Everykey (chiave master Bluetooth) - è davvero sicuro? [chiuso]

1

Informazioni obbligatorie Non ho alcuna relazione con la società Everykey e non intendo promuoverle in alcun modo.

Mi sono imbattuto nel prodotto Everykey che afferma di essere "la tua unica chiave" consentendo di sbloccare tutti i dispositivi controllati dall'accesso quando ti trovi nelle vicinanze tra cui porta auto / casa, telefono, persino per accedere ai siti web. Mentre suona bene, alza istantaneamente molte bandiere rosse per sicurezza.

Il loro sito Web fa un buon lavoro affrontando ciò spiegando che usano la crittografia AES a 128 bit per prevenire il cracking delle password e l'intercettazione

Everykey utilizes AES 128-bit encryption, the same encryption that's used by the military to protect documents with confidential and secret security levels.

utilizza un algoritmo pseudocasuale quando invia segnali per impedire attacchi di riproduzione e spoofing

Each time Everykey broadcasts an encrypted Bluetooth 4.0 message, it is different from the previous message, preventing a hacker from sniffing a message and re-broadcasting it.

e le password sono memorizzate solo sui dispositivi stessi e solo il dispositivo può decodificare il segnale ricevuto.

Your Everykey broadcasts encrypted information to identify itself, which only your devices are able to decrypt

Ma quanto è sicuro questo in realtà? Sembra un apriporta da garage con una migliore crittografia, è abbastanza buono da prevenire gli attacchi? A parte l'ovvio problema di perdere il dispositivo fisico chiunque lo trovi ha accesso a tutto.

    
posta DasBeasto 02.06.2016 - 19:28
fonte

1 risposta

1

Prima di tutto, non ho accesso a specifiche tecniche reali, so solo che cosa sta dicendo il sito (e la domanda). (Il sito ha una sezione dedicata alle specifiche, ma è completamente inutile. È solo roba del tipo di sistema operativo supportato).

But how safe is this really?

A giudicare dalle informazioni disponibili, per niente.

Alcuni motivi, in nessun ordine particolare:

Come hai detto, una chiave per tutto è un'enorme bandiera rossa. Vorresti una chiave che blocchi sia la tua casa che la tua auto, dia accesso al tuo conto in banca e sia sufficiente l'autenticazione per il divorzio? Probabilmente no.

the same encryption that's used by the military

Questo (haha) è un segno del 1000% che vogliono solo soldi, non sicurezza.

Nessuna descrizione reale e dettagliata dello schema di sicurezza disponibile: nessuno può verificare se i dipendenti hanno commesso qualche errore o se è veramente sicuro. Dal momento che gli umani non sono perfetti ... La storia dimostra che molte questioni di sicurezza "a codice chiuso" vengono violate abbastanza facilmente. Un algoritmo sicuro può essere chiamato sicuro dopo che le persone sapendo come funziona hanno provato a craccarlo e fallito , questa è una delle regole più importanti e fondamentali della crittografia. Vedi anche la legge di Kerckhoff su Wikipedia.

AES128 è la variante AES più debole, non c'è motivo di vantarsene.
(E senza ulteriori informazioni, anche la variante AES più storta potrebbe essere cattiva).

L'uso di AES per prevenire il crack delle password significa che c'è una chiave. Cosa impedisce il cracking delle chiavi? E perché fai l'uso di un algoritmo reversibile per prevenire il cracking della password? Anche se potrebbe essere una ragione, sembra più un errore a livello di principiante.

Bluetooth ha alcuni rischi per la sicurezza.

Each time Everykey broadcasts an encrypted Bluetooth 4.0 message, it is different from the previous message, preventing a hacker from sniffing a message and re-broadcasting it.

Solo introdurre delle differenze in ogni messaggio non impedisce nulla.
Questa affermazione non ha senso.

Your Everykey broadcasts encrypted information to identify itself, which only your devices are able to decrypt

Quindi tutti i dispositivi hanno la chiave (AES è simmetrico). Un attaccante non ha nemmeno bisogno di rubare il dongle bluetooth, il controllo su qualsiasi cosa bluetooth-y in casa è sufficiente.

    
risposta data 02.06.2016 - 20:10
fonte

Leggi altre domande sui tag