web-dev-qa-db-ja.com

改ざん防止封筒/パッケージングをどのように評価しますか?

多くの資格のある高IQの個人が詳細や詳細を掘り下げるデジタル暗号化アルゴリズムおよびプロトコルとは対照的に、ローテクパッケージの物理的な改ざん耐性はそれほどテストされていません。

しかし、お金のためにそれをする人々が何人かいますが、彼らの結果は簡単には利用できません。 Argonne National Labの脆弱性評価チームへのリンクが1つあり、興味深い結果が得られます。 http://www.ne.anl.gov/capabilities/vat/seals/index.html

私は米国特許商標庁で特許を探し、それらのかなりの数を特定しました。最新のものは米国特許7,230,687 B2であり、1916年にさかのぼる最も古いものです(1人のArvid Sorensenに割り当てられた米国特許1,201,519)。

社内のさまざまな改ざん防止オファー(ショッピングエンジンの検索に基づいて180以上)にどのような基準を適用する必要があるのでしょうか。

私がすでにほのめかした基準の1つは、特許の有無です(もちろん、それはセキュリティを証明しませんセキュリティ-特許を取得したヘビがたくさんあります油のレシピ、それに関して言えば、少なくともそれはデジタル世界のオープンソースにいくらか類似しています。

別の解決策は、大きな服装の安全な不正開封防止封筒をサンプリングすることです。うまくいけば、彼らの評価に便乗して「流れに乗る」ことになりますが、彼らが同じことをしていないかどうかはわかりません。

これは買い物の質問ではないことに注意してください。回答では、プロバイダーの命名を避け、代わりに客観的な評価基準を提示する必要があります。

9
Deer Hunter

最初に何かをまっすぐにしましょう。一般的な意味では、エンベロープ/パッケージングの世界では、改ざん耐性などはほとんどありません。あなたが探しているのはタンパー-evidentです。

不正開封防止エンベロープを評価する基準は、他のセキュリティ測定の評価に使用されるものと同じです。ソリューション自体についてはすべて忘れ、ソリューションを探している理由を考えてください。問題が改ざんされていると言うのは簡単ですが、そうではありません。

したがって、基準はyour脅威モデルに大きく依存します。それ以外には、基本的に1つの基準があります。エンベロープが改ざんされている場合は、高い信頼度でそれを検出します。


1997年に、原子力規制委員会は RG 5.15 を発行し、核文書の保管に使用される不正開封防止媒体の有効性を判断する基準を概説しました。それらのいくつかを引用します

  • 印鑑の申請時に取得および記録された情報は不適切に保護されているため、ダイバーターは文書を偽造して転用をサポートまたはカバーすることができます。

  • アザラシの死後検査の方法は、アザラシの欠陥または損傷を検出するには不十分です。

  • シールを貼る場所と方法によって、シールが偶発的な損傷に対して脆弱になり、故意の攻撃を隠すために使用される可能性のあるそのような事件の履歴が提供されます。

その後、機密性の高いデータを保存するために、特定の許容可能な改ざん防止デバイスのタイプをいくつかリストします。

同じ年に、研究者R.G.ジョンストン 論文を発表 RG 5.15と当時の標準 ASTM F1158-88 プロトコルのいくつかの欠陥の概要。ジョンストンは、以前の標準の長所を組み合わせ、それらの短所のほとんどにパッチを適用して、プロセスについて非常に明確な指示を提供する素晴らしい仕事をしました。

成功した攻撃の詳細な説明。攻撃ごとに、次の情報を提供する必要があります。

  • 攻撃は理論的、部分的に実証済み、完全に実証済みだが完全ではない、または完全に実施されているか?

  • 攻撃を考案して実証するためのコスト、時間、および労力はどれくらいですか?

  • 現場で攻撃を行うのに何時間かかりますか?

..

  • 敗北のレベルは何ですか?

  • 攻撃には内部情報が必要ですか、それとも公開されている情報だけですか?

ジョンストンの調査結果と推奨事項 にもかかわらず、ASTM F1158は依然としてセキュリティシールを評価するための事実上の標準プロトコルです。

8
Adi

これは Casey のコメントと John Deters 'のコメントから貴重な情報を収集するための暫定的な投稿です。誰でもこの投稿を編集して詳細を追加することができます。

ケーシー:

また、DEF CON 21のタンパーエビデントコンテストのイベントも見ました。今年で3年目になり、すでにかなりの量のバイパスと情報が流通しています。今年はタンパーエビデントビレッジを始めているので、おそらく増加するでしょう。そこでは、誰もが多数のタンパーレジスタント/エビデント/プルーフデバイスで遊ぶことができます。

注:DEFCON 21は、2013年8月1〜4日にネバダ州ラスベガスで開催されます。ラスベガスで何が起こり、ラスベガスに留まるかTamper Evident Packagingのレッスン.

ジョン・デターズ:

過去のDEFCON攻撃はここにあります: https://tamperevidentwiki.com/showwiki.php

Deer HunterのタンパーエビデントWikiに関する注記:ここでのエクスプロイトはそれほど印象的ではありません。ただし、探索する価値のあるリンクがいくつかあります。

続く

編集:

2
Deer Hunter