AM_Bot

ЛК запатентовала безопасную технологию восстановления зашифрованных данных

В этой теме 19 сообщений

kaspersky_logo.png«Лаборатория Касперского» получила патент на передовую технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая практически полностью исключает возможность компрометации секретной информации. Хотя патент получен лишь недавно, технология уже доступна в защитном решении для мобильных устройств Kaspersky Internet Security для Android.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А обычное восстановление пароля по почте уже запатентовано или можно еще успеть получить патент? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для восстановления паролей и ключей шифрования данных запатентованная технология «Лаборатории Касперского» использует три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.

Молодцы, хороший патент. Можно будет это учитывать при дифференциации продуктов на рынке.

a.sviridenko, патенты - не тема для шуток. Посмотрим, кто будет смеяться, когда юристы возьмут за мягкое место за использование такой же технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я правильно понял что если у меня в руках телефон где зашифровано хранилище файлов и настроен доступ к почте, то я без проблем получаю доступ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет. Должен быть доступ к Kaspersky ID.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
a.sviridenko, патенты - не тема для шуток. Посмотрим, кто будет смеяться, когда юристы возьмут за мягкое место за использование такой же технологии.

Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

В случае с Роспатентом выбор объектов для защиты/нападения действительно не такой большой :)

Кстати, может сложиться ситуация когда компания имеет российский патент, но нарушается он в глобальном (американском) Google Play американской же компанией. Но покупатель будет из России. Как будет трактоваться патентное право в этом случае? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, может сложиться ситуация когда компания имеет российский патент, но нарушается он в глобальном (американском) Google Play американской же компанией. Но покупатель будет из России. Как будет трактоваться патентное право в этом случае? :rolleyes:

Я так подозреваю, что могут запретить распространение решения американской компании на территории России

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

Саш, нормальные компании обычно заинтересованы в извлечении прибыли, что первой строкой прописано у них в уставе. Из любых источников, любыми способами. Так называемый "патентный троллинг" - лишь один из возможных вариантов. Just a business, как говорится, ничего личного ,).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По-моему ЛК стала активно защищаться патентами, когда на саму компанию патентный тролль стал подавать в суд, еще в 2009-ом. Остальные, включая MS, Симантек, Макафе, сложили лапки. А ЛК выиграла суд. Еще тогда Е.К. сказал, что мы начнем защищаться от таких нападок в будущем. Для того и нужны патенты. На, обращаю внимание, реально существующий и применяемый функционал, а не идею.

Восстановление пароля на KMS/KIS4A у ЛК не похоже на стандартные. Нет ни контрольных вопросов, ни просьб пройти по ссылкам, ни придумывание нового пароля. Пользователь просто заходит на AT WM сервис (это сейчас, в будущем будет еще более универсально), кликает по надписи "Восстановление секретного кода" и видит блоки цифр:

Untitled.png

Далее пользователь вводит их в запросе KIS4A и приложение в ответ сообщает "Ваш код ХХХХХХХ". Пользователь говорит: "Точняааааааак, как я мог забыть?!". И тут же вводит свой пароль. Не сбрасывая. Но, если пожелает, он может его изменить в приложении.

post-3736-1374653646_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

То есть, если я правильно понимаю, пароли пользователей хранятся не в безопасном виде хэша с солью, а в виде, готовом для расшифровки с неким довольно коротким ключем? Вы хорошо защищаете свои базы данных? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
если я правильно понимаю, пароли пользователей хранятся не в безопасном виде хэша с солью, а в виде, готовом для расшифровки с неким довольно коротким ключем?

Совершенно неверно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ладно, укорочу предложение. Пароль можно восстановить, воспользовавшись кодом. Так? Код является паролем к паролю. Но код состоит из цифр, которых только 10, а пароль может состоять из a-z, A-Z, 0-9 - это уже не 10 вариантов для каждой позиции, а 62. Кроме того, пароль может быть любой длины, опять же усложнение для брутфорса. Как по мне, такое "упрощение" пароля, как у вас в "запатентованном алгоритме", просто недопустимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И снова нет.

Когда пользователь впервые устанавливает на мобильное устройство защитное решение «Лаборатории Касперского», система аутентификации просит его ввести адрес электронной почты. Kaspersky Internet Security для Android вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, кроме того, опираясь на ряд аппаратных характеристик устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы «Лаборатории Касперского».

Случайное число используется для того, чтобы обеспечить своеобразную «защиту защиты». Как и многие другие решения, для обеспечения безопасности данных Kaspersky Internet Security для Android использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом – информация, зашифрованная с его помощью. Соответственно, если пароль утерян или забыт, расшифровать ключ практически невозможно. Именно поэтому Kaspersky Internet Security для Android, использующий запатентованную технологию, хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.

На устройстве два ключа - пользовательский и генерированный по специальному алгоритму. Для восстановления используется второй, генерированный ключ. При этом при генерации используются алгоритмы, исключающие 2 одинаковых ключа на одном и том же устройстве с одной и той же ОС, одним и тем же Kaspersky ID, одной и той же версии продукта. То есть если поставить KIS4A, снести его тут же и поставить снова с теми же совершенно настройками - ключи будут разными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага, система несколько сложнее. Но только в реализации. То есть, ключ не от пароля, а от зашифрованных данных. Не суть, на самом деле. Суть в том, что используется, судя по скриншоту, очень простой в плане брутфорса, цифровой код. И пароль юзера не нужен. Короче, та же лажа только в профиль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Суть в том, что используется, судя по скриншоту, очень простой в плане брутфорса, цифровой код.

Вы посмотрите на этого эксперта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы посмотрите на этого эксперта.

Ладно, не так выразился, преувеличил. Но ведь юзер может поставить параноидальный шестнадцатезначный буквенно-цифровой, в разном регистре, пароль. А вы его сразу упрощаете до цифрового. Не так ли?

Это похоже на то, как смеялись лет 8 назад над методом проверки паролей в винде, там использовалась только половина пароля, если не ошибаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но ведь юзер может поставить параноидальный шестнадцатезначный буквенно-цифровой, в разном регистре, пароль.

Нет. Только цифровой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот такой подход реально бесит. Особенно в интернет-банках, там тоже сейчас запрещают даже знаки препинания. Какой может быть разговор о безопасности в таких случаях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.