Autenticación sin conexión basada en el número de serie del dispositivo

Navega tus respuestas
1

Tengo un dispositivo portátil con una aplicación personalizada escrita para él.

Lo que quiero, es asegurar esa aplicación, hacerla imposible o al menos más difícil de ejecutar (la aplicación o el sistema operativo en sí no importa) en algún otro dispositivo, por ejemplo. Si alguien robó la aplicación de alguna manera, no debería poder ejecutarla en un dispositivo no autorizado. El dispositivo no se conectará a Internet y autorizará con el servidor, eso puedo hacerlo, pero ¿cómo hacerlo sin conexión ?

¿Cómo debo abordar este problema? ¿Hay algún enfoque general a esto? ¿O me queda solo con la opción "ingresar la contraseña" con una contraseña con hash en el dispositivo?

EDITAR: OS: Android Dispositivo: cualquier tipo de mesa y / o dispositivo de "caja" no especificado sin tarjeta SIM. Algo como un controlador, o un servidor muy pequeño.

    
pregunta hoci kto 28.04.2017 - 12:27
fuente

3 respuestas

1

La opción más segura es usar el cifrado de disco completo asistido por TPM junto con el arranque seguro, los binarios firmados, el kernel "medido" de TPM en tiempo de ejecución y las aplicaciones. Si su plataforma no lo admite, algunos otros enfoques en orden de fuerza decreciente:

  • use un TPM para descifrar / medir la aplicación cada vez que esté correr
  • use un dongle que se comunique con la aplicación (tal vez como TPM reemplazo)
  • números de serie de hash / estiramiento y otras ID, y siempre descifrar la aplicación con la clave resultante
respondido por el flakeshake 29.04.2017 - 16:51
fuente
0

¿Puede montar de forma permanente una tarjeta eMMC o micro SD en el dispositivo de alguna manera? Si es un servidor pequeño, eso parece posible. Eso podría usarse para almacenar una clave para dm-crypt. Mientras los usuarios no tengan permisos para acceder a él, parece que sería bastante seguro. Sin embargo, un usuario todavía podría darse cuenta de que estaba allí.

    
respondido por el dogoncouch 29.04.2017 - 19:39
fuente
0

¿Hay algún código de identificación de dispositivo que no pueda ser falsificado? Tal vez usted puede hacer que se ejecute solo si una autenticación SHA con algún ID de dispositivo oscuro funciona. Para engañarlo, entonces el atacante tendría que agarrar cada ID que se pueda imaginar.

    
respondido por el user147048 30.04.2017 - 11:20
fuente

Lea otras preguntas en las etiquetas

extracción de datos a través de Badusb desde un "punto final seguro" ¿El atacante puede verificar la IP externa desde una SSRF vuln?