ЛК запатентовала безопасную технологию восстановления зашифрованных данных

[AM_Bot 48]

«Лаборатория Касперского» получила патент на передовую технологию восстановления пароля и ключей шифрования данных на мобильных устройствах, которая практически полностью исключает возможность компрометации секретной информации. Хотя патент получен лишь недавно, технология уже доступна в защитном решении для мобильных устройств Kaspersky Internet Security для Android.

подробнее

[a.sviridenko 15]

А обычное восстановление пароля по почте уже запатентовано или можно еще успеть получить патент?

[Сергей Ильин 1538]

Для восстановления паролей и ключей шифрования данных запатентованная технология «Лаборатории Касперского» использует три независимых фактора: идентификатор пользователя, идентификатор мобильного устройства и случайное число.

Молодцы, хороший патент. Можно будет это учитывать при дифференциации продуктов на рынке.

a.sviridenko, патенты - не тема для шуток. Посмотрим, кто будет смеяться, когда юристы возьмут за мягкое место за использование такой же технологии.

[OlegAndr 236]

Я правильно понял что если у меня в руках телефон где зашифровано хранилище файлов и настроен доступ к почте, то я без проблем получаю доступ?

[Umnik 997]

Нет. Должен быть доступ к Kaspersky ID.

[a.sviridenko 15]

a.sviridenko, патенты - не тема для шуток. Посмотрим, кто будет смеяться, когда юристы возьмут за мягкое место за использование такой же технологии.

Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

[Сергей Ильин 1538]

Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

В случае с Роспатентом выбор объектов для защиты/нападения действительно не такой большой

Кстати, может сложиться ситуация когда компания имеет российский патент, но нарушается он в глобальном (американском) Google Play американской же компанией. Но покупатель будет из России. Как будет трактоваться патентное право в этом случае?

[Viktor 669]

Кстати, может сложиться ситуация когда компания имеет российский патент, но нарушается он в глобальном (американском) Google Play американской же компанией. Но покупатель будет из России. Как будет трактоваться патентное право в этом случае?

Я так подозреваю, что могут запретить распространение решения американской компании на территории России

[B . 90]

Ну нормальные компании патенты обычно получают для защиты, а не для нападения. Интересно, кого они так боятся, получая роспатенты?

Саш, нормальные компании обычно заинтересованы в извлечении прибыли, что первой строкой прописано у них в уставе. Из любых источников, любыми способами. Так называемый "патентный троллинг" - лишь один из возможных вариантов. Just a business, как говорится, ничего личного ,).

[Umnik 997]

По-моему ЛК стала активно защищаться патентами, когда на саму компанию патентный тролль стал подавать в суд, еще в 2009-ом. Остальные, включая MS, Симантек, Макафе, сложили лапки. А ЛК выиграла суд. Еще тогда Е.К. сказал, что мы начнем защищаться от таких нападок в будущем. Для того и нужны патенты. На, обращаю внимание, реально существующий и применяемый функционал, а не идею.

Восстановление пароля на KMS/KIS4A у ЛК не похоже на стандартные. Нет ни контрольных вопросов, ни просьб пройти по ссылкам, ни придумывание нового пароля. Пользователь просто заходит на AT WM сервис (это сейчас, в будущем будет еще более универсально), кликает по надписи "Восстановление секретного кода" и видит блоки цифр:

Далее пользователь вводит их в запросе KIS4A и приложение в ответ сообщает "Ваш код ХХХХХХХ". Пользователь говорит: "Точняааааааак, как я мог забыть?!". И тут же вводит свой пароль. Не сбрасывая. Но, если пожелает, он может его изменить в приложении.

[REVERSE 5]

То есть, если я правильно понимаю, пароли пользователей хранятся не в безопасном виде хэша с солью, а в виде, готовом для расшифровки с неким довольно коротким ключем? Вы хорошо защищаете свои базы данных?

[Umnik 997]

если я правильно понимаю, пароли пользователей хранятся не в безопасном виде хэша с солью, а в виде, готовом для расшифровки с неким довольно коротким ключем?

Совершенно неверно.

[REVERSE 5]

Ладно, укорочу предложение. Пароль можно восстановить, воспользовавшись кодом. Так? Код является паролем к паролю. Но код состоит из цифр, которых только 10, а пароль может состоять из a-z, A-Z, 0-9 - это уже не 10 вариантов для каждой позиции, а 62. Кроме того, пароль может быть любой длины, опять же усложнение для брутфорса. Как по мне, такое "упрощение" пароля, как у вас в "запатентованном алгоритме", просто недопустимо.

[Umnik 997]

И снова нет.

Когда пользователь впервые устанавливает на мобильное устройство защитное решение «Лаборатории Касперского», система аутентификации просит его ввести адрес электронной почты. Kaspersky Internet Security для Android вычисляет хэш адреса почты (последовательность символов, полученную в результате преобразования буквенного адреса почты по специальному алгоритму) и, кроме того, опираясь на ряд аппаратных характеристик устройства, создает его уникальный идентификатор, а также генерирует случайное число. После регистрации случайное число в зашифрованном виде вместе с хэшами почты и ID устройства передается на серверы «Лаборатории Касперского».

Случайное число используется для того, чтобы обеспечить своеобразную «защиту защиты». Как и многие другие решения, для обеспечения безопасности данных Kaspersky Internet Security для Android использует специальный ключ шифрования. Обычно ключ защищается с помощью пароля пользователя. Всякий раз, когда пользователь вводит пароль, сначала расшифровывается ключ и только потом – информация, зашифрованная с его помощью. Соответственно, если пароль утерян или забыт, расшифровать ключ практически невозможно. Именно поэтому Kaspersky Internet Security для Android, использующий запатентованную технологию, хранит на устройстве две копии ключа: основную, зашифрованную с помощью пароля пользователя, и резервную, зашифрованную с помощью сгенерированного ранее случайного числа.

На устройстве два ключа - пользовательский и генерированный по специальному алгоритму. Для восстановления используется второй, генерированный ключ. При этом при генерации используются алгоритмы, исключающие 2 одинаковых ключа на одном и том же устройстве с одной и той же ОС, одним и тем же Kaspersky ID, одной и той же версии продукта. То есть если поставить KIS4A, снести его тут же и поставить снова с теми же совершенно настройками - ключи будут разными.

[REVERSE 5]

Ага, система несколько сложнее. Но только в реализации. То есть, ключ не от пароля, а от зашифрованных данных. Не суть, на самом деле. Суть в том, что используется, судя по скриншоту, очень простой в плане брутфорса, цифровой код. И пароль юзера не нужен. Короче, та же лажа только в профиль.

[Umnik 997]

Суть в том, что используется, судя по скриншоту, очень простой в плане брутфорса, цифровой код.

Вы посмотрите на этого эксперта.

[REVERSE 5]

Вы посмотрите на этого эксперта.

Ладно, не так выразился, преувеличил. Но ведь юзер может поставить параноидальный шестнадцатезначный буквенно-цифровой, в разном регистре, пароль. А вы его сразу упрощаете до цифрового. Не так ли?

Это похоже на то, как смеялись лет 8 назад над методом проверки паролей в винде, там использовалась только половина пароля, если не ошибаюсь.

[Umnik 997]

Но ведь юзер может поставить параноидальный шестнадцатезначный буквенно-цифровой, в разном регистре, пароль.

Нет. Только цифровой.

[REVERSE 5]

Вот такой подход реально бесит. Особенно в интернет-банках, там тоже сейчас запрещают даже знаки препинания. Какой может быть разговор о безопасности в таких случаях?