Abstract- PKCS # 11 has been widely accepted in the community of researchers and developers of cryptographic security hardware devices, which includes companies providing security and information security products such as Utimaco, Safenet, Thales, AEP. In this article we summarize some potential weaknesses for PKCS # 11 (version 2.20) security, as an application programming interface for a hardware security device. We analyze the impact and provide solutions for developers to overcome the above weaknesses.
Tài liệu tham khảo [1] RSA Laboratories. “PKCS #11 v2.20: Cryptographic Token Interface Standard”, RSA Security Inc., 2004 [2] Jolyon Clulow. “On the security of PKCS#11”, Springer-Verlag Berlin Heidelberg, 2003. [3] Matteo Bortolozzo, Matteo Centenaro, Riccardo Focardi, Graham Steel. “Attacking and Fixing PKCS#11 Security Tokens”, Copyright 2010 ACM, 2010. [4] Mike Bond. “Attacks on Cryptoprocessor Transaction Sets” Springer-Verlag Berlin Heidelberg 2001. [5] Eric Brier, David Naccache, Phong Q. Nguyen, Mehdi Tibouchi. “Modulus Fault Attacks Against RSA-CRT Signatures”. https://eprint.iacr.org/2011/388.pdf. [6] Abderrahmane Nitaj, “A new attack on RSA and CRT-RSA”, AFRICACRYPT 2012. [7] Dan Boneh, Richard A. DeMillo, and Richard J. Lipton, “On the importance of checking cryptographic protocols for faults”. In Advances in Cryptology EUROCRYPT ’97, vol. 1233, pp. 37-51, 1997. [8] Adi Shamir, “How to share a secret”. 1979.di S [9] RSA Laboratories. PKCS #5 v2.1: “Password-Based Cryptography Standard”. RSA Security Inc., 2012. [10] NIST SP 800-57 , “Recommendation for Key management - Part 1: General (revised)”,2007. |
Hoàng Văn Thức, Trần Sỹ Nam
08:00 | 09/02/2017
08:00 | 21/09/2016
08:00 | 13/10/2017
09:00 | 21/12/2016
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
09:00 | 13/04/2023
Đám mây lai (Hybird - cloud) là sự kết hợp giữa các nền tảng điện toán đám mây, bao gồm một hay nhiều nhà cung cấp dịch vụ đám mây công cộng (ví dụ như Amazon hay Google) với một nền tảng đám mây nội bộ được thiết kế riêng cho một tổ chức hoặc một cơ sở hạ tầng IT của tư nhân. Đám mây công cộng và đám mây nội bộ hoạt động độc lập với nhau và giao tiếp thông qua kết nối được mã hóa để truyền tải dữ liệu và ứng dụng.
10:00 | 21/02/2023
Khi khối lượng và sự đa dạng của dữ liệu có thể được thu thập thì việc lưu trữ và phân tích đã tăng vọt trong hơn một thập kỷ qua. Cùng với đó, những vấn đề về bảo mật ngày càng trở nên quan trọng, đặc biệt là việc bảo vệ dữ liệu cá nhân của người dùng.
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 17/05/2024