Autenticazione offline basata sul numero di serie del dispositivo

Naviga le tue risposte
1

Ho un dispositivo portatile con un'applicazione personalizzata scritta per questo.

Quello che voglio è proteggere quell'applicazione, renderla impossibile o almeno più difficile da eseguire (applicazione o sistema operativo stesso non ha importanza) su qualche altro dispositivo, ad es. se qualcuno in qualche modo ha rubato l'applicazione, non dovrebbe essere in grado di eseguirlo su un dispositivo non autorizzato. Il dispositivo non si connetterà a Internet e si autorizzerà con il server, cosa che posso fare, ma come farlo offline ?

Come dovrei affrontare questo problema? C'è qualche approccio generale a questo? Oppure mi rimane solo l'opzione "inserisci la password" con password hash sul dispositivo?

EDIT: Sistema operativo: Android Dispositivo: qualsiasi tipo di tabella e / o dispositivo "scatola" non specificato senza scheda SIM. Qualcosa come un controller o un server molto piccolo.

    
posta hoci kto 28.04.2017 - 12:27
fonte

3 risposte

1

L'opzione più sicura consiste nell'utilizzare la crittografia full-disk basata su TPM insieme all'avvio sicuro, ai binari firmati, al kernel "misurato" di run-time TPM e alle applicazioni. Se la tua piattaforma non supporta questo, alcuni altri approcci in ordine decrescente di forza:

  • utilizzare un TPM per decodificare / misurare l'applicazione ogni volta prima che lo sia corri
  • usa un dongle che comunica con l'app (forse come TPM sostituzione)
  • hash / allunga numeri seriali e altri ID e sempre decripta l'app con la chiave risultante
risposta data 29.04.2017 - 16:51
fonte
0

In qualche modo puoi montare in modo permanente una scheda eMMC o micro SD nel dispositivo? Se è un piccolo server, sembra possibile. Potrebbe essere usato per memorizzare una chiave per dm-crypt. Finché gli utenti non hanno le autorizzazioni per accedervi, sembra che sia abbastanza sicuro. Tuttavia, un utente potrebbe ancora capire che si trovava lì.

    
risposta data 29.04.2017 - 19:39
fonte
0

Esistono codici ID dei dispositivi che non possono essere falsificati? Forse puoi farlo funzionare solo se l'autenticazione SHA con qualche ID dispositivo oscuro funziona. Per ingannarlo, l'attaccante dovrebbe prendere tutti gli ID che riescono a pensare.

    
risposta data 30.04.2017 - 11:20
fonte

Leggi altre domande sui tag

Come difendersi dall'attaccante senza intaccare altri utenti dello stesso gateway NAT Qual è un esempio pratico di una base di calcolo attendibile?