Come si valutano le buste / imballaggi resistenti alle manomissioni?

9

Al contrario di algoritmi e protocolli di crittografia digitali in cui molti individui qualificati con alto QI esplorano i dettagli e le specifiche, la resistenza alla manomissione fisica per i pacchetti a bassa tecnologia non è tanto più pentita.

Ci sono alcune persone là fuori che lo fanno per soldi, però, ma i loro risultati non sono facilmente disponibili. C'è un collegamento a un team di valutazione delle vulnerabilità presso l'Argonne National Lab con risultati intriganti: link

Ho cercato brevetti presso l'USPatent and Trademark Office e ne ho identificati alcuni, l'ultimo è US 7.228.687 B2, e il più recente risale al 1916 (USPatent 1.201.519 assegnato a un Arvid Sorensen).

Mi chiedo quali criteri si dovrebbero applicare alle varie offerte resistenti alla manomissione sul mercato (con una numerazione verso l'alto di 180, basata su una ricerca del motore degli acquisti), a condizione che non ci siano pentestori fisici esperti interni.

Un criterio a cui ho già accennato è la presenza o l'assenza di un brevetto (ovviamente non è dimostrare sicurezza - ci sono un sacco di ricette brevettate di olio di serpente, ma è per questo, ma almeno è un po 'analogo a open-source nel mondo digitale).

Un'altra soluzione potrebbe essere quella di campionare buste anti-manomissione protette di grandi dimensioni, magari con il sostegno delle spalle nelle loro valutazioni e "andare con il flusso", ma non sono sicuro che non abbiano fatto lo stesso.

Si prega di notare che questa non è una domanda per lo shopping. Le risposte dovrebbero evitare i fornitori di nomi e presentare invece criteri oggettivi per la valutazione.

    
posta Deer Hunter 21.07.2013 - 13:55
fonte

2 risposte

8

Prima prendiamo qualcosa di dritto. In senso generale, non c'è praticamente nulla di resistente alla manomissione nel mondo degli involucri / confezioni. Quello che stai cercando è manomettere- evidente .

I criteri su cui si valuta l'inviluppo di manomissione è lo stesso utilizzato per valutare qualsiasi altra misura di sicurezza. Dimentica tutto sulla soluzione stessa e pensa piuttosto a perché stai cercando una soluzione. È facile dire che il tuo problema è la manomissione, ma non lo è.

Quindi i criteri dipendono enormemente dal tuo modello di minaccia.  Oltre a questo, c'è fondamentalmente un criterio; Se la busta viene manomessa, vorremmo rilevarla con un elevato livello di sicurezza.

Nel 1997, The Nuclear Regulatory Commission ha pubblicato il RG 5.15 in cui sono delineati i criteri su cui giudicare l'efficacia dei mezzi a prova di manomissione utilizzati per conservare i documenti nucleari. Citerò alcuni di loro

  • The information taken and recorded at the time of seal application is inadequately protected, enabling a diverter to forge documentation to support or cover the diversion.

  • The method of postmortem examination of the seal is not sufficient to detect a defective or compromised seal.

  • The location and method of seal application makes the seals vulnerable to accidental damage, providing a history of such incidents that might be used to conceal a willful attack.

Successivamente elencano alcuni tipi accettabili di dispositivi anti-manomissione per archiviare i dati altamente sensibili.

Nello stesso anno, il ricercatore R.G. Johnston ha pubblicato un documento delineando alcune lacune in RG 5.15 e l'allora standard ASTM F1158-88 . Johnston ha fatto un ottimo lavoro fornendo istruzioni chiare per il processo, combinando i vantaggi degli standard precedenti e rattoppando la maggior parte dei loro contro.

A detailed description of the successful attacks. For each attack the following information should be provided:

  • Is the attack theoretical, partially demonstrated, fully demonstrated but not perfected, or practiced to perfection?

  • What are the cost, time, and effort to devise and demonstrate the attack?

  • What time is required on-site to do the attack?

..

  • What is the level of defeat?

  • Is inside information necessary for the attack, or just what is publicly available?

Nonostante le le scoperte e i consigli di Johnston , l'ASTM F1158 è ancora il protocollo standard di fatto per valutare i sigilli di sicurezza.

    
risposta data 21.07.2013 - 15:51
fonte
2

Questo è un post intermedio per acquisire preziose informazioni da Casey e John Deters "commenti. Tutti sono invitati a modificare questo post aggiungendo ulteriori dettagli.

Casey:

I would also watch the events from DEF CON 21's Tamper Evident contest. This will be the third year this is run and there is already a decent amount of bypasses and information circulating now. It will probably increase since this year they are starting a Tamper Evident Village, where everyone can play with numerous Tamper Resistant/Evident/Proof devices.

Nota: DEFCON 21 si terrà a Las Vegas, NV il 1-4 agosto 2013. Cosa succede a Las Vegas, resta a Las Vegas , dicono, ma spero che non lo sarà quindi per lezioni da asporto su Tamper Evident Packaging .

John Deters:

Past DEFCON attacks can be found here: https://tamperevidentwiki.com/showwiki.php

Nota di Deer Hunter su Tamper Evident Wiki: gli exploit qui non sono davvero impressionanti. Tuttavia, ci sono alcuni link che vale la pena esplorare:

( da continuare )

EDIT:

  • Apertura e risigillazione dei sacchi di banca a prova di manomissione: collegamento
  • Un altro video di Tamper-Evident di DEF CON 21: link
risposta data 17.03.2017 - 14:14
fonte

Leggi altre domande sui tag