On 26/06/2015 13:58, Samuele wrote:
> Il 26/06/2015 13:41, Alessandro Barenghi ha scritto:
>> Non è cifrato, è semplicemente firmato: quello che ottiene verificando
>> la firma è la hash del messaggio, opportunamente codificata.
>
> Invece di salvare nel file solo l'hash del s/n della scheda-mac
> address, dovrei mescolarlo ad altro testo (usando magari caratteri non
> alfanumerici, per non rendere semplice la ricerca nel binario), in
> modo che se prova a fare l'hash solo del s/n non trova corrispondenze.
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
Si ma a questo punto non e' piu' una vera protezione crittografica ma
un "offuscamento"... Il problema a mio parere e' che nello stesso
contenitore c'e' cio' che si deve proteggere e la chiave che lo protegge.
Non ho idea di come si possa fare e soprattutto SE si possa fare con
un embedded ma la chiave di firma dovrebbe essere recuperata ogni
volta da qualche altra parte indipendente. Per esempio. In ogni caso
nulla ti puo' proteggere dal reverse-engineering del codice salvo la
difficolta' di farlo che potrebbe non valere la spesa.
My 2c
--
Everything should be made as simple as possible, but not simpler.
Albert Einstein
Alberto Guglielmo
a.guglielmo<at>tcpsas.com
Key Fingerprint:7EAF 9E34 2838 7C6B EE47 E8F0 FFC5 3CBC 90AA 5EEE
Key ID: 0x90AA5EEE
GPG/PGP keys at: pgpkeys.mit.edu
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
