把钥匙藏在软件听起来像一个好主意。它不是。
争论已经持续一段时间是否硬件比软件更安全。这个故事应该为辩论提供足够的燃料。
几年前,一个叫做白盒密码(WBC)开发。这是一个新颖的方法,试图实现加密算法的软件,而不是硬件。这个想法是为了保持加密资产安全的攻击,使用代码混淆。从本质上讲,一个白盒实现关键和创造,在软件,key-instantiated版本关键是隐藏在代码中。
”出名,现在有一个办法加密非常混淆的方式,在软件中,“Pankaj Rohatgi指出,Rambus的密码学研究的工程主管部门。”,它承诺,如果代码在调试器中运行,它不能提取。”
听起来不错,对吧?毕竟,这需要从芯片级的软件水平,并简化了安全,因此它可以实现在任意数量的应用程序和平台。埃克斯波特学院的球员这是非常有趣的,因为它可以分层的埃克斯波特学院设备软件-廉价和简单,没有加密硬件。它承诺很多,硬件独立,可以按比例缩小到较小的设备(想想埃克斯波特学院),并且可以运行在大多数,如果不是全部,芯片。
谷歌认为工作与宿主卡模拟(HCE),删除依赖硬件加密的手机苹果支付和早些时候谷歌钱包的方式工作。谷歌开发了一个API,允许NFC芯片软件层直接沟通,而不是一个安全的元素或智能卡芯片,所以付款可以通过软件,而不是硬件。
HCE,而不是卡数据存储在安全的环境中,使用短期键一个事务。HCE元素会谈到服务器,使用关键在你的设备有限,和软件使用有限使用关键事务。它使用一个白盒编码的关键。
在仙境,直到一切都好结果——这已经酝酿了一段时间,根据Rohatgi-it变得明显,黑客白盒密码并不是那么困难。已经认识一段时间,它可以攻击,但是思维是需要一段时间,也许两三个月。因为大多数应用程序是为短期应用程序与设备收到定期更新,和低价值目标,努力破解不值得的时间和精力。所以它继续被使用。
但随后唤醒电话。这也是一直在几个月的通道。但几周前重磅炸弹了。事实证明,白盒密码非常容易破解。事实上,Riscure,在黑帽欧洲2015上月会议,宣布发现了一种打破白盒密码。
“现在有一个非常大的“锤”,现在可以用来打破所有白盒密码,“Rohatgi说。“现在只需要几个小时,而不是几周或几个月。“这只是想出一个方法应用微分分析软件——这人,就是结束。它现在是一个全新的游戏。
现在,基本上白盒密码是破碎的,在大量的Android设备用户空间。没关系,白盒旋转每隔几周,了。现在需要旋转每隔几小时,这是不可能发生的。
也许是认为它主要是用于低价值交易使它不太可能会被黑客攻击。但如果他们可以破解白盒,它会导致设备漏洞我们中的许多人使用运行我们的生活吗?这是未知的。
不过,这并不是被忽略。这是一个主要的恐慌,我们只能希望谷歌,和其他行业使用白盒数字版权管理,在咖啡香中醒来。事实上,也许他们应该做一些额外的咖啡。
|
|
|
|
|
|
|
|
留下一个回复