» »

Nikonovo digitalno podpisovanje slik razbito

Nikonovo digitalno podpisovanje slik razbito

Policisti pri ogledu kraja dejanja tega dodobro dokumentirajo s steganografijo ali fotografijo, avtentičnost posnetkov pa je seveda še kako pomembna. Slika je iz lasvegaške različice serije CSI, kjer proti ustreznemu plačilu dosledno reklamirajo Nikonove izdelke.

vir: Heise

Prikaz postopka priprave digitalnega podpisa dokumenta (levo) in naknadnega preverjanja avtentičnosti dokumenta (desno)

ElcomSoft je za 'proof of concept' uporabil znani fotografiji 'Abbey Road' in 'Lunar Landing'. Na levi sta originala, na desni pa sfotošopirani različicami z rusko noto. Oba fotošopa sta veljavno digitalno podpisana, gornji z Nikonovim ključem, spodnji pa s Canonovim. Canonov ključ so Elcomsoftovci sicer dobili že decembra lani.

Heise -

Manj znana prednost digitalne fotografije je digitalno podpisovanje slik neposredno na fotoaparatu. S tem lahko imetnik fotografije preveri, če je slednja res avtentična in torej ni bila spremenjena (popularno shopped). Zmožnosti se poslužujejo predvsem sodišča in drugi pravosodni organi, v nevladni sferi pa časopisi, ker želijo od svojih fotografov dobiti originalne vsebine.

Boljši zrcalnorefleksni izdelki podjetja Nikon imajo v svojem nedrju skrit zasebni ključ, s katerim se takoj po snemanju podpisujejo fotografije. Preverjanje podpisa je mogoče z namenskim programom Image Authentication Software, ki ni zastonj (cena je okoli 500€) in za delovanje zahteva celo poseben USB ključek s kodo. Žal nič od tega ne pomaga, če hekerji uspejo priti do zasebnega ključa v fotoaparatu. Ruski raziskovalci podjetja ElcomSoft (sicer tržijo predvsem izdelke za povrnitev MS Windows in PDF gesel) so uspeli narediti prav to. Točne podrobnosti še niso na voljo, vendar zgleda, da fotoaparat ključ sicer dobro skriva, a ga med uporabo v nezaščiteni obliki skopira v polnilnik (kar niti ni pretirano različno od PS3).

Elkomsoft je podatke o najdbi posredoval CERT-u in pa seveda Nikonu, ki pa se še ni odzval. To niti ni tako nepričakovano, saj bi bila odprava napake v obstoječih modelih zelo draga, obenem pa večina lastnikov njihovih fotoaparatov zadevne funkcije sploh ne uporablja. Po vsej verjetnosti bodo ravnali podobno kot Canon po lanskoletni odtujitvi njihovih ključev - molče bodo napako popravili v prihodnjih modelih, s starimi pa naj bo kar bo.

Pri blogu crackpassword.com so ob tej priložnosti objavili tudi kratek pregled najbolj znanih slikovnih ponaredkov.

13 komentarjev

ender ::

...molče bodo napako popravili v prihodnjih modelih, s starimi pa naj bo kar bo.
Kako lahko tako napako sploh odpraviš? Podpisovanje se mora izvesti v fotoaparatu, fotoaparat pa ima napadalec pri sebi - ne glede na to, kaj naredijo, je možno fotoaparat prirediti tako, da podpiše katerokoli sliko (tudi če do ključa sploh ne prideš - pač zamenjaš svetlobni senzor z nečim, kar pošlje tvojo lastno sliko).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

BigWhale ::

Torej, da nekomu podtaknes avtenticno sliko, mu moras ukrasti fotoaparat, dobiti kljuc iz njega, mu potem fotoaparat vrniti in na koncu se sliko podtakniti nekam. Ali pa taksno sliko uporabis kot 'dokaz' nekje drugje.

