах написано - Билет такого-то банка, то есть не ваш. Отсюда, Вора надо ловить с поличным, за руку в особенности карманника.

> Естественно он не всегда правильный, чего только стоит "Неправомерное завладение автомобилем без цели хищения" по которому куча лоботрясов вскрывали машины "просто покататься".

Ну вот поэтому я и задался вопросом соразмерности и вовсе не по УК, а по психологии, а вы свели все в УК, когда ее составители с логикой не дружат.

> Пфффф, ты наверное не общался с отечественной полицией.

Зачем с ними общаться? Полиция вас ничем не обвиняет, только содействует обвинению.

> Улучшить закон можно только изменением через законодательные органы.
> Дума, совфед и тд.
> Можешь написать своему депутату)

Я могу отменить все законы путем референдума! У вас там из конституции еще не убрали это запрещенное экстремистское слово?

Ответ на 4.93, Аноним (-), 17:47, 06/09/2024

Абсурд в том, что и кража и мошенничество по вашему УК определены одним понятием хищения, то есть как вы говорите - соизмеримы, но вот почему-то трактуются в итоге разными статьями - не соизмеримы. Отсюда и дополнительные пункты в каждой из статей, говорит о несоизмеримости кражи и мошенничества.

> И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

Нет, конечно же! Поэтому первые будут отхожие места мыть по чётным дням, а вторые — по нечётным.

А жертве придется продать одно "святое" место, чтобы возместить свои "убытки"?

> Для библиотеки Infineon разработаны блокирующие уязвимость исправления, но они ещё не задействованы так как не прошли сертификацию.

Погодите, а разве предыдущая сертификация не сертифицировала на отсутствие уязвимостей?

Модель угроз, очевидно, что в предыдущей сертификации не рассматривалась данная модель угроз. Отсюда, необходимо изменение механизма сертификации со включением данной модели угроз.

Да не это уже новая сертификация на новую угрозу.  

а что есть сертификация?

https://ru.wikipedia.org/wiki/%D0%A1%D0%...

"""
С т.з. технического регулирования сертифика́ция — это форма подтверждения соответствия объектов установленным требованиям, осуществляемая органом по сертификации.
"""

Грубо говоря, подтверждение третьей стороной (органом сертификации), что вы не "пи...ол" (ваш объект соответствует заявленным требованиям).

Модели угроз определяет заявитель, и утверждает об соответствии его объекта установленным (опять таки заявителем) требованиям. Орган сертификации проверяет это заявленное утверждение. Если объект соответствует установленным требованиям в данных моделях угроз, тогда объект успешно проходит сертификацию.

Если расширяется (добавляется) новая модель угроз, значить необходимо снова утверждать и подавать заявку на прохождения сертификации, каждая новая версия продукта по факту должна проходить сертификацию, даже если модели угроз не изменены.

Тебе в здравом уме никто не гарантирует отсутствие уязвимостей в таких вещах. Сертификация проходит по своеобразному чек-листу, собрали все галочки - получите. Как формируются «тесты» для этого чек-листа это отдельный вопрос

> Сертификация проходит по своеобразному чек-листу, собрали все галочки - получите

вы путаете с аудитом, сертификация это совсем другой механизм. Выше описал.

Бессмысленно усложнённая схема. Паяльник в и утюг на ж проще, надёжнее и быстрее.

>Infineon SLE78

Это с ISA RL78 которые? GCC в такие умеет. Лучше бы загрузчик разблокировли, чтоб прошивку со свободным криптософтом можно было залить.

По описанию, уязвима только ECDSA-реализация,то бишь, извлечение приватного ECDSA-ключа. Реализации RSA в PIV (функционал smartcard) и PGP, Ed25519-sk для SSH вроде бы норм.

Или они просто не искали?

Прошлый опыт с "швейцарскими" шифровальными машинами как бы намекает, что для копирования ключа достаточно будет его на пару секунд к чему-то специальному подключить, а не все эти ваши разборки корпуса и микроскопы с машинленингом и осцилографами.

> Прошлый опыт с "швейцарскими" шифровальными машинами как бы намекает

Перефразирую:

Прошлый опыт с "(без разницы)" шифровальными машинами как бы намекает на - "доверь козе капусту". И надо понимать, что в кавычках там должно быть "своё".

> Проблема вызвана использованием в библиотеке Infineon небезопасного алгоритма вычисления обратного элемента по модулю, вычисления в котором занимают время, зависящее от значений входных данных (для разных векторов наблюдается разное время вычисления обратного элемента по модулю). Подобная особенность позволяет на основе анализа изменения сигнала выделить информацию об отдельных битах во время выполнения операций с вектором инициализации.

Это известная особенность ECDSA, и судя по тому что им пришлось искать особую точку вскрыв корпус чипа производитель тоже про это знал и на уровне чипа этому противодействовал.
Я бы на месте производителя таких чипов просто зашумлял просадки по питанию, и делается это банально: берём ГСЧ (который там аппаратно предусмотрен) и его какой нить примитивный декодер на 8 бит, каждый бит через резистор своего номинала ранзистор выкл/выкл между + и -.

ИМХО нет смысла пытатся делать time constant ECDSA, оно будет тормозным.
Я пока делал свою реализацию и оптимизировал производительность то у меня 100500 мест где математика совсем не constant time, потому что умножать/делить на 2/4 и пр в сетепени двойки смысла нет и мы просто просим соседнюю функцию сдвинуть число на n бит, нет смысла уножать на 0, 1. И вообще все операции с нулём выполняются отдельно, потому что часто делать ничего не надо.

> и судя по тому что им пришлось искать особую точку вскрыв корпус чипа

вроде только пластмасску самого стика. Корпус чипа на фотках не тронут.

Производитель (убик, не инфинеон) боролся как мог - обмотал всю платку фольгой.

> Незаметное получение физического доступа к токену.

Дальше не читал.
Вообще первым пунктом нужно было написать:  Вставить паяльник в жëпу или утюг на грудь

Приключения в стиле: «Вы получите доступ к квартире жертвы, если незаметно вытащите из кармана ключи». Гениально! :)

только вот на ключе написано "don't copy", а на инструкции к замку - "мамой клянус что не копируется". А оно таки вот.

(кстати, интересно - mtl 600 уже научились копировать?)