»

Hyundai za šifriranje uporabil kar javno objavljen primer javnega in zasebnega ključa

Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

54 komentarjev

Kako so strežniki SKS postali piratske strani

Slo-Tech - Na strežnikih SKS naj bi se shranjevali javni ključi za šifriranje elektronske pošte PGP. Zamisel je preprosta, saj lahko vsakdo nanje naloži javni ključ za svoj zasebni ključ, ki pošiljateljem omogoča šifriranje sporočil, tako da jih bo le lastnik zasebnega ključa lahko prebral. Vnosi v SKS se avtomatično delijo po vseh sodelujočih strežnikih, ki jih gostijo različne organizacije, med njimi tudi slavni MIT in Surfnet. Zaradi svojega ustroja strežniki SKS ne omogočajo brisanja ali spreminjanja vnosov; naložimo lahko podatek o preklicu ključa, a pretekle vsebine ne moremo popravljati. Če vas skupaj spominja na blockchain (distribuirano skladiščenje, nespremenljivost), niste edini. Neznanci so sistem SKS...

8 komentarjev

Velika luknja v Infineonovih kriptografskih čipih

Slo-Tech - Infineonovi čipi TPM, ki jih uporabljajo številne matične plošče za tvorjenje in preverjanje šifrirnih ključev po algoritmu RSA, so ranljivi, sporočajo raziskovalci z Masarykove univerze na Češkem. Čipe nemškega proizvajalca Infineon najdemo v izdelkih najrazličnejših proizvajalcev od Asusa, Fujitsuja, HP-ja, Lenova, Samsung do Googlovih Chrombookov. Uporabljajo se za elektronsko dokazovanje istovetnosti in v pravnem prometu. Ranljivost so odkrili februarja in jo Infineonu sporočili, sedaj pa je potekel dogovorjen embargo, zato bo 2. novembra tudi javno razkrita javnosti na konferenci ACM CCS 2017 v Dallasu. Infineon je obvestilo izdal minuli teden, prav tako je že pripravil...

37 komentarjev

Heker pridobil zasebne ključe za Apple AirPlay

AirPort express (na sredini) v akciji. Vir: apple.com

Slo-Tech -

Programer James Laird je minuli teden na githubu objavil odprtokodno različico strežnika za Applov protokol AirPlay, ki omogoča streamanje glasbe iz iTunesov in iNapravic na domači hi-fi.

Dela se je lotil potem, ko se je njegova punca preselila v novo stanovanje in se njen AirPort Express (na sliki, na sredini) ni hotel priklopiti na tamkajšnje brezžično omrežje. Namesto preproste spremembe wi-fi kanala se je James, as hackers do, odločil, da bo napravo preprosto zamenjal s svojim Linux strežnikom.

Streamanje po protokolu AirPlay, nekoč znanem pod imenom AirTunes, poteka tako, da uporabnik v svojem iTunes programu oz. na iNapravici vklopi deljenje glasbene knjižnice z napravo AirPort Express. Na slednjo priklopi Hi-Fi komponento, nakar lahko...

8 komentarjev

Objavljena baza zasebnih SSL-ključev usmerjevalnikov in VPN-jev

Slo-Tech - LittleBlackBox Project je na internetu objavil bazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.

Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve...

8 komentarjev