• Партнер

  • Heise Security опубликовало

    прекрасную историю
    об уязвимости продукта, прошедшего сертификацию FIPS
    140-2.

    Сертификация

    FIPS-140-2
    определяет требования к криптографическим подсистемам как в части
    их физической защиты, так и собственно к их функционалу, процедуре управления
    ключами, аутентификации и т.п. Продукт, о котором идет речь — USB-флешка
    Stealth
    MXP
    компании MXI Security, выполняющая шифрование данных с использованием
    алгоритма AES и имеющая считыватель отпечатка пальца для реализации
    многофакторной аутентификации. Казалось бы, тут мы имеет стопроцентное попадание
    под требования стандарта и

    успешное прохождение
    сертификации по уровню 2 гарантирует нам полную
    сохранность данных. Правильно?! Нет!

    Как обнаружили специалисты Heise Security, программное обеспечение,
    выполняющее аутентификацию пользователя, когда тот подключает флешку, загружает
    в оперативную память компьютера хеши текущего (и, возможно, предыдущих) паролей,
    используемых для аутентификаци. Эти хеши не имеют salt и потому уязвимы для
    rainbow-атаки.

    Итого, продукт прошел сертификацию, получил бумагу, на его безопасности это,
    видимо, никак не сказалось. Хочу ли я сказать, что такие сертификации
    бесполезны? Пожалуй, нет, потому что при их отсутствии ошибки могли бы быть еще
    более устрашающими (хотя уж куда больше? 😉 ), но полностью доверять их
    безопасности, увы, нельзя.


    http://community.livejournal.com/securityblogru/18479.html

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии