V
А зачем это все?
типо “секьюрити”, я незнаю, я джуниор пытаюсь разобраться
Size: a a a
2019 November 20
R
😄
R
Давай попробуем пойти от задачи. Какую задачу ты хочешь решить изначально? “секьюрити” это не задача
V
задача сменить пинкод. Вопрос нужно ли отправлять на сервер новый публичный ключ
V
ну исходя из статьи, я понимаю что нет
V
т.к. пинкод используются для шифровки/расшифровки ключа/токена
R
задача сменить пинкод. Вопрос нужно ли отправлять на сервер новый публичный ключ
Это уже вопрос к вашей реализации. Я не вижу кода и не понимаю причин такой имплементации. Поэтому помочь тут не смогу.
V
а не для того чтобы его отправлять в зашифрованом виде на сервер
R
Возможно кто-то из ребят здесь готов вникнуть лучше.
R
Я показал то, как я вижу реализацию локальной аутентификации. Чуть позже покажу как я вижу реализацию с участием бэка.
V
спасибо, буду ждать!
R
Сроков конкретных пока не даю, до середины января все расписано =)
EK
У нас идея такая:
1. в приложении генерится пара приватный-публичный ключ
2. публичный ключ отправляется на сервер
3. приватный ключ сохраняется в зашифрованом виде локально с помощью пинкода/биометрии
4. когда нужно сервер присылает челендж, который мы подписываем с помощью расшифрованного приватного ключа
5. когда юзер хочет поменять пинкод, пара ключей не меняется, меняется только зашифрованный вид приватного ключа (незнаю как правильно назвать)
1. в приложении генерится пара приватный-публичный ключ
2. публичный ключ отправляется на сервер
3. приватный ключ сохраняется в зашифрованом виде локально с помощью пинкода/биометрии
4. когда нужно сервер присылает челендж, который мы подписываем с помощью расшифрованного приватного ключа
5. когда юзер хочет поменять пинкод, пара ключей не меняется, меняется только зашифрованный вид приватного ключа (незнаю как правильно назвать)
В этой схеме если узнать публичный ключ и вытащить шифрованый пином приватный ключ - можно подобрать пин
EK
Хотя смотря как именно шифруется Private Key, публичный ключ может быть и совсем не нужен для подбора пина
Sλ
2019 November 22
Kd
МВД закупает ПО для взлома смартфонов
Доброго утра, господа! Пока одни записывают любовниц в телефонной книге под именем "Коля-автомойка", другие ищут способы разобраться, кто есть кто в наших Контактах. Так и в МВД не отстают от прогресса, а закупают специальное ПО для доступа к нашим смартофнам. Подробнее — в этом материале.
Читать без VPN
Доброго утра, господа! Пока одни записывают любовниц в телефонной книге под именем "Коля-автомойка", другие ищут способы разобраться, кто есть кто в наших Контактах. Так и в МВД не отстают от прогресса, а закупают специальное ПО для доступа к нашим смартофнам. Подробнее — в этом материале.
Читать без VPN
AL
Подскажите, пожалуйста, - приложение отправляет данные с помощью ssl. Xposed+ssl unpinning. Packet capture - не показывает содержание пакетов. Что еще можно попробовать?
p
Ничего себе.
p
К 10 версии до них дошло что форкать ядро на каждый девайс - такое себе)
Sλ
Ничего себе.
Мейнтенеры линукс ядра уже говорят что ничего у Гугла не получится. Не получиться так же просто и быстро обновлять ядро как на ПК например.
Так как разработка ядра скоротечная, а загрузчики на разных телефонах не стандартизированные
Так как разработка ядра скоротечная, а загрузчики на разных телефонах не стандартизированные