Ja, nevem no. Takoj, ko ostanes brez foto aparata je prepozno. Priblizno tako, kot ce bi ti nekdo ukradel web server. :)

IvoJan ::

prva slika je iz CSI Miami. :)
|MSI Z270 GAMING M3|7700k@5GHz|NZXT Kraken X62|
|16gb g.skill rgb ddr4|MSI RTX2080 x trio|850 evo 500gb|toshiba 3TB storage|
|Corsair HX1000i|NZXT H440 Razer|

Bistri007 ::

BigWhale je izjavil:

Torej, da nekomu podtaknes avtenticno sliko, mu moras ukrasti fotoaparat, dobiti kljuc iz njega, mu potem fotoaparat vrniti in na koncu se sliko podtakniti nekam. Ali pa taksno sliko uporabis kot 'dokaz' nekje drugje.

Ja, nevem no. Takoj, ko ostanes brez foto aparata je prepozno. Priblizno tako, kot ce bi ti nekdo ukradel web server. :)

BW, fora tega digitalnega podpisa je, da so s tem podpisane samo TVOJE posnete fotografije. Exploit je, da lahko s tem ključem podpišeš NE-SVOJE posnete fotografije in fotošopirane fotografije.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

Zgodovina sprememb…

BigWhale ::

Oh. Ja, O tem nisem niti razmisljal. Cist premal sem corrupted. :>

AndrejS ::

Ne vem zakaj se trudijo. Sprintaš fotofopirano sliko v visoki kvaliteti in je ponovno slikaš - in je podpisana s tvojim ključem.

jype ::

BigWhale> Cist premal sem corrupted. :>

You should have married Eve, not Alice.

Zgodovina sprememb…

  • spremenilo: jype ()

Bistri007 ::

AndrejS je izjavil:

Ne vem zakaj se trudijo. Sprintaš fotofopirano sliko v visoki kvaliteti in je ponovno slikaš - in je podpisana s tvojim ključem.

Ni čisto isto, še posebej ne ISO nastavitve, čas zaslonke ipd. EXIF stuff...

BigWhale je izjavil:

Oh. Ja, O tem nisem niti razmisljal. Cist premal sem corrupted. :>

Jaz sem pa simbol pokvarjenosti :'( :'( :'(
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

[D]emon ::

Oh yay, security through obscurity. *sarkazem*
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Jst ::

IvoJan je izjavil:

prva slika je iz CSI Miami. :)


Ohh, how much I hate procedural cop shows...
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

sandmat ::

"med uporabo v nezaščiteni obliki skopira v polnilnik "

to je mišljeno v pomnilnik verjetno? (charger za fotoaparat just doesn't make sense :D)

MrStein ::

Jap. Sem opazil isto.
Sicer sem šel brati linkane članke, pa nisem nobenih podrobnosti našel on napaki.

Torej:
- je res polnilnik?
- kje točno je vir te (dez)informacije?

Policisti pri ogledu kraja dejanja tega dodobro dokumentirajo s steganografijo ali fotografijo,

Steganografijo?
Torej fotke skrijejo v druge fotke???
Teštiram če delaž - umlaut dela: ä ?

Jst ::

Naši so tako napredni, da jih še enkriptirajo z random passwordom!! Zasebnost (sobe) je namreč bolj pomembna, kot policisti, da bi krčili to zasebnost (sobe) z ponovnim ogledom fotografij. Inf.poob.press
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nikonovo digitalno podpisovanje slik razbito

Oddelek: Novice / Varnost
134746 (3198) Jst
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
336584 (4736) neki4
»

Razbit Canonov sistem za zagotavljanje verodostojnosti posnetkov

Oddelek: Novice / Varnost
94193 (2747) mtosev
»

Uvoz certifikata v IE7

Oddelek: Pomoč in nasveti
52611 (2533) SkIDiver
»

Na Švedskem sprejeli zakon, ki dovoljuje prestrezanje mednarodnega prometa

Oddelek: Novice / Zasebnost
214871 (3764) redo

Več podobnih tem