Gå til innhold

Nå skal USB få innebygget autentisering


Anbefalte innlegg

Videoannonse
Annonse

 

Ifølge USB-IF vil autentiseringsprotokollen gjøre det mulig for datamaskiner og andre enheter å bekrefte ektheten til USB-enheter, kabler eller ladere som kobles til – inkludert informasjon om hva enheten har mulighet til å gjøre, samt sertifikatstatus. Dette skjer i det enheten kobles til, og verken strøm eller data vil overføres før autentiseringen er gjennomført.

Hva og gå litt mere i dybden? Eller er det tek ekstra som gjør det?

For skulle gjerne vite litt hvordan det gjøres? T2 chip slik som apple har? Eller annen kontroller på usb kontrolleren?

Kan man bytte hovedkort\usb kontroller så vil de støtte dette? Eller krever en del mere i tillegg windows oppdatering?

  • Liker 1
Lenke til kommentar

 

 

Ifølge USB-IF vil autentiseringsprotokollen gjøre det mulig for datamaskiner og andre enheter å bekrefte ektheten til USB-enheter, kabler eller ladere som kobles til – inkludert informasjon om hva enheten har mulighet til å gjøre, samt sertifikatstatus. Dette skjer i det enheten kobles til, og verken strøm eller data vil overføres før autentiseringen er gjennomført.

Hva og gå litt mere i dybden? Eller er det tek ekstra som gjør det?

For skulle gjerne vite litt hvordan det gjøres? T2 chip slik som apple har? Eller annen kontroller på usb kontrolleren?

Kan man bytte hovedkort\usb kontroller så vil de støtte dette? Eller krever en del mere i tillegg windows oppdatering?

USB-IF går veldig lite inn på detaljene i pressemeldingen de sendte ut om dette. Men jeg fant noe mer informasjon som kan lastes ned som PDF-er i en zip-fil fra denne lenken: https://www.usb.org/document-library/usb-authentication-specification-rev-10-ecn-and-errata-through-july-24-2017

  • Liker 2
Lenke til kommentar

 

 

Ifølge USB-IF vil autentiseringsprotokollen gjøre det mulig for datamaskiner og andre enheter å bekrefte ektheten til USB-enheter, kabler eller ladere som kobles til – inkludert informasjon om hva enheten har mulighet til å gjøre, samt sertifikatstatus. Dette skjer i det enheten kobles til, og verken strøm eller data vil overføres før autentiseringen er gjennomført.

Hva og gå litt mere i dybden? Eller er det tek ekstra som gjør det?

For skulle gjerne vite litt hvordan det gjøres? T2 chip slik som apple har? Eller annen kontroller på usb kontrolleren?

Kan man bytte hovedkort\usb kontroller så vil de støtte dette? Eller krever en del mere i tillegg windows oppdatering?

Etter å ha skumlest gjennom spesifikasjonen så ligger mye av dette på drivernivå. Selv USB enheten må inneholde chip som må være "tamper proof" (uten at dette er spesifisert nærmere). USB-enheten vil svare på "authentication requests" og inneholde et X.509 type digital sertifikat som må være trusted av en CA som din PC godkjenner. Løsningen skal støtte både godkjenning av type enhet (f.eks. tastatur men ikke minnepinne), produsent og kapabiliteter (som f.eks. bridge). Det finnes også USB-enheter som kan endre type (f.eks. registrerer seg som tastatur men legger til en minnedisk etter et gitt tidsintervall). Disse vil måtte re-autentisere seg og dersom minnedisk-delen ikke er signert og godkjent så vil ikke PC-en akseptere denne.

 

I tillegg vil kommunikasjonen mellom operativsystem og USB-enhet være kryptert og signert.

  • Liker 2
Lenke til kommentar

Ja ,men vil ryzen eller Z270 støtte for USB-IF autentiseringsprotokoll?

