Разработан протокол аутентификации сменных носителей

image

Теги: IEEE

Для решения этой задачи ассоциация разработала инновационный стандарт IEEE 1667 (также известный как стандартный протокол аутентификации сменных носителей, подключаемых к хост-системе), который сделает использование перечисленных устройств более безопасным.

Рабочая группа IEEE поможет современным организациям избежать распространенных рисков, связанных с использованием сменных накопителей («флэшек», внешних жестких дисков и портативных медиа-плееров) в производственных средах.

Для решения этой задачи ассоциация разработала инновационный стандарт IEEE 1667 (также известный как стандартный протокол аутентификации сменных носителей, подключаемых к хост-системе), который сделает использование перечисленных устройств более безопасным.

Перед тем как предоставить пользователю доступ к «флэшке» или портативному диску, система определит правомерность использования данного устройства. Такой подход подключения исключает вероятность подключения к компьютеру несанкционированных «девайсов», которые просто не будут распознаваться системой.

IEEE 1667 – это платформенно-независимый стандарт, поддержка которого может быть реализована в любой из операционных систем на программном уровне. Корпорация Microsoft является одним из наиболее активных приверженцев нового стандарта и планирует реализовать его встроенную поддержку в грядущей Windows 7.


или введите имя

CAPTCHA
Страницы: 1  2  
33754
27-11-2008 19:08:49
ну всё ясно - носители с этой "фичей" будут глючить и не будут авторизироваться там где должны, - например идея реализации т.н. защиты от копирования в некоторых случаях станет защитой от чтения вообще
0 |
58522
27-11-2008 21:05:32
хм, а по каким критериям система определит? сама? а если я хочу самопал в юсб воткнуть? хм,хм,хм...
0 |
42952
27-11-2008 23:19:53
Я конечно не люблю стандарты от IEEE, но все же, это открытые стандарты. Будем надеяться что негрософт не напихает туда несовместимостей как обычно они привыкли делать. Надеюсь производители железо не пойдут на поводу у этих гаденышей, и реализуют поддержку в полном соответствии со стандартом.
0 |
28-11-2008 06:09:52
особо это риски не снизит
0 |
truth
28-11-2008 09:40:08
А кто будет решать - что можно втыкать, а что - нет ??? Не нравится мне все это...
0 |
987654321
28-11-2008 09:58:23
Дома - сам, из под админа. На работе - админ/безопасник, согласно регламентам. Зачатки системы есть уже сейчас - каждое USB-устройство имеет своий уникальный ID. Оталось к этому ID добавить управление доступом на уровне ОС. Интересней другое, как будут разруливать проблему с мышками/принтерами/сканерами и проч? Если этот стандарт будет реализован, то такое ПО как DeviceLock, будут практически не нужны.
0 |
truth
28-11-2008 10:36:36
Интересней другое, как будут разруливать проблему с мышками/принтерами/сканерами и проч? Интуитивно догадываюсь, что так: со своей мышкой на работу-ни-ни, ибо одмину заплачен откат от конторы-поставщика мышек...гоаворю же - не нравится мне все это...
0 |
этоттам
28-11-2008 10:57:13
не надо пороть ерунду, кроме Vendor ID + Device ID, каждое USB устройство может выдать перечень поддерживаемых классов. у мышки это будет USB HID класс, у флэшки - USB Mass Storage класс. Вот и все. Разрешения по пересечению множеств разрешенных классов и vid:did
0 |
truth
29-11-2008 12:44:31
Блин, вспомнил первую специальность, как разработчик железа могу сказать - на ПЛИС можно подделать любой ID и не париться, можно даже сделать девайс, который будет читать параметры "разрешенных устройств", запоминать из на флеш-память, и потом - аппаратно эмулировать при подключении к компу, через такую хрень - подключай что хочешь - будет работать(естественно в пределах разумного, если разрешена мышь с каким-то серийником, то подключить вместо нее флешку скорей всего-не выйдет, хотя, все зависит от багов в реализации протокола)
0 |
этоттам
29-11-2008 17:40:28
ну, DeviceID и VendorID подделаешь. А дальше у тебя ОС спросит классы, поддерживаемые устройством. Ты ей отдашь Mass Storage, а ей запрещено работать с Mass Storage. И чо? ты будешь пытаться прикручивать работу с Mass Storage через HID класс?
0 |
truth
29-11-2008 17:56:25
