שלום לכולם.

יש לי שאלה לגבי האופן שבו עובדת הצפנת הסיסמאות במכשירים סלולריים או יותר נכון משהו שאני לא כל כך מבין...

נניח שיש לי סמארטפון עם אפליקציה של סקייפ מותקנת עליו.

כשאני פותח את האפליקציה החשבון שלי מתחבר אוטומטית ללא צורך בהקשת יוזר וסיסמא.

זה אומר שמאחורי הקלעים היוזר והסיסמא שלי שמורים בטלפון בצורה מוצפנת.

ובזמן פעולת ההתחברות (האוטומטית) האפליקציה בטלפון שלי מתקשרת עם השרתים של סקייפ ושולחת להם את היוזר והסיסמא שלי כדי להזדהות (כמובן שגם פה שליחת הנתונים חייבת להתבצע באופן מוצפן)

 

הסיסמא שלי לסקייפ שמורה על הטלפון עם פרוטוקול הצפנה X שבו עושה שימוש הטלפון שלי (נניח של אפל לשם הדוגמה) ושליחת המידע לשרתי סקייפ מתבצעת עם פרוטוקול הצפנה Y שבו עושה שימוש סקייפ.

 

מה שכל זה אומר זה שבאיזשהו שלב בשרשרת חייבת להיות פתיחה של ההצפנה X כדי להכין את המידע להצפנה בפרוטוקול Y.

איך המידע מועבר ממנגנון שמצפין/מפענח את פרוטוקול X למנגנון שמצפין/מפענח את פרוטוקול Y?

האם יש אפשרות להסניף את המידע הזה כשהוא בין לביו? כלומר אחרי שהצפנה X שוחררה ולפני שהצפנה Y מופעלת?

 

מקווה שהצלחתי להסביר את השאלה.

תודה מראש לעונים.

ברור לך שיש שלב שהמידע בזכרון המכשיר לא יכול להיות מוצפן כי אחרת אי אפשר להשתמש בו? מה שווה אפליקציית סקייפ אם אי אפשר לראות ולשמוע את הוידאו?

ככה שבלי קשר להצפנות אם יש אפליקציה שמצליחה לפרוץ את המחסומים של מערכת ההפעלה ולקרוא את הזכרון של אפליקציית סקייפ בזמן שהיא עובדת אז ברור שהיא תוכל להאזין לתקשורת. דווקא את הסיסמה אף אפליקציה לא אמורה לשמור, רק כשאתה נכנס בפעם הראשונה למערכת הסיסמה נשלחת לשרת והאפליקציה מקבלת חזרה טוקן זיהוי זמני שאיתו היא משתמשת אח"כ.

ציטוט של etal

ברור לך שיש שלב שהמידע בזכרון המכשיר לא יכול להיות מוצפן כי אחרת אי אפשר להשתמש בו? מה שווה אפליקציית סקייפ אם אי אפשר לראות ולשמוע את הוידאו?

ככה שבלי קשר להצפנות אם יש אפליקציה שמצליחה לפרוץ את המחסומים של מערכת ההפעלה ולקרוא את הזכרון של אפליקציית סקייפ בזמן שהיא עובדת אז ברור שהיא תוכל להאזין לתקשורת. דווקא את הסיסמה אף אפליקציה לא אמורה לשמור, רק כשאתה נכנס בפעם הראשונה למערכת הסיסמה נשלחת לשרת והאפליקציה מקבלת חזרה טוקן זיהוי זמני שאיתו היא משתמשת אח"כ.

 

אוקי אז לגבי המשפט הראשון שלך: למה תקשורת הDATA עצמה לא יכולה להיות מוצפנת במהלך העברת המידע ומפוענחת רק בקצוות? זה כמובן מכביד על מכשירי הקצה במידה מסויימת אבל זה שומר על אבטחה.

התכוונתי שהסיסמה לא שמורה ע"י האפליקציה אלא במיקום מסויים במערכת ההפעלה של הטלפון עצמו ואז האפליקציה "שולפת" את הסיסמא מהמיקום הזה ומעבירה לשרתי סקייפ לצורך הזדהות.

אם ההזדהות היא רק בפעם הראשונה ואחר כך היא ע"י הטוקן אז אפשר לגנוב את הטוקן.... כל הרעיון בטוקן זה שהוא זמני ומחלף כל X זמן לא?