Назад | Перейти на главную страницу

версия программного обеспечения RSA SecurID?

Есть ли версия программного обеспечения брелока securID ниже:
Брелок RSA SecurID http://www.frontierpc.com/ProductImages/Large/1010053834.jpg

Я помню, как читал, что алгоритм генерации ключей был нарушен и что была доступна программная утилита, где, если вы наберете достаточное количество последовательностей с вашего физического ключа, она определит последовательность клавиш. Где взять эту программу ???

РЕДАКТИРОВАТЬ: Ищу неофициальное ПО

В поисках программного обеспечения, способного взломать RSA SecurID, Ник Кавадиас написал: «Я помню, как читал, что алгоритм генерации ключа был нарушен и что была доступна программная утилита, в которой, если вы наберете достаточное количество последовательностей с вашего физического ключа, она покажет последовательность клавиш. Где я могу взять это программное обеспечение ??? "

Привет Ник,

С 2003 года RSA SecurID основан на блочном шифре AES, передовом стандарте шифрования США. SecurID использует 128-битный секретный ключ, специфичный для токена, и AES, чтобы непрерывно генерировать серию 60-секундных токен-кодов SecurID путем шифрования:

  • 64-битное стандартное представление текущего времени ISO (год / месяц / день / час / мин / секунда),
  • 32-битная соль, специфичная для токена (серийный номер токена), и
  • еще 32 бита заполнения.

Прости, Ник. Никакой радости. В обозримом будущем вряд ли кто-нибудь «сломает» AES.

Исходный SecurID, впервые представленный в 1987 году, использовал собственный алгоритм Джона Брейнарда для хеширования 64-битного секретного токена и Current Time для генерации серии SecurID из 6-8-значных токен-кодов, непрерывно меняющихся каждые 60 секунд.

Хотя, насколько мне известно, никто никогда не смог успешно взломать один из классических 64-битных SecurID, произошел захватывающий всплеск академического понимания новых типов уязвимостей в старом хэше SecurID, который был опубликован вскоре после обновления RSA до это AES SecurID. Эти теоретические атаки на хэш Brainard обычно влекут за собой сбор многих тысяч кодов токенов SecurID и обширный статистический анализ ряда, который может быть эффективным для некоторых токенов. Я знаю несколько попыток использовать этот подход для взлома SecurID, но все они были безуспешными.

Я сомневаюсь, что существует реальное программное обеспечение - а оно, в конце концов, годится только для атаки на 64-битный SecurID, продукт, который больше не используется, - но есть академические статьи, которые исследуют вероятности, если это так. ваш наклон. (Наиболее содержательные деконструкции и анализ хэша Брэйнарда были сделаны в статье Бирюкова, Лано и Пренила в 2003 году и в другой статье, опубликованной в 2004 году Контини и Инь, двумя бывшими криптографами RSA. Я думаю, что оба документа легко доступны в Интернете.)

Я немного не понимаю твоей цели, Ник. RSA бесплатно распространила миллионы версий программного обеспечения AES SecurID, адаптированных для различных портативных платформ, со своего веб-сайта. Они взимают плату за свой сервер и «секретные ключи», используемые для инициализации этих приложений эмуляции токенов. Несомненно, в обращении находятся различные реверсивно спроектированные версии кода SecurID. Таким образом, вы можете играть с реальным или имитационным кодом SecurID - но без 128-битных секретов система RSA работает. А сервер аутентификации RSA будет регистрировать и поддерживать только секретные «ключи» SecurID, которые подписаны цифровой подписью корпоративного RSA.

Надеюсь, это ответит на ваши вопросы. Говорите, если у вас есть еще. Я был консультантом RSA в течение многих лет, и моя предвзятость очевидна, но обычно я готов ответить на вопросы.

Suerte, _Vin

Я не верю, что вы можете использовать свои брелоки RSA, но существует бесплатная двухфакторная аутентификация на базе сообщества, с открытым исходным кодом, основанная на Интернете, которая называется WikID. Еще у них есть коммерческая программа.

RSA выпускает официальные программные токены для некоторых КПК. Наша компания устанавливает программную версию токена на корпоративные Blackberry, чтобы избавить пользователей от необходимости носить с собой электронный ключ и BB.

Наличие программного обеспечения на КПК поддерживает двухфакторный аспект безопасности (то, что у вас есть, и то, что вы знаете) таким образом, что установка программного токена на том же настольном ПК, с которого вы, вероятно, подключаетесь к ресурсу, не .

Кроме того, использование официального токена программного обеспечения RSA, распространяемого вам людьми, контролирующими доступ к ресурсу, - намного, намного лучшая идея, чем использование некоторого взломанного программного обеспечения, которое, вероятно, нарушает все виды соглашений между вами, эмитентом и RSA.

Здесь для Официальные аутентификаторы программного обеспечения RSA, обратите внимание, что хотя вы можете просто загрузить некоторые из них без каких-либо проблем, они не будут работать без ключевой / начальной записи, выпущенной людьми, которые запускают ресурс, к которому вы пытаетесь получить доступ.

Я бы не рекомендовал использовать такое программное обеспечение, если оно существует.

По сути, вы снимаете уровень безопасности с процедур входа в систему. Если кто-то каким-то образом получает доступ к вашей рабочей станции / ноутбуку (локально или удаленно), у них есть все необходимое для входа в эти системы под вашим именем. Смысл наличия дополнительного физического устройства в процессе аутентификации заключается в том, что у вас есть устройство, а у удаленного хакера (или человека, который украл ваш ноутбук) нет.

Кто бы ни дал вам физический ключ для доступа к своим системам, не будьте счастливы, если вы сделаете что-то подобное, и, вероятно, по крайней мере полностью отмените ваш доступ, если они узнают. Вы даже можете оказаться в ситуации судебного разбирательства, поскольку, скорее всего, вы нарушите любое соглашение, заключенное при предоставлении вам доступа к услугам.

Можно эмулировать устройства SecureID, если у вас есть все необходимые элементы. Но тем самым вы нарушаете фундаментальный принцип двухфакторной аутентификации. Что, несомненно, не понравится тем, кто предоставил вам устройство для безопасного доступа к их собственным системам.

Принцип двухфакторной аутентификации заключается в том, что физический предмет, который является «частью вашей головоломки», не может быть продублирован и всегда находится при вас. Если вы имитируете это в программном обеспечении на своем ноутбуке, ваш ноутбук станет целью для кражи и / или копирования этих данных, возможно, даже если вы даже не подозреваете, что это произошло.

Пытаться этот но вы должны знать серийный номер вашего токена. Нет, за жетоном написано не это.