怎么用。 如果只是为了方便,PAM模块可以设计成通过简单的按键来认证——比如说笔记本上的 无线开关、插拔光驱位的光驱,或者比较一般的,调节音量的旋钮,左三下右四下什么的, 也是不错的选择。简单的声音识别也是有可能的——敲击麦克风的节奏作为密码,既有操作 感,算法上也不是特别难处理,只是不适合真正要求严肃的认证的地方,自己家里或者宿舍 里就很 cool 了。当然,要求登录的时候正确的输入10 个英文单词也很好。 SIM 卡既然适合用来存储认证标记,那么不仅仅把它用在登录上,还可以通过他存储真 正的密钥。比如写一个简单的脚本通过调用openssl来加密解密,密码就可以存储在短信或 者电话本里。甚至可以自己写一个壳,用作应用程序的加密,同样解密密钥放在SIM卡中。 SIM卡自己有PIN 的功能,而且可以选择性地开启,8个字节。开启后不输入正确的PIN 是不能读取信息的,而且输入错误3次以后就会锁卡。这其实比程序中设计的PIN功能更合 适,只是当时在设计的时候没有想到使用SIM卡作为存储认证标记的介质,而SLE4428、 24C02 之类的存储卡PIN 太短或者干脆没有密码功能,所以使用软件实现了。 SIM卡的 RUN GSM ALGORITHM指令可以让 SIM卡以16字节的随机数和卡内的Ki计算出 SRES和 Kc,Ki是存储在卡内而且是不可读出的,手机就是通过这个指令生成的SRES和 Kc 来向运营商验证身份、加密通信的。程序也可以设计成这样:生成Ki并且写入卡中,再通 过相应的算法计算加密后的RAND,并且保存很多的RAND和 Hash(A3A8(RAND, Ki))对, 作为 一次性密码使用,生成的Ki 丢弃。这样比直接将认证标记读出、计算并且在内存种逗留要 安全些,攻击者至少需要拿到卡才能解出Ki,而且是一种自然而且强制的密码计数的过期 策略。 |
