Rilevazione manomissione codice client

Question

Rilevazione manomissione codice client

#1 da (4 voti)
#2 da (1 voti)

2

Ho un server in un ambiente fidato. Questo server gestisce le richieste dai client in un ambiente non attendibile. Mi piacerebbe autenticare ogni richiesta e sapere se il codice cliente è stato manomesso o meno.

Il software client è installato in un ambiente sicuro e, se generano alcuni "segreti" (numeri nonces o pseudo-casuali) e non li memorizzano nel client, può presumibilmente essere conservati in sicurezza.

Ho pensato di utilizzare una password monouso modificata (OTP) con il segreto generato al momento dell'installazione. Potrei includere la sincronizzazione temporale delle macchine client come requisito. La chiave segreta OTP verrebbe derivata dal software client hash md5 e forse qualche forma di id hardware al momento dell'installazione.

C'è un modo standard del settore di fare ciò che voglio? Non mi piace davvero l'idea di farmi da solo, dal momento che non sono qualificato per farlo.

authentication one-time-password

posta Vitor Py 12.04.2013 - 17:02

fonte

2 risposte

Leggi altre domande sui tag authentication one-time-password

Un pin di bitlocker diventa parte della chiave? Quando e perché inviare una notifica via e-mail di reimpostazione della password

score 4 · Answer 1

Quello che stai cercando di fare è una grande sfida e al momento non è possibile. Ci sono state alcune discussioni sull'utilizzo di TPM per fornire un ambiente affidabile protetto dal fornitore che potrebbe essere utilizzato come base di un tale sistema, ma il problema attualmente è che un sistema non affidabile non può dimostrarsi affidabile dato che qualsiasi ispezione effettuata da un sistema fidato potrebbe sii falso È necessario disporre di un sottosistema attendibile sul client che possa eseguire attivamente la convalida. Quando tutto ciò che hai è una richiesta da parte del cliente, ti manca l'accesso e il livello di fiducia necessario per raggiungere il tuo obiettivo.

score 1 · Answer 2

Se potessi fare ciò che stai cercando di ottenere, allora potresti distribuire file musicali e video solo a "giocatori onesti" che riprodurranno la musica o il video ma si rifiuteranno di salvarlo in un file . I settori della musica e del cinema sarebbero molto interessati. In questo momento, questo obiettivo è sfuggito alla loro comprensione, nonostante molti soldi lanciati sulla questione (il denaro è necessario per la scienza, ma non sufficiente).

La soluzione più nota, al momento, è quella di avere un client hardware antimanomissione: il codice client viene eseguito su una macchina affidabile, che si suiciderà se rileva una violazione fisica. HDCP funziona un po 'così.