а)Классы тоже можно запомнить... б)ты будешь пытаться прикручивать работу с Mass Storage через HID класснет, не буду, но я смогу прикрутить неавторизованную флешку под видом авторизованной, а это уже кое что в) а еще у меня есть тупой вопрос - а можно ли выдать с одного девайса и HID и Mass Storage?, если можно, и в реализации протокола - баг, то можно будет прикрутить мыше-флешку, и слить на нее все, что надо, хотя это из области фантастики...
0 |
этоттам
30-11-2008 10:46:55
нет, не буду, но я смогу прикрутить неавторизованную флешку под видом авторизованной, а это уже кое что ну только что. и то как-то мне сомнительно шо ви один такой умный в IEEE поди уже думают как определять аутентичность ID-ов железке. а можно ли выдать с одного девайса и HID и Mass Storage?, можно. это не баг, это фича. проведя параллели с тисипиайпи, можно сказать, что связка DevID/VenID - это аналог IP-адреса, а классы, поддерживаемые устройством - открытые порты на адресе. Ничего ведь не мешает на одном IP крутиться SQL-серверу, web-серверу, и SSH? Так и тут ...
0 |
truth
01-12-2008 13:38:11
в IEEE поди уже думают как определять аутентичность ID-ов железке Для этого, каждый девайс должен быть уникальным с радиофизической точки зреня, при этом его уникальные характеристики должны жестко соответствовать уникальному набору DevID/VenID. Стоимость такого девайса немножко вырастет. Даже в этом случае обход проверки аутентичности - вопрос времени, уровня развития промышленности, и ума обходящего, ибо стандарт открытый... Кстати, печальный опыт StarForce говорит о том же, ведь ломанули же его со временем...
0 |
этоттам
01-12-2008 19:49:40
Для этого, каждый девайс должен быть уникальным с радиофизической точки зренязачем все так усложнять? PKI + TPM-чип для криптоопераций. И все. СИгнатура не соответствует связке VID:DID? До свидания! Плюс опциональное шифрование содержимого симметричным ключом, хранимым в том же TPM.
0 |
truth
02-12-2008 10:47:07
Разумно, это серьезно усложняет задачу, но, есть один нюанс.
0 |
этоттам
02-12-2008 16:55:00
это не решает проблему кардинально. для взлома RSA м DSA нужны гораздо более серьезные ресурсы, чем, например, для RC4, хотя и то, и другое само по себе трудоемко, и измеряется даже в случае терафлопсных вычислителей типа CUDA- или CTM-видеокарт годами.
0 |
Enchant
28-11-2008 11:46:12
С помощью скриптов для hal в линуксе подобное можно реализовать уже сейчас если очень хочется и без дополнительных наворотов в ядре.
0 |
29-11-2008 22:34:58
Кроме прозаичных card, vendor и class идентификаторов у сьемных девайсов есть еще дествительно дофига параметров. Вот например флешка филипс: udi = '/org/freedesktop/Hal/devices/usb_device_471_82b_0601240200024141'   freebsd.driver = 'umass'  (string)   freebsd.unit = 0  (0x0)  (int)   info.bus = 'usb_device'  (string)   info.parent = '/org/freedesktop/Hal/devices/computer'  (string)   info.product = 'USB Flash Drive'  (string)   info.subsystem = 'usb_device'  (string)   info.udi = '/org/freedesktop/Hal/devices/usb_device_471_82b_0601240200024141'  (string)   info.vendor = 'Philips'  (string)   usb_device.bus_number = 6  (0x6)  (int)   usb_device.can_wake_up = false  (bool)   usb_device.configuration_value = 1  (0x1)  (int)   usb_device.device_class = 0  (0x0)  (int)   usb_device.device_protocol = 0  (0x0)  (int)   usb_device.device_revision_bcd = 12288  (0x3000)  (int)   usb_device.device_subclass = 0  (0x0)  (int)   usb_device.is_self_powered = false  (bool)   usb_device.max_power = 100  (0x64)  (int)   usb_device.num_configurations = 1  (0x1)  (int)   usb_device.num_interfaces = 1  (0x1)  (int)   usb_device.num_ports = 0  (0x0)  (int)   usb_device.port_number = 3  (0x3)  (int)   usb_device.product = 'USB Flash Drive'  (string)   usb_device.product_id = 2091  (0x82b)  (int)   [B]usb_device.serial = '0601240200024141'  (string)[/B]   usb_device.speed_bcd = 294912  (0x48000)  (int)   usb_device.vendor = 'Philips'  (string)   usb_device.vendor_id = 1137  (0x471)  (int)   usb_device.version_bcd = 512  (0x200)  (int) Обратите внимание на serial, он уникален для каждого девайса этого же класса. Конечно, есть возможность получить эти же данные и из под винды. Сколько то времени назад я на коленочке реализовал драйвер, который читает этот серйник и блокирует передачу девайса драйверу usb mass stor в винде. Управлять поведением можно было с помошью текстовых конфигов или реестра.
0 |
p
28-11-2008 11:24:52
вирусы решат
0 |
Страницы: 1  2