Abstract- PKCS # 11 has been widely accepted in the community of researchers and developers of cryptographic security hardware devices, which includes companies providing security and information security products such as Utimaco, Safenet, Thales, AEP. In this article we summarize some potential weaknesses for PKCS # 11 (version 2.20) security, as an application programming interface for a hardware security device. We analyze the impact and provide solutions for developers to overcome the above weaknesses.
Tài liệu tham khảo [1] RSA Laboratories. “PKCS #11 v2.20: Cryptographic Token Interface Standard”, RSA Security Inc., 2004 [2] Jolyon Clulow. “On the security of PKCS#11”, Springer-Verlag Berlin Heidelberg, 2003. [3] Matteo Bortolozzo, Matteo Centenaro, Riccardo Focardi, Graham Steel. “Attacking and Fixing PKCS#11 Security Tokens”, Copyright 2010 ACM, 2010. [4] Mike Bond. “Attacks on Cryptoprocessor Transaction Sets” Springer-Verlag Berlin Heidelberg 2001. [5] Eric Brier, David Naccache, Phong Q. Nguyen, Mehdi Tibouchi. “Modulus Fault Attacks Against RSA-CRT Signatures”. //eprint.iacr.org/2011/388.pdf. [6] Abderrahmane Nitaj, “A new attack on RSA and CRT-RSA”, AFRICACRYPT 2012. [7] Dan Boneh, Richard A. DeMillo, and Richard J. Lipton, “On the importance of checking cryptographic protocols for faults”. In Advances in Cryptology EUROCRYPT ’97, vol. 1233, pp. 37-51, 1997. [8] Adi Shamir, “How to share a secret”. 1979.di S [9] RSA Laboratories. PKCS #5 v2.1: “Password-Based Cryptography Standard”. RSA Security Inc., 2012. [10] NIST SP 800-57 , “Recommendation for Key management - Part 1: General (revised)”,2007. |
Hoàng Văn Thức, Trần Sỹ Nam
08:00 | 09/02/2017
08:00 | 21/09/2016
08:00 | 13/10/2017
09:00 | 21/12/2016
07:00 | 29/08/2024
Ngày 29/8/2012, Thủ tướng Chính phủ ký Quyết định về kế hoạch thực hiện Luật Cơ yếu nhằm xác định trách nhiệm và phân công nhiệm vụ cụ thể cho các Bộ, ngành, địa phương có liên quan đến hoạt động cơ yếu, đảm bảo cho việc triển khai thực hiện Luật được đồng bộ, đạt hiệu quả thiết thực
08:00 | 01/07/2024
Cách đây đúng 20 năm về trước, Bộ Chính trị đã ban hành Chỉ thị về việc tiếp tục đẩy mạnh phát triển công tác cơ yếu phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa đất nước. Đây là một trong những văn bản pháp lý quan trọng, góp phần tạo hành lang pháp lý đồng bộ, thống nhất, nâng cao vị thế, vai trò của công tác quản lý nhà nước về cơ yếu.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024
Hiện nay, chuyển đổi số đã và đang làm thay đổi nền kinh tế, bùng nổ các ứng dụng công nghệ thông tin, nổi bật là các ứng dụng di động giúp nâng cao hiệu quả trong hoạt động công tác tại các tổ chức và doanh nghiệp. Tuy nhiên, việc sử dụng các ứng dụng di động, đặc biệt là các ứng dụng sử dụng trong mạng chuyên dùng cũng đi kèm với các thách thức liên quan đến bảo mật an toàn thông tin, an ninh mạng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và một số giải pháp di động hóa ứng dụng sử dụng trong mạng chuyên dùng có yếu tố bảo mật.
11:00 | 03/09/2024