23. maaliskuuta 2008

Turvallinen (?) langaton näppäimistö löytynyt

Kirjoitin aikaisemmin blogissani, että olen etsimässä turvallista langatonta näppäimistöä. Sellaista, joka käyttää bluetoothia turvallisesti, eikä mitään vanhanaikaista ja turvatonta yhteyttä langattomaan tiedonsiirtoon. Minua ei erityisesti houkuttele ajatus siitä, että näppäinpainallukseni ovat koko kulmakunnan seurattavissa. Siksi olenkin suosinut ja pyrin tietysti jatkossakin suosimaan langallisia näppäimistöjä (PS2 liitännällä, USB aiheuttaa enemmän hajasäteilyä joka voidaan siepata).

Uskomatonta kenties, neljä kuukautta olen saanut hakea, jotta on löytynyt varmistus sille, että tuote X oikeasti käyttää turvallisesti bluetoothia, eikä ole siten salakuunneltavissa (ainakaan kovinkaan helposti) etäältä. Se, kertooko tuo kulunut 4kk minun heikoista tiedonhakukyvyistäni - vaiko eri näppäimistövalmistajien heikosta tietoturvaosaamisesta ja tiedottamisesta, on toki asia josta voidaan olla eri mieltä.

Niin oudolta kuin se kenties kuulostaa, Microsoftin bluetoothia käyttävät näppäimistöt ovat ilmeisesti turvallisia bluetoothin osalta (ainakin teoriassa). Näppäimistö ja lähetin oletuksena käyttävät 1-16 numeroista PIN-koodia, jonka käyttäjä voi määritellä itse ja laitteet eivät (bluetooth-pariutumisen jälkeen) tiedoita ympäristöönsä olemassaolostaan. Mikäli käyttäjä on tarkkana ja nimenomaan määrittää 16-numeroisen PIN-koodin, eikä suostu aloittamaan manuaalisesti (eli painamalla laitteiden nappeja) uudelleenparittamisprosessia ollessaan langattoman salakuuntelun piirissä, systeemi on toimiva ja turvallinen. Muuten tulee ongelmia.

Kolme puutetta systeemissä kuitenkin on, nimittäin Microsoftin bluetoothia käyttävät langattomat hiiret eivät käytä bluetoothin salausta, eikä PIN-koodi voi näppäimistössäkään olla kuin maksimissaan 16-numeroinen. Lisäksi näppäimistöllä kirjoitettua tekstiä voidaan liikenne- ja frekvenssianalyysin avulla selvittää, vaikka yhteys olisikin salattu. Periaatteessa nämä ovat melko "pieniä ongelmia", mutta ne on kuitenkin syytä pitää mielessä.

Hiiren liikerataa seuraamalla on mahdollista hyvinkin tarkkaan seurata, mitä tietokoneella tehdään. Lisäksi useat salausohjelmistot (esim. Truecrypt) käyttävät hiiren liikettä näennäissatunnaisen salausavaimen luontiin, joten hiirenkin liike olisi hyvä pystyä pitämään salassa.

16-numeroinen PIN-koodi puolestaan antaa vain n. 2^55 vaihtoehtoa, eli vähemmän mitä DES-salauksessa on salausavaimia. Tämän vuoksi laitteiden paritus pitäisi aina tehdä sellaisessa paikassa, jossa langattoman salakuuntelun mahdollisuus on minimoitu. Muuten pariutumisprosessia salakuuntelemalla voidaan yrittää (kokeilemalla kaikkia mahdollisia avainvaihtoehtoja) murtaa PIN ja sillä pariutumisprosessissa luotu salausavain ja sillä puolestaan salakuunnella ja väärentää kyseistä langatonta liikennettä. Lisäksi ihmiset tuppaavat painelemaan näppäimiä tietyllä tapaa ja tietyssä aikajärjestyksessä, kun tätä seurataan tarkkaan, voidaan päätellä mitä kirjaimia ihminen on milloinkin painanut, koska eri kirjainten kirjoittaminen vie eri määrän aikaa ja niiden kirjoittamisen välissä on eri määrä aikaa riippuen siitä, mitä kirjaimia sormet näppäimistöltä hapuilevat.

Suomeksi sanottuna: Tulen jatkossakin kirjoittamaan PGP-salasanani ja muut vastaavat langallisella näppäimistöllä, mutta muuten langattoman näppäimistön käytölle ei mielestäni näy esteitä. Kunhan se on siis Microsoftin langaton bluetooth näppäimistö.

3 kommenttia:

Anonyymi kirjoitti...


Minne on kadonnut vanha ohjelma,kun kirjoitit näppäimistöllä ei näkynyt kuin sarja satunnaisia merkkejä.Sinulla on tarpeeksi kokemusta ohjelmista jotka muuttavat näppäin komentoja.Olen seurannut sivuasi kauan ja aikoinani otin sähköpostilla yhteyttä sinuun.Sain kautttasi ratkaisun pulmaani.Kun kirjoitit vaikka a se olikin"ja näin eteenpäin.Minulla ohjelma kyllä on tallella jossain sadantuhannen cd ja dwd levyn joukossa.Terveisin Matti

Anonyymi kirjoitti...

Ookona jo kuollu vae onko siust tullunna liian vanaha..?????

Matti Juha Mulari kirjoitti...


Muistot vanhoista ajoista JOTKA JOKU VEI.Perkeles missään ei saa olla rauhassa uteliailta ja tiedät sen.