Sitat av
slashdot
TStoler du kun på den du har nøkler på, så kan den potensielt verte utsett for angrep som t.d. buffer overflow via lydkabelen.
Jøss, så man kan altså angripe offline-maskinen via lydkabelen med et "buffer overflow" angrep og få tak i nøklene?
Sitat av
slashdot
Ein annan enkel metode vil jo vere å vise ein QR-kode på skjermen til den trygge eininga, og så lese av informasjonen på den måten. Det er jo rimelig trivielt å verifisere at er einvegs-overføring.
Yay! Jeg digger det!
Jeg tror faktisk jeg kan lage en sånn app, jeg! Har lekt med QR-koder før, fatter ikke hvorfor jeg ikke kom på den muligheten før! takk!
Da er jo løsningen ganske enkel, trenger ikke å programmere engang.
Handleliste:
1. Du og kompisen din skaffer seg hver sin smarttelefon med en QR-kode leser-app.
2. Du og kompisen din skaffer seg også en datamaskin som ikke har bluetooth, wifi, osv. totalt isolert, men som har et webcam.
3. På denne maskinen installerer du et QR-kode generator/leser program og et OTP krypterings/dekrypterings program. Kan også være kjekt med truecrypt på hele maskinen om noen bryter seg inn.
4. Generer en laaaaaaang liste med random keys, helst på en offline maskin slik at ingen som muligens overvåker maskinen får tak i nøklene.
Brukerguide:
1. Du og kompisen din møtes og utveksler usb-penner med nøklene og setter de i datamaskinen. Disse har også truecrypt.
2. Du setter deg forran offline-maskinen, setter inn usb-nøklen, velger lista med keys i OTP programmet og den første nøklen i lista og skriver en melding.
3. meldingen krypteres til en laaaang kode som du mater inn i qr-programmet som lager en qr-kode.
4. du drar fram mobilen, tar bilde av qr-koden og sender den til kompisen din som mms eller på mail… instagram… snapchat?
5. kompisen din får qr-koden, og leser den av ved å vise den til webcammet på datamskinen med QR-kode programmet.
6. kompisen din skriver svar tilbake på samme måte.
Denne metoden krever at du og kompisen din har mulighet til å utveksle usb-penner med nøklene, og at nøkler bare brukes én gang.
Finnes det noen måte å angripe denne metoden?
[EDIT:] telefonen trenger ikke qr-leser engang, bare kamera