@rf чат, а зачем эти мамкины криптографы с госуслуг придумали это?
-
@rf чат, а зачем эти мамкины криптографы с госуслуг придумали это?
(думаю не нужно говорить, что после этого госуслуги снова попросили залогиниться)
@foxy это сбор энтропии, потому что в компьютере случайных чисел нет, только псевдослучайные. И чтобы никто такие числа не мог воспроизвести, собираются события, о которых никакой атакующий знать не сможет вообще никак.
Это не на Госуслугах придумали, это довольно обычная практика при генерации шифроключей.
-
@rf чат, а зачем эти мамкины криптографы с госуслуг придумали это?
(думаю не нужно говорить, что после этого госуслуги снова попросили залогиниться)
-
@foxy это сбор энтропии, потому что в компьютере случайных чисел нет, только псевдослучайные. И чтобы никто такие числа не мог воспроизвести, собираются события, о которых никакой атакующий знать не сможет вообще никак.
Это не на Госуслугах придумали, это довольно обычная практика при генерации шифроключей.
-
@L29Ah я подозреваю, что это на клиенте ключ генерит, и сервер его знать не должен, поэтому серверный ГСЧ и не используется.
Не, способ всё равно дурацкий, в мобильных устройствах куда проще собрать энтропию гиродатчиком и акселерометром, к примеру. Устройство можно даже просто держать в руках, и их показания будут колебаться с приличной случайностью.
-
@L29Ah я подозреваю, что это на клиенте ключ генерит, и сервер его знать не должен, поэтому серверный ГСЧ и не используется.
Не, способ всё равно дурацкий, в мобильных устройствах куда проще собрать энтропию гиродатчиком и акселерометром, к примеру. Устройство можно даже просто держать в руках, и их показания будут колебаться с приличной случайностью.
-
-
@a1ba @foxy @L29Ah ну, кстати, да, "инженерной необходимостью" дело может и не ограничиваться, сбрасывать со счетов проектную организацию и впечатление на пользователя тоже, пожалуй, не следует (у-у, чем сложнее нарисую, тем безопасновее будет); хотя вряд ли последнее, я не думаю, что за этим экраном стоят *настолько* хитрые жопы.
-
@a1ba @foxy @L29Ah ну, кстати, да, "инженерной необходимостью" дело может и не ограничиваться, сбрасывать со счетов проектную организацию и впечатление на пользователя тоже, пожалуй, не следует (у-у, чем сложнее нарисую, тем безопасновее будет); хотя вряд ли последнее, я не думаю, что за этим экраном стоят *настолько* хитрые жопы.
@dside @foxy @L29Ah кстати про генерацию ключей и государственные услуги.
У казахстанского аналога госуслуг есть возможность эти ключи получить в стандартном PKCS, что довольно круто само по себе и я своё забекапил.
Интересно то, что в мобильном приложении эти ключи экспортировать нельзя. Почему? Говорят "нибизипасна", но мне вот не совсем понятно почему.
Ну и так как народ в среднем не очень трясется по поводу бекапов, сгенерировать новый сертификат и отозвать старые будь то с мобилы или с браузера не составляет труда, кроме того что надо покрутить головой перед камерой. Что тоже интересно само по себе. -
- Это, скорее всего, ключ, который будет храниться в защищённом хранилище SoC и им буду шифроваться данные ГУ на не защищённом сторедже телеофна.
- Я бы скорее ожидал, что это - следствие каких-нибудь требований по безопасности от других госорганов, которые сертифицируют софт.
-
-
-
-
-