Eller må man bytte hovedkort og usb kontrolleren, ikke mulig med bios oppdatering eller noe annet? Vil PCI-E kort finnes eller vil det kun være spessiel enheter som støtter det? Slik man ikke kan kjøpe noe på ebay?

 

"tamper proof" er de beskyttet mot USB killer? Siden en del usb kontroller for slikt beskyttelse.

Slik det ikke er mulig å ødlegge kontrolleren med 1000 volt.

 

Vet noe om slik "autentisering" egentlig finnes i Dash\quick charge? Det som gjør at telefonen blir hurtigladet?

Siden ikke andre ladere funger for hurtigladning? Usikker om power delivery charging også bruker det?

Endret av LMH1
Lenke til kommentar

Dette er jo litt skivebom...

 

Ja ,men vil ryzen eller Z270 støtte for USB-IF autentiseringsprotokoll?

Per i dag ukjent, men det er ikke utenkelig at dette kan implementeres i software. Husk at det er veldig mye kode som blir kjørt på ulike brikker i PCen. Firmwareoppdateringer kan altså legge til funksjonalitet.

"tamper proof" er de beskyttet mot USB killer? Siden en del usb kontroller for slikt beskyttelse.

Slik det ikke er mulig å ødlegge kontrolleren med 1000 volt.

Nei, det er ikke det tamper proof vil si. Tamper proof vil si at du ikke kan modifisere brikken. Eksempler på tamper proof er f.eks. vanlige kredittkort med chip. Du kan ikke hente ut private nøkler fra brikken, men du kan ødelegge den om du ønsker.

Vet noe om slik "autentisering" egentlig finnes i Dash\quick charge? Det som gjør at telefonen blir hurtigladet?

Siden ikke andre ladere funger for hurtigladning? Usikker om power delivery charging også bruker det?

Det er forskjell på autentisering og protokollstøtte.
Lenke til kommentar

Ja det var vel ikke en dag for tidlig dette her? USB portene har lenge vært en sikkerhetsrisiko, og vi som brukere er jo tanketomme når det kommer til å koble til utstyr via USB. Folk stikker jo også fremmede og ukjente usb sticks i pc'n i håp å finne noe juicy. Helt uten tanke for risiko.

Slik det er blitt nå om dagen så er jo problemet egentlig så stort når det kommer til sikkerhet at en nesten kan ha som utgangspunkt at alle ens maskiner er infisert. :D

Det er stadig økning i smarte trojanere, det er trojanere gjemt i hardware, og vi infiseres gjennom alle flater. Og vi gjør selv det vi kan for å gøre det ennå enklere for bandittene. Alt fra "smarte høyttalere" til kjøleskap i nettverk.

Jommen godt man er en helt vanlig fyr nedlesset i gjeld og med en helt ordinær og kjedelig jobb. ;)

Endret av bojangles
Lenke til kommentar

Etter å ha skumlest gjennom spesifikasjonen så ligger mye av dette på drivernivå. Selv USB enheten må inneholde chip som må være "tamper proof" (uten at dette er spesifisert nærmere).

Vil ikke si jeg på noen måte har 'lest' denne standarden, men jeg har i det minste bladd i gjennom den. Skrevet av, for og med rene programvareutviklere. Det eneste dette papiret sier om maskinvare, er å finne i andre setning:

 

"Authentication is performed via USB Power Delivery message communications and/or via USB data bus control transactions."

 

Challenge-Response krypto mellom Host og Target over ordinær USB er ikke spesielt interessant, da dette bare utgjør nok et lag med programvare. Som i teorien skal opprinne og ende i hver sine klå-sikre brikkesett. Innbakt i fabrikantens eget utstyr, slik som originale USB ladere.

 

 

 

Nei, det interessante og nyheten her, er at også kablene nå skal kunne 'autentiseres.' Da må også kablene utstyres med klå-sikre aktive kretser. Og dette er allerede beskrevet i USB Power Delivery standarden. Lurte derfor egentlig bare på når tid de skulle la hammeren falle over alle våre akseptabelt prisede kabler fra Kina.

