Skocz do zawartości
Elvis

Do czego jest układ kryptograficzny w Arduino?

Pomocna odpowiedź

I to brzmi jak sensowne wytłumaczenie zastosowania ECC. Tylko ciekawe jak zareaguja użytkownicy na takie podejście.

Udostępnij ten post


Link to post
Share on other sites

Pytanie (równie ważne) czy Chińczycy mają zamiar kopiować te płytki, bo jakoś do tej pory nie widziałem klonów MKR.

Udostępnij ten post


Link to post
Share on other sites

Podobno skopiowanie ECC jak na razie jest niemożliwe. Te same układy sa używane przez Apple i innych dużych graczy. Więc nawet jeśli skopiuja to nie w 100% jak obecnie

Udostępnij ten post


Link to post
Share on other sites

Zgadza się, ale na razie ewidentnie nie widać jeszcze przewagi tego, że Arduino programuje(?) jakoś swoje ECC. Więc aktualnie wyprodukowane klony działałyby tak samo, płytki są dostępne już dość długo, a klonów brak 😉

Udostępnij ten post


Link to post
Share on other sites

Jeszcze może chodzić o możliwość jednoznacznej identyfikacji płytki. Niby można identyfikować po adresie MAC albo jakimś UID (STM32 maja wbudowany taki) ale jeśli ktoś zdobędzie protokół komunikacji to będzie mógł podszyć się pod dowolne urządzenie. A tak za 0.5$ każde urządzenie ma swój unikalny numer seryjny zabezpieczony kryptografią asymetryczną.

  • Lubię! 1

Udostępnij ten post


Link to post
Share on other sites

Tylko pytanie do czego taka jednoznaczna identyfikacja jest potrzebna, a właściwie "dla kogo"? Czy dla Arduino, które chce walczyć z klonami lub dopuszczać do swojej infrastruktury tylko oryginalne płytki, czy dla użytkowników, którzy mają wykorzystywać to w swoich projektach. Oczywiście obie wersje mogą być prawdziwe, ale z drugiej strony odsetek użytkowników, który z tego skorzysta jest pewnie mały. Szczególnie, że oficjalna biblioteka wiele nie wspiera, bo tylko generowanie liczb losowych.

14 godzin temu, Elvis napisał:

Ten układ ma własną pamięć (nieulotną), która może być zapisana przez producenta. Układ może nawet zliczać liczbę uruchomień i odmówić np. autoryzacji po przekroczeniu limitu. Poza tym jeśli raz został zapisany, nie daje już użytkownikowi pełnej kontroli - ma ją producent / Arduino

To może najlepszym testem byłoby teraz sprawdzenie czy ten układ jest zapisany i "zablokowany" przez producenta?

Udostępnij ten post


Link to post
Share on other sites
(edytowany)

Dla mnie to naturalny krok i wręcz niezbędny element dla rozwiązań IoT. Nawet zwykły czujnik temperatury czy ruchu powinien szyfrować komunikację z centralką żeby nie dawać fajnego narzędzia choćby dla włamywaczy... Samo szyfrowanie wbudowane w protokół to trochę mało, niestety nie jestem eskeprtem od bezpieczeństwa więc nie będę rzucał przykładami ale... na popularnych portalach zajmujących się tą tematyką można było poczytać o podatnościach w implementacji WiFi.

Druga sprawa to taki silnik szyfrujący i miejsce do przechowywania kluczy przydałby się już dawno dla bardziej wymagających użytkowników projektujących urządzenia odporne na piractwo. Procesory AVR miały co prawda opcję zabezpieczenia fuse bitami ale to jest mechanizm chroniący tylko przed odczytem, problematyczna staje się implementacja bezpiecznego mechanizmu aktualizacji.

No i trzecia sprawa, teoretycznie są biblioteki pełniące tą samą rolę ale zabierają one cenną przestrzeń mikrokontrolera i znacznie obciążają go obliczeniowo, tym bardziej, że spory odsetek mikrokontrolerów nie ma instrukcji sprzętowych przyspieszających tego typu obliczenia.

Edytowano przez sebas86
  • Lubię! 2

Udostępnij ten post


Link to post
Share on other sites
2 godziny temu, sebas86 napisał:

Nawet zwykły czujnik temperatury czy ruchu powinien szyfrować komunikację z centralką żeby nie dawać fajnego narzędzia choćby dla włamywaczy...

A to jest bardzo ciekawe. Znasz jakieś czujniki, które to robią?

Mógłbyś podać jakiś scenariusz w którym włamywacz uzyskuje dostęp do czegokolwiek (poza temperaturą) rozszyfrowując sygnał z czujnika temperatury?

  • Lubię! 1

Udostępnij ten post


Link to post
Share on other sites

Hmm, choćby włamywacz podszywa się za czujnik i wysyła że mamy cały czas temperaturę 0 - przez to ogrzewanie grzeje na maska i cóż...

