Extracting a 3DES key from an IBM 4758

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
18
nov.
2001
Pirate
Deux étudiants au Combridge a trouvé un moyen de voler les clés secrets d'une carte IBM 4758, qui sont utilisés notammenet dans les Distributeurs -Automatique-des-Billets.

D'après eux :

We are able, by a mixture of sleight-of-hand and raw processing power, to persuade an IBM 4758 running IBM's ATM (cash machine) support software called the "Common Cryptographic Architecture" (CCA) to export any and this program's DES and 3DES keys to us. All we need is:

* about 20 minutes uninterrupted access to the device
* one person's ability to use the Combine_Key_Parts permission
* a standard off-the-shelf $995 FPGA evaluation board from Altera
* about two days of "cracking" time

Euh, comment dire, à vos claviers ?

Source : Bugtraq.

Aller plus loin

  • # A la terminator 2

    Posté par  . Évalué à 10.

    Vous vous souvenez de T2 : le gamin se connectait aux distributeurs avec son engin magique, et en récupérait se qu'il voulait...

    Bon là, si je puis me permettre : il faut pour pouvoir tenter de casser une clé, car le seul but de leur manip est de récupérer une clé pour la casser, il faut quand meme pouvoir se connecter sur le port série de la carte en plus de déjà avoir un compte d'accès (une clé) associé à des droits plus élevés que la normale. De plus la carte est pluggée dans un serveur lui meme protégé physiquement...

    Ceci pour dire que cette attaque était un beau challenge, car cette carte est connu comme une des plus secure au monde, mais les conditions devant etre remplies sont telles que seuls les gestionnaires de ces bécanes pourraient s'y essayer.

  • # Cartes bancaires U.S.

    Posté par  . Évalué à -2.

    Il me semble que les cartes de crédit US ne disposent pas de "puce" a la Francaise, ce qui est un sécurité supplémentaire...

    • [^] # Re: Cartes bancaires U.S.

      Posté par  (site web personnel) . Évalué à 3.

      Exact, une simple piste magnetique facile a copier, c'est pour ela qu'on demande une signature pour chaque utilisation, mais l'arrivé de la puce sur les cartes US est de plus en plus grande.

      [moua]

    • [^] # Re: Cartes bancaires U.S.

      Posté par  . Évalué à 1.

      Oui d'ailleurs, vous vous souvenez de la pub American Express, qui présente sa carte super sécure ?

      Ben ils ont rajouté la petite puce française, c'est tout :)


      (rhaa, comme c'est bon le chauvinisme !)

  • # Orthographe

    Posté par  (site web personnel) . Évalué à 1.

    N'y a-t'il pas un moyen pour les modérateurs de corriger les fautes d'orthographe des commentaires de manière automatique ?





    Je pense à ispell ou un outil de ce genre...





    Attention, je n'ai jamais dit que j'étais une bête en orthographe mais je trouve simplement que ce serait bien de montrer le bon exemple sur linuxfr.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.