 

Autentiseringen foregår over de to Configuration Channel [CC1 / CC2] linjene i USB Type-C kontakten. Normalt brukt til å detektere orienteringen på kabelen. Men de er altså i tillegg forberedt for nok et DRM mareritt.

 

Søkeordet er forøvrig 'USB Type-C Electronically Marked Cable.'

 

Fig.8.JPG

Endret av 1P4XZQB7
Lenke til kommentar

Det er bra at sikkerheten ses på, men jeg antar at det blir lagt opp til en gjengs forståelse av dette som gjør at ikke f.eks. Apple kan låse sine enheter til å kun lades fra godkjente Apple ladere, gjerne den ene som fulgte med enheten også?

Lenke til kommentar

Vil ikke si jeg på noen måte har 'lest' denne standarden, men jeg har i det minste bladd i gjennom den. Skrevet av, for og med rene programvareutviklere. Det eneste dette papiret sier om maskinvare, er å finne i andre setning:

 

"Authentication is performed via USB Power Delivery message communications and/or via USB data bus control transactions."

 

Challenge-Response krypto mellom Host og Target over ordinær USB er ikke spesielt interessant, da dette bare utgjør nok et lag med programvare. Som i teorien skal opprinne og ende i hver sine klå-sikre brikkesett. Innbakt i fabrikantens eget utstyr, slik som originale USB ladere.

 

 

 

Nei, det interessante og nyheten her, er at også kablene nå skal kunne 'autentiseres.' Da må også kablene utstyres med klå-sikre aktive kretser. Og dette er allerede beskrevet i USB Power Delivery standarden. Lurte derfor egentlig bare på når tid de skulle la hammeren falle over alle våre akseptabelt prisede kabler fra Kina.

 

Autentiseringen foregår over de to Configuration Channel [CC1 / CC2] linjene i USB Type-C kontakten. Normalt brukt til å detektere orienteringen på kabelen. Men de er altså i tillegg forberedt for nok et DRM mareritt.

 

 

Jeg får spesifisere bedre da.

 

Fra kapittel "2.3.2 Secret Key Storage and Protection" i dokument "USB_AUTHENTICATION R1_0 with errata and ECN through 20170724 - clean" fra https://www.usb.org/document-library/usb-authentication-specification-rev-10-ecn-and-errata-through-july-24-2017

 

 

Therefore, it is recommended that vendors of Products take appropriate measures to protect the execution of the USB Type-C Authentication protocol and all private keys. Products should provide protected tamper-resistant operation and storage for the private keys to prevent them from being read (all or in part), copied or otherwise disclosed. This includes protection against side-channel and fault injection attacks, including software exploits and physical attacks such as leakage, probing, glitching, reverse engineering, and statistical analysis methods. Examples of such attacks include Simple and High-Order Differential Power, Electromagnetic, and Fault Analysis attacks. Other examples of attack vectors are listed in Appendix C.

 

Poenget er at alle enheter som skal benytte "device authentication" over USB, enten det er kabler eller enheter, skal identifisere seg med et digital sertifikat som også benyttes for public-key encryption (som https web-sider).  Den private nøkkelen til enheten, samt det digitale sertifikatet, skal beskyttes best mulig (dvs. "tamper proof").

Lenke til kommentar

Jeg får spesifisere bedre da.

 

Fra kapittel "2.3.2 Secret Key Storage and Protection" …

Nå var ikke mine mishagsytringer rettet mot deg, men snarere mot dette 'papiret.' Beklager om du følte deg angrepet. 

 

Når det er sagt så har nevnte kapittel 2.3.2 like mye med maskinvare å gjøre, som en formaning om å bruke kondom har med seksualitet å gjøre. Igjen, det er denne 'standarden' jeg har problemer med, ikke deg.

 

(PS! USB Power Delivery er derimot et eksempel på en standard mer rettet mot maskinvareingeniører.) 

Endret av 1P4XZQB7
  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...