Zapeklity problem
Pavel Korensky
pavelk na dator3.anet.cz
Pátek Listopad 29 12:46:47 CET 1996
Frantisek Krupka <krupka na pha.pvt.cz> wrote:
>
> Potrebujete tedy zajistit duvernost klice symetricke sifry :
>
> Nevim, co je to na dalku (vzdaleny uzivatel ?)
>
Ano. Jedna se o uzivatele z Internetu, resp. mimo konzoli te masiny.
> Kdyz to shrnu, neopravnena osoba (utocnik) nesmi klic vytahnout z HW
> (nepouzivate PIN ?), ale zaroven jej nesmi vytahnout ani z programu,
> ktery si klic 'nacte'. Coz znamena, nikdo (neopravneny) nesmi k systemu
> pristupovat s pravy uzivatele root, pouze uzivatel root muze pracovat s
> uvedenym HW (tento HW musi mit dalsi vlastnosti, jsou-li pozadovany).
> Program, ktery pracuje s klicem by mel rovnez zpracovavat signaly atd
> (aby se nevytvarel core dump apod.)
To vse je zajistene. Dokonce i samotny klic te sifry je jeste zasifrovan nez je
ulozen do HW. Ta nemoznost nacist klic na dalku je pouze dodatecna bezpecnost.
>
> To, ze si nikdo krome roota (i kdyz pouze jednou) nevytahne klic z HW
> nestaci. Pote, co si program klic nacte, je klic proste v RAM. Tam je
> nutne jej chranit rovnez (vyuzitim funkci, zajistujicich bezpecnost
> daneho OS).
To uz chrani samotna aplikace, resp. sifrovaci knihovna. Je to zabezpecene proti
swapovani atd.
>
> Jakmile kohokoliv pustite do systemu jako roota, proste se ke klici
> dostane.
>
Ja vim, jen se to snazim hodne znemoznit. Mozna jsem prehnane paranoidni, ale
jedna se o financni data, takze opatrnosti neni nikdy dost.
>
> Pozn. Je to na delsi povidani
>
>
Rad si popovidam, pokud Vas to nezdrzuje. Muzeme klidne emailem, mimo
konferenci.
Bye PavelK
--
****************************************************************************
* Pavel Korensky (pavelk na dator3.anet.cz) *
* DATOR3 Ltd., Modranska 1895/17, 143 00 Prague 4, Czech Republic *
* PGP key fingerprint: 00 65 5A B3 70 20 F1 54 D3 B3 E4 3E F8 A3 5E 7C *
****************************************************************************
Další informace o konferenci Linux