Abstract- PKCS # 11 has been widely accepted in the community of researchers and developers of cryptographic security hardware devices, which includes companies providing security and information security products such as Utimaco, Safenet, Thales, AEP. In this article we summarize some potential weaknesses for PKCS # 11 (version 2.20) security, as an application programming interface for a hardware security device. We analyze the impact and provide solutions for developers to overcome the above weaknesses.
|
Tài liệu tham khảo [1] RSA Laboratories. “PKCS #11 v2.20: Cryptographic Token Interface Standard”, RSA Security Inc., 2004 [2] Jolyon Clulow. “On the security of PKCS#11”, Springer-Verlag Berlin Heidelberg, 2003. [3] Matteo Bortolozzo, Matteo Centenaro, Riccardo Focardi, Graham Steel. “Attacking and Fixing PKCS#11 Security Tokens”, Copyright 2010 ACM, 2010. [4] Mike Bond. “Attacks on Cryptoprocessor Transaction Sets” Springer-Verlag Berlin Heidelberg 2001. [5] Eric Brier, David Naccache, Phong Q. Nguyen, Mehdi Tibouchi. “Modulus Fault Attacks Against RSA-CRT Signatures”. //eprint.iacr.org/2011/388.pdf. [6] Abderrahmane Nitaj, “A new attack on RSA and CRT-RSA”, AFRICACRYPT 2012. [7] Dan Boneh, Richard A. DeMillo, and Richard J. Lipton, “On the importance of checking cryptographic protocols for faults”. In Advances in Cryptology EUROCRYPT ’97, vol. 1233, pp. 37-51, 1997. [8] Adi Shamir, “How to share a secret”. 1979.di S [9] RSA Laboratories. PKCS #5 v2.1: “Password-Based Cryptography Standard”. RSA Security Inc., 2012. [10] NIST SP 800-57 , “Recommendation for Key management - Part 1: General (revised)”,2007. |
Hoàng Văn Thức, Trần Sỹ Nam
08:00 | 09/02/2017
08:00 | 21/09/2016
08:00 | 13/10/2017
09:00 | 21/12/2016
14:00 | 09/09/2024
TikTok - thế giới giải trí đầy màu sắc nhưng cũng ẩn chứa những cạm bẫy rình rập thông tin cá nhân của người dùng. Đừng để niềm vui trở thành nỗi lo, hãy cùng khám phá những mẹo nhỏ mà hữu ích để bảo vệ dữ liệu trên TikTok, thỏa sức sáng tạo mà không lo sợ bị xâm phạm quyền riêng tư.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
13:00 | 26/02/2024
Operation Triangulation là một chiến dịch phức tạp nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Tạp chí An toàn thông tin đã từng cung cấp một số bài viết liên quan đến chiến dịch này, như giải mã tính năng che giấu của phần mềm độc hại TriangleDB, những cuộc tấn công zero-day trên thiết bị iOS hay giới thiệu cách sử dụng công cụ bảo mật phát hiện tấn công zero-click. Tiếp nối chuỗi bài viết về chiến dịch Operation Triangulation, bài viết sẽ phân tích các phương thức khai thác, tấn công chính của tin tặc trong chuỗi tấn công này, dựa trên báo cáo của hãng bảo mật Kaspersky.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.
10:00 | 14/11/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
13:00 | 11/11/2024
