Heise Security опубликовало

прекрасную историю
об уязвимости продукта, прошедшего сертификацию FIPS
140-2.

Сертификация

FIPS-140-2
определяет требования к криптографическим подсистемам как в части
их физической защиты, так и собственно к их функционалу, процедуре управления
ключами, аутентификации и т.п. Продукт, о котором идет речь — USB-флешка
Stealth
MXP
компании MXI Security, выполняющая шифрование данных с использованием
алгоритма AES и имеющая считыватель отпечатка пальца для реализации
многофакторной аутентификации. Казалось бы, тут мы имеет стопроцентное попадание
под требования стандарта и

успешное прохождение
сертификации по уровню 2 гарантирует нам полную
сохранность данных. Правильно?! Нет!

Как обнаружили специалисты Heise Security, программное обеспечение,
выполняющее аутентификацию пользователя, когда тот подключает флешку, загружает
в оперативную память компьютера хеши текущего (и, возможно, предыдущих) паролей,
используемых для аутентификаци. Эти хеши не имеют salt и потому уязвимы для
rainbow-атаки.

Итого, продукт прошел сертификацию, получил бумагу, на его безопасности это,
видимо, никак не сказалось. Хочу ли я сказать, что такие сертификации
бесполезны? Пожалуй, нет, потому что при их отсутствии ошибки могли бы быть еще
более устрашающими (хотя уж куда больше? 😉 ), но полностью доверять их
безопасности, увы, нельзя.


http://community.livejournal.com/securityblogru/18479.html

Оставить мнение

Check Also

Кеш-атаки по сторонним каналам. Что произошло в области утечек на аппаратном уровне за последние два года

Несмотря на то что до 2016 года существовало лишь несколько публикаций о кеш-атаках на сма…