|
|
本帖最后由 kelechong 于 2019-3-19 10:32 编辑
拆解某行U*盾,拆了看看~~
这玩意记得2003有的东西。这个东东还是蛮强大的~都成了办业务的标配了吧
但是发觉现在使用这个玩意的时候并不多,都直接支付*宝、微信*支付!
虽然尴尬,这玩意的安全级别还算比较高。后面来说这个原理
这都是好几代的升级版了,越来越小。但是小了容易搞丢啊~
拆解前以为是全封闭,还打算暴力破解的。
没想到就是个卡扣设计。
撬边就能打开,看设计还是合理:直接板载了USB插卡和3.5耳机插头记得最早的是配了根USB线
电池是3.7V 73mAh 。最早貌似是可充电的纽扣电池
看这线的焊接全手工啊!挺山寨的感觉!成本也高不了哪里去~
还好银行还算是免费,但是羊毛出在羊身上!哈哈~~
背光直接焊接了一个LED发光单元,挺廉价的方案。还算看的见吧~
拆解就完毕了~~~
来说说他的原理吧
数字证书有一对,一份在U盾里的私钥,一份在银行的公钥(其实两份银行都有)
U盾的原理很类似于双向认证的TLS(SSL)或者其它用到RSA的双向证书验证手段,以下步骤可能和U盾实际执行的有所区别,但本质相同:
--银行先给你一个"冲击",它包含了随机数,以及该随机数HASH,它们都由公钥加密,这样就可以保证只有你能解密这个"冲击"
--你计算该随机数的HASH,并和用私钥解出的HASH,两者相同后,便可确认银行的身份
--接下来,以一个只有你和银行知道的算法,利这个随机数和一些其它信息,生成"响应"和相应的HASH,再用私钥加密后发回银行。(此时银行也以相同的算法计算该"响应")
--银行用公钥解密,并验证HASH正确,接下来银行比较两个"相应"是否相同,相同的话客户的身份也确认了
至于私钥的保密性由U盾来完成。U盾的控制芯片被设计为只能写入证书,不能读取证书,并且所有利用证书进行的运算都在U盾中进行。所以,只能从U盾读出运算结果。
ps:
和平常登录HTTPS网站不一样的是,一般HTTPS在TLS握手时,只要验证服务器身份成功便可完成握手。
这玩意安全性确实很高,建议大额交易一定要使用。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
IP归属地
雷达卡
发表于 2019-3-19 10:30:31
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
楼主
