OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Francouzský prezident François Hollande chce výrazně zvýšit daň z piva o 160 % s cílem získat více peněz do rozpočtu. Francouzská spotřební daň z piva patří v EU k nižším (je například o 15 % nižší než v Česku), zvýšení posune Francii na sedmou příčku za Dánsko. Zvýšení daně z vína se neplánuje.
Vědci z univerzity Carnegie Mellon vyvinuli nový systém, který nejen že je schopen rozpoznat určité lidské chování, ale i předpovídat, co se následně stane. Cílem je odhalit zločin ještě dříve, než je spáchán.
Článek Michala Zlatkovského se zabývá tím, jak média (včetně těch vnímaných jako „seriózní“ - ČT24, iHNed) propagovala zjevně podvržený screenshot vyjádření Jaromíra Petelíka na Facebooku.
Kanadský teenager byl svědkem toho, jak ochranka v obchodním domě kohosi skládá k zemi. Pořídil snímek, načež členové ochranky zamířili k němu a požadovali smazání snímku, což nebylo možné (šlo o snímek na film). Následně byl zatčen policií za výtržnictví – nebyl sice obviněn, nesmí však 6 měsíců vstupovat do onoho obchodního domu.
Poslední generace GPS navigací TomTom obsahuje SIM kartu a odesílá každé 2 minuty přesnou polohu vozidla. Firma také přiznala, že buduje svůj business model na tom, že jí vlády platí za poskytovaná data.
Francouzská socialistická vláda zavádí a připravuje řadu revolučních změn, které významným způsobem změní