Версия программного обеспечения RSA SecurID?
Есть ли версия программного обеспечения securID FOB ниже:
http://www.frontierpc.com/ProductImages/Large/1010053834.jpg
Я помню, как читал, что алгоритм генерации ключей был нарушен и что была доступна программная утилита, в которой, если вы наберете достаточно последовательности из своего физического ключа, он определит последовательность клавиш. Где я могу получить это программное обеспечение???
РЕДАКТИРОВАТЬ: я ищу неофициальное программное обеспечение
6 ответов
Seeking software capable of cracking an RSA SecurID, Nick Kavadias wrote: "I remember reading that the algorithm for the key generation had been broken & that there was a software utility available, where if you punched in enough sequences from your physical key it would figure out the key sequence. Where can i get this software???"
Привет ник,
Since 2003, the RSA SecurID has been based on AES block cipher, the US advanced crypto standard. The SecurID uses a 128-bit token-specific secret key, and AES, to continuously generate a series of 60-second SecurID token-codes by encrypting:
- 64-битное стандартное представление ISO текущего времени (год / месяц / день / час / минута / секунда),
- 32-битная соль, специфичная для токена (серийный номер токена), и
- еще 32 бита заполнения.
Извини, Ник. Нет радости Никто не может "сломать" AES в обозримом будущем.
Оригинальный SecurID, впервые представленный в 1987 году, использовал запатентованный алгоритм Джона Брейнарда для хеширования 64-разрядного секретного ключа токена и текущего времени для генерации серии 6-8-значных токенов-кодов SecurID, непрерывно изменяющейся каждые 60 секунд.
Хотя, насколько мне известно, никто не смог успешно взломать один из классических 64-битных SecurID, был захватывающий всплеск академического понимания новых типов уязвимостей в старом хеше SecurID, который был опубликован вскоре после обновления RSA до его AES SecurID. Эти теоретические атаки на хэш Brainard обычно влекли за собой сбор многих тысяч кодов токенов SecurID и обширный статистический анализ ряда, который мог бы быть эффективен для некоторых токенов. Мне известно о нескольких попытках использовать этот подход для взлома SecurID, но все они оказались безуспешными.
Я сомневаюсь, что существует какое-либо реальное программное обеспечение - и оно, в конце концов, было бы полезно только для атаки на 64-битный SecurID, продукт, который больше не используется, - но есть академические документы, которые исследуют вероятности, если это так. твоя склонность (Наиболее проницательные деконструкции и анализ хеша Брэйнарда были опубликованы в 2003 году Бирюковым, Лано и Пренелем, а также в другой статье, опубликованной в 2004 году Контини и Инь, двумя бывшими криптографами RSA. Я думаю, что оба легко доступны онлайн.)
Мне немного неясно, какая у тебя цель, Ник. RSA свободно распространяет миллионы версий программного обеспечения AES SecurID, настроенных для различных портативных платформ, со своего веб-сайта. Они взимают плату за свой сервер и "секретные ключи", используемые для инициализации приложений эмуляции токенов. Несомненно, существуют различные версии кода SecurID с обратной инженерией. Таким образом, вы можете играть с реальным или имитационным кодом SecurID - но без 128-битных секретов заставить работать систему RSA. А сервер аутентификации RSA будет регистрировать и поддерживать только секретные "ключи" SecurID, которые были подписаны корпоративным RSA.
Я надеюсь, что это отвечает на ваши вопросы. Говори, если есть еще. Я был консультантом RSA в течение многих лет, и у меня явные предубеждения, но я обычно отвечаю на вопросы и ответы.
Suerte, _Vin
Я не верю, что вы можете использовать свои брелоки RSA, но существует бесплатная двухфакторная аутентификация на основе сообщества с открытым исходным кодом, которая называется WikID. У них также есть коммерческая программа.
RSA делает официальные программные токены для некоторых КПК. Наша компания устанавливает версию программного токена на корпоративные Blackberrys, чтобы избавить пользователей от необходимости носить с собой как ключ, так и свой BB.
Наличие программного обеспечения на КПК сохраняет двухфакторный аспект безопасности (то, что у вас есть, и то, что вы знаете) таким образом, что установка программного токена на тот же настольный ПК, с которого вы, вероятно, подключаетесь к ресурсу, не,
Кроме того, использование официального токена программного обеспечения RSA, распространяемого вам людьми, контролирующими доступ к ресурсу, является намного, намного лучшей идеей, чем использование какого-либо взломанного программного обеспечения, которое, вероятно, нарушает все виды соглашений между вами, эмитентом и RSA.
Здесь вы найдете официальные средства проверки подлинности программного обеспечения RSA, обратите внимание, что, хотя вы можете просто загрузить некоторые из них без каких-либо трудностей, они не будут работать без записи ключа / начального числа, выпущенной людьми, которые управляют ресурсом, к которому вы пытаетесь получить доступ.
Можно эмулировать устройства SecureID, если у вас есть все необходимые элементы. Но при этом вы нарушаете фундаментальный принцип двухфакторной аутентификации. Что, несомненно, не понравится тому, кто предоставил вам устройство для безопасного доступа к своим системам.
Принцип двухфакторной аутентификации заключается в том, что физический предмет, который является "частью вашей загадки", не может быть продублирован и всегда остается с вами. Если вы эмулируете это в программном обеспечении на своем ноутбуке, то ваш ноутбук станет целью для кражи и / или копирования этих данных, возможно, даже не зная, что это произошло.
Попробуйте это, но вы должны знать серийный номер вашего токена. Нет, это не тот, что написан за токеном.
Я не рекомендовал бы использовать такое программное обеспечение, если оно существует.
Вы фактически удаляете уровень безопасности из соглашений о входе в систему. Если кто-то каким-то образом получает доступ к вашей рабочей станции / ноутбуку (локально или удаленно), у него есть все, что ему нужно для входа в систему, как и вы в этих системах. Смысл наличия дополнительного физического устройства в процессе аутентификации состоит в том, что у вас есть устройство, а удаленный хакер (или человек, который украл ваш ноутбук) - нет.
Кто бы ни дал вам физический ключ для использования для получения доступа к своим системам, он не будет счастлив, если вы сделаете что-то подобное, и, вероятно, по крайней мере полностью отзовет ваш доступ, если узнает. Вы можете даже оказаться в судебном процессе, поскольку, скорее всего, вы нарушите любое соглашение, заключенное, когда вам был предоставлен доступ к услугам.