Отговори на тема  [ 22 мнения ]  Отиди на страница Предишна  1, 2
Секюрити сертификация... 
Автор Съобщение
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Пон Мар 13, 2006 12:59 pm
Мнения: 3855
Местоположение: Габрово
Мнение Re: Секюрити сертификация...
Като чета първия пост се питам дали атмелски криптота не помагат? По I2C са, и ги ползват за сертификати и крипто алгоритми.
WolfSSL имат поддръжка на чипа (мисля atecc508a) и са FIPS 140-2 сертифицирани. Имат GPL вариант но дали върши работа за твоя случай ми е тъмна индия.
https://www.wolfssl.com/products/wolfssl/
https://www.wolfssl.com/license/fips/
Предполагам че не търсиш това, а искаш да ползваш твоята имплементация. Затова споменах първо чипа - евентуално дали той може да ти помогне някак, ама се съмнявам.
И в темата за крипто библиотечките говорихме - аз се отказах да се боря на тоя фронт - твърде много ресурс се иска за да се разработва и поддържа такова решение. Съответно икономически изгодно е ако го продаваш него на много хора, както wolfssl-а. В смисъл че не е изгодно да го движиш за един продукт или линия от твои продукти.
Така че варианта с "border gateway" с HLOS се оказва по-лесен, стига да не говорим за 100000 бройки на месец - там може и да има смисъл от спестените няколко долара.


Пон Яну 01, 2018 12:43 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
gicho написа:
Като чета първия пост се питам дали атмелски криптота не помагат?

Това е единият вариант, да сложим нещо с кетап за отбиване на номера. За съжаление документацията на повечето такива модулчета (и на ST и на NXP/Frecale и т.н.) е доста постна и не мога да преценя доколко реално биха ни свършили някаква работа или ще са само за бутафория. Малко е шибано понеже приложенията ни не са типични, примерно всички криптирания и защити се базират на факта, че хакерите не знаят данните в явен вид. При нас е много лесно да се сдобиеш с данните, т.е. защитите са малко като бариера насред полето...
По въпроса със сертифицираните TLS/SSL библиотечки, по принцип тяхната сертификация покрива само комуникацията и задължително трябва да има още нещо сертифицирано. Поне за съхранение на сертификати и ключове. Формално става, макар че според мен подобно решение пак граничи с бутафорията. Всъщност дори и бутафория в моя случай би било по-добре от нищо, но с наличното желязо и ресурси нито една библиотечка (с или без сертификация) не вършеше работа. Много мислех коя точно да ползвам като база, както по отношение на сертификати, така и по отношение на лицензи. В крайна сметка стъпих върху нещо дето няма сертификация, но толкова го модифицирах, че и да имаше сертификати щеше да е все тая.
Най-реалистично си остава решение с лицензиран чип някакъв, който евентуално да ползвам за нещо повече от бутафория. Истинското решение би било ние да се сертифицираме, ама това май не е много реалистично...


Пон Яну 01, 2018 3:22 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Пон Юни 05, 2006 12:48 pm
Мнения: 4393
Местоположение: където небето среща земята, ракията е Jameson, а бирата Guinness
Мнение Re: Секюрити сертификация...
Miro,
Нали не мислиш, че сериозните хира в този бизнес ще се хванат на 'фатката със серификат на едно чипле някъде по платките :?:
Не ме разбирай неправилно не се заяждам, нито искам да те обезкуражавам, ама явно избираш грешен подход

_________________
... ако трети ден не ти се работи... това означава, че е сряда !


Пон Яну 01, 2018 4:23 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
Нямам голям избор... Изискванията се определят чрез закони, които малко или много трябва да се спазват. Иде реч за фискални устройства и в закона като напишат че трябва да имаш едно чипле със сертификат няма какво да направиш...
Разбира се, че не искам да се занимавам с бутафории, но на тоя етап нито има възможност, нито логика да се изхарчат една купчина пари за сертификати. Затова се ослушвам за някакво компромисно решение. Дори ако видя вариант да сертифицираме нещо наше ще натисна началството. Но "няколко милки" не е вариант. Още повече, че изискванията за секюрити тепърва навлизат и най-вероятно много ще се променят.
С две думи налага се да направим "нещо", но без безумни инвестиции. Както са казали на югославските партизани - пари нема, действайте ;-)


Пон Яну 01, 2018 5:16 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Чет Мар 16, 2006 8:42 am
Мнения: 10891
Местоположение: Гьотеборг
Мнение Re: Секюрити сертификация...
каквито правилата/законите, такива и решенията. нямам си и понятие от секюрити, но изглежда като ли всички тия фискални принтери, карти, винетки, сертификати и т.н. май губят повече време отколкото пестят. не се заяждам, разсъждавам на глас...разбира се, тия неща спират и лошите батковци, до определена степен...


Вто Яну 02, 2018 1:18 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: Секюрити сертификация...
в случая дори не става въпрос за закон, а за подзаконов акт - наредба, която си я ръчкат според пачките на един от трите конкурента на "пазара".
аз лично не считам, че трябва SSL за фискални принтери, в информацията няма нищо скрито. просто подписване с ауторизация на подписващия би трябвало да е достатъчна, обаче ходи обяснявай на чугунени главни кухи лейки защо не трябва да има дистанционно гласуване.

принципно, мястото, където се пазят ключовете, трябва да е същото, където се прави и SSL. за банки (където наистина е важно да имащ FIPS) това си отделно устройство, като има много слоеве на защита до ключовете и в силикона, и в платката и във фърмуера. затова и сертификацията е купчина пари.

всяка защита си има цена. съответно разбиването/подправянето на защитата - също. примерно, каквато и да е банкнота струва ~$7. и никой не си играе да подправя десетолевки. трамвайни билетчета - също. в случая с фискалните принтери проблема е на съвсем друго място, не е баш в липсата на SSL.


Вто Яну 02, 2018 1:27 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
Секюрити се иска в държави в които дистанционната връзка е (или ще е) през интернет. Нормално е да има секюрити в такива случаи, даже във всички случаи е по-добре със отколкото без.
Така че нямаме проблем със самото секюрити. Проблемът е в сертифицирането му. Както казах на тоя етап никъде още няма изискване за пълна сертификация, а само неясни и мъгляви изисквания за някаква сертификация. Най-вероятно им е ясно че никой няма да скочи изведнъж и затова така уклончиво си пишат законите/наредбите. Но нещата са ясни накъде отиват... Затова пуснах и темата, ако някои чуе/знае за някакви варианти за сертификация или интересни готови решения със сертификация.


Вто Яну 02, 2018 2:28 pm
Профил
Покажи мненията от миналия:  Сортирай по  
Отговори на тема   [ 22 мнения ]  Отиди на страница Предишна  1, 2

Кой е на линия

Потребители разглеждащи този форум: 0 регистрирани и 2 госта


Вие не можете да пускате нови теми
Вие не можете да отговаряте на теми
Вие не можете да променяте собственото си мнение
Вие не можете да изтривате собствените си мнения
Вие не можете да прикачвате файл

Търсене:
Иди на:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group.
Designed by ST Software for PTF.
Хостинг и Домейни