Smart Card / Sicurezza token USB

1

Sono abbastanza nuovo per carte e token e sto cercando di capire come risolvere un paio di problemi prima di acquistarne uno e usarne uno.

1- accesso fisico ai tasti sulla carta o sul token: tutti questi dispositivi sono configurati (o facilmente configurati per) richiedono un pin / pw di qualche tipo prima dell'uso? Quindi, ad esempio, se la carta viene smarrita, prima di accedere a qualsiasi informazione o modulo (cioè openpgp) che risiede sulla carta, deve essere inserito un pin?

2- Qual è l'effetto di un keylogger dannoso sull'uso di una smart card o token? Ad esempio, se si utilizza una funzionalità di token / smartcard di tipo USB, un keylogger può compromettere tutto ciò che si trova sul dispositivo, anche se l'utente malintenzionato non è in grado di ottenere fisicamente il token USB?

    
posta TrustNoOne 10.03.2015 - 17:52
fonte

1 risposta

1

La maggior parte (tutte?) delle schede richiede un PIN e sono progettate per bloccarsi dopo numerosi tentativi falliti, quindi l'accesso fisico a una carta è praticamente inutile senza conoscere il PIN dato che le carte sono progettate per essere a prova di manomissione. Finora non ho sentito alcun modo per estrarre i segreti usando un attacco hardware in uno scenario reale.

Un keylogger su una macchina acquisirà effettivamente il PIN se lo inserisci in un'applicazione sul computer. Questo può essere mitigato usando un lettore con una tastiera hardware e inserendo il PIN su quella tastiera. In questo modo il PIN non raggiunge mai il computer e persino una macchina compromessa non sarà in grado di catturarla. Tutti i terminali di carte di credito che utilizzi quando paghi sono, per lo meno, un lettore come questo (ma spesso sono computer completi che gestiscono l'intera transazione) così il sistema POS non ottiene mai il tuo PIN.

Un keylogger non sarà mai in grado di compromettere i segreti della carta, poiché le carte sono progettate specificamente per non rivelarle mai, comprometterà comunque il PIN e tutti i dati che crittografate / decifri con quella carta o token.

    
risposta data 10.03.2015 - 18:01
fonte

Leggi altre domande sui tag