Дров в топку про угоны

@Demagog, ути-пути… обидчивый ты наш. А почему я должен ездить на какие-то убогие катушки всяких дебилов вроде тебя? А езжу только на нормальные катушки.
Ну в общем понятно. Зассал ты.

Пожалуй оставлю пока что тебя тут с твоими фантазиями… ты там побольше представляй какой ты супермен. И главное — когда в реальность вернешься, не расстраивайся. Ущербные люди вроде тебя как-то все-таки умудряются жить… может и у тебя получится.

@Ефрик, Да мне то чего на тебя обижаться,Кудряшечка

Послушать тебя,ДЕГЕНЕРАТА,у тебя тут все слабоумные.
И на катушки ты не ездишь,потому что ЧМО ССЫКЛИВОЕ,а не потому что они плохие.Да тебя на них и не зовут.
На 8лет Катушкина тебя НАХУЙ послали,а ты все равно приперлось.
Ты пока как неуловимый Джо,нахуй никому не нужный.Ну сейчас тобой займутся и посмотрим как ты закулишь,Кудряшка

На кого же ты нас покинула,Дурочка несмышленая.Побежала прятаться???

@Demagog, тебе Ефрик в близости отказал?Вот же сучка….

@Язычник, Сбежала сучка позорная

@Demagog, что и требовалось доказать-ты тут ищешь партнёра и обижаешься если кто из приглянувшихся отказывает тебе в близости……

Вот же ж как странно. Приехал я на 8-летие, а там со мной здороваются, говорят, что рады меня видеть, руки жмут. Приехал на первую самокатную — там тоже все рады, общаются, новостями делятся, благодарят за компанию.

А потом залезаю в интернет. А тут какой-то никому не известный пидарас на почве неразделенной гейской любви какую-то ерунду про меня пишет.
Но я не обижаюсь. Грязные сплетни — это всего-лишь темная сторона славы.

@..., замок генерирует некую случайную последовательность данных (с включением либо постоянно инкрементируемого номера, либо даты/времени для защиты от атак повтора), подписывает её своим ключом и открыто передаёт по Bluetooth. Смартфон убеждается, что последовательность сгенерирована замком (путём проверки подписи), в свою очередь подписывает ту же последовательность своим ключом и отправляет её обратно. Замок убеждается в корректности подписи смартфона и авторизованности доступа соответствующего пользователя, после чего разблокируется.

а) Непонятно, нафига смартфону проверять подпись замка
б) Не расписан момент передачи сертификата (или открытого ключа дя проверки подписи) от смартфона к замку. Ну, или на чём замок будет проверять правильность подписи смартфона? А не может ли злоумышленник перепривязать замок к своему смартфону?

Если уж на то пошло, то взломать можно все что угодно — и программу, и просто замок. Насколько надежная защита у этого замка — этот вопрос надо задавать разработчику, а не тут размусоливать эту тему. Ибо никто из вас не знает, как разработчик реализовал программную часть. А гадать на кофейной гуще… ну если вам делать нечего, то можете еще пофантазировать.

а если этот замок сварить в масле…..

@Ефрик, Грязные сплетни — это всего-лишь темная сторона славы.
Люди деньги платят чтоб их хоть как-то пропиарили а у тебя свой пиар менеджер, бесплатный.

@Ефрик, А, ПИДРИЛКО КУЧЕРЯВОЕ,ты опять вылезло
Все пытаешься оправдать свой вжопоебизм

ЛЮДИ!!! Кто здоровался с ПИДОРАСОМ ЕФРЯКОМ,срочно вымойте руки,и продизинфицируйте спиртом,он ими в жопе ковыряется!

@andrrog, а) для того, чтобы убедиться, что случайные данные пришли именно от замка. А то так можно подписать какие-нибудь левые «случайно сгенерированные» данные на свою голову. Впрочем, над целесообразностью данного шага можно подумать.
б) я неявно предположил, что сертификат/открытые ключи уже загружены во все взаимодействующие устройства. Как вариант, предоставлять свой личный корневой сертификат продавцу/сервисному центру для загрузки их в замок по проводам. Ну и этим сертификатом подписывать уже сертификаты собственных смартфонов и смартфонов друзей, например.
Впрочем, Ефрик прав, это всё гадание на кофейной гуще.

Как правило, слабые места
а) генерация изначальной "случайной" (на самом деле — псевдослучайной) последовательности, в т.ч. при генерации пары открытый/закрытый ключ (какой из них открытый, а какой закрытый — зависит от решаемой задачи: подписывание или шифрование). На самом деле реальное множество таких, вот, "случайных" последовательностей (ага, с учётом даты-времени, серийного номера) — гораздо уже,чем множество истинно случайных последовательностей битов (байтов) такой-то длины.
б) Момент обмена ключами/сертификатами, в т.ч. в форс-мажорных условиях (типа "забыл пароль" и т.п.). То есть, положим, даже алгоритм подписывания/шифрования — достаточно надёжный, а ключи — достаточно стойкие… Но если есть лазейка как их заново грузануть… Даже представившись "сервис-центром". Нивапрос. Сервис-центр — у вора в кармане.

@velociraptor, В целом, неплохо, но лучше это все на симметричной криптографии делать.
Это не гадание, а обсуждение возможных вариантов реализации и уязвимостей.

@andrrog, а) вообще говоря, в нашем случае последовательность не обязана быть случайной. Можно в качестве неё использовать вшитый ID замка + глобальный номер попытки (+ ещё какие-нибудь фиксированные данные для доп. уверенности, что мы не подписываем что-то левое).
б) а тут предполагается, что к проводному интерфейсу без грубой силы не подлезть (т.е. нет тривиальной возможности подобраться к нему в походных условиях). Вору проще будет болгарку с собой таскать.

а) это больше касается момента генерации пары ключей открытый/закрытый. Если ключ якобы 512- или 2048-битный (казалось бы достаточный), но при его генерации используются "случайные" данные размером, скажем, 48 бит (и злоумышленник это — знает, или хотя бы — догадывается), то подобрать ключ прямым перебором — так же просто, как если бы он был 48-битным. Что обычно и делается.
б) можно только гадать, как это там реализовано. Но. Не знаю как "у них", а у нас — ни одна система шифрования/ЭЦП не получит лицензию от ФАПСИ (а у них, наверное, — АНБ/ФБР/ЦРУ, Моссад и т.п.), если у самих спецслужб нету "универсального ключа". То есть, "бэкдоры" встраиваются преднамеренно, даже в ущерб стойкости и надёжности. Вася Пупкин может взать учебник по криптографии, и сам по нему написать вполне себе надёжный и стойкий алгоритм шифрования/ЭЦП (включая генерацию и установку ключей, сертификатов и т.п.), и сделать это "честно" (т.е. реально без бэкдоров и прочих дыр в защите), но его поделку тогда никто ни в жисть не сертифицирует. И останется он Васей Пупкиным (TM). Поэтому все коммерческие продукты… Как бы сказать помягче…

@velociraptor, @andrrog, вы зря зациклились на асимметричной криптографии и на подписи отдельных сообщений. Так вы дойдете до развертывания полноценной PKI. Асимметричная криптография довольно ресурсоемкая, ее основное преимущество — возможность обменяться ключами по незащищенному каналу. В данном случае нет необходимости использовать незащищенный канал для обмена ключами.

@andrrog, ФАПСИ давно нет, сейчас криптографией занимается ФСБ, всей прочей защитой — ФСТЭК