Co do samego chipu - można na razie tylko spekulować, czy to nowy feature i udogodnienia dla użytkownika wraz z możliwością dodatkowego zabezpieczenia się, czy tez rzeczywiście krok w stronę ukrócenia rynku klonów.

Szczerze nie dziwiłbym się, gdyby tak było jeśli chodziłoby o rozwiązania chmurowe - kupujesz nasz produkt - korzystaj. Kupujesz klona - radź sobie sam.

Przykładem na to, że zapomniano o tym może być sprawa analizatorów stanów logicznych: Saleae i USBee - są one obecnie klonowane na potęgę, firmy, które zrobiły dobry soft (w szczególności Saleae) nie mają z tego dochodu (a ruch na ich stronach w związku np. z pobieraniem softu jest generowany => ponoszą koszty). Nie mają tez jak zablokować klonów, bo są nie od odróżnienia od oryginałów... 

  • Lubię! 1

Udostępnij ten post


Link to post
Share on other sites
12 godzin temu, deshipu napisał:

Mógłbyś podać jakiś scenariusz w którym włamywacz uzyskuje dostęp do czegokolwiek (poza temperaturą) rozszyfrowując sygnał z czujnika temperatury?

Ktoś już to testował. Tutaj przez termometr w akwarium włamano się do bazy danych kasyna: https://www.businessinsider.de/hackers-stole-a-casinos-database-through-a-thermometer-in-the-lobby-fish-tank-2018-4?r=UK&IR=T 😉

Udostępnij ten post


Link to post
Share on other sites
13 godzin temu, piotrva napisał:

Hmm, choćby włamywacz podszywa się za czujnik i wysyła że mamy cały czas temperaturę 0 - przez to ogrzewanie grzeje na maska i cóż...

I co "cóż"? Możesz dokończyć? Bo nadal nie rozumiem co z tego ma włamywacz.

Udostępnij ten post


Link to post
Share on other sites
3 minuty temu, deshipu napisał:

I co "cóż"? Możesz dokończyć? Bo nadal nie rozumiem co z tego ma włamywacz.

Mocne grzanie i ruchy ciepłego powietrza mogą powodować fałszywe alarmy czujników PIR. Po serii XX fałszywych alarmów (przez kilka dni) pewnie tymczasowo nikt nie reagowałby błyskawicznie na kolejne alarmy - kilka minut dla złodzieja zaoszczędzone 😉

Udostępnij ten post


Link to post
Share on other sites
(edytowany)

Z ciągu wartości temperatura/czas możesz baaardzo dużo się dowiedzieć, włącznie z tym ile osób i o której wchodziło do danego pomieszczenia. Włamywaczowi takie informacje mogą byc potrzebne, aby wybrać optymalną porę dokonania włamania.

A z włączenia ogrzewania na maksa też można pewne korzyści wyciągnąć - np. jeśli pięć razy włączy się alarm mimo że nic się nie stało, to za szóstym razem strażnik najpierw dokończy kanapkę a dopiero później spojrzy w monitor.

(Treker był szybszy)

Edytowano przez ethanak
  • Lubię! 1

Udostępnij ten post


Link to post
Share on other sites
3 minuty temu, Treker napisał:

Mocne grzanie i ruchy ciepłego powietrza mogą powodować fałszywe alarmy czujników PIR. Po serii XX fałszywych alarmów (przez kilka dni) pewnie tymczasowo nikt nie reagowałby błyskawicznie na kolejne alarmy - kilka minut dla złodzieja zaoszczędzone 😉

Nie no, jak ci się włączy alarm z powodu rozgrzania pomieszczenia, które miało być utrzymywane w stałej temperaturze, to chyba od razu się zorientujesz, że coś tu jest nie tak. Trudno jest nie zauważyć takiego drobnego detalu.

3 minuty temu, ethanak napisał:

Z ciągu wartości temperatura/czas możesz baaardzo dużo się dowiedzieć, włącznie z tym ile osób i o której wchodziło do danego pomieszczenia. Włamywaczowi takie informacje mogą byc potrzebne, aby wybrać optymalną porę dokonania włamania.

 

To jeszcze by ten włamywacz musiał przesyłać te dane jakoś do siebie, żeby móc z nich skorzystać. Czyli musi zainstalować własne urządzenie. Równie dobrze to jego urządzenie może mieć własne czujniki.

  • Lubię! 1

Udostępnij ten post


Link to post
Share on other sites

Dołącz do dyskusji, napisz odpowiedź!

Jeśli masz już konto to zaloguj się teraz, aby opublikować wiadomość jako Ty. Możesz też napisać teraz i zarejestrować się później.
Uwaga: wgrywanie zdjęć i załączników dostępne jest po zalogowaniu!

Gość
Dołącz do dyskusji! Kliknij i zacznij pisać...

×   Wklejony jako tekst z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


×
×
  • Utwórz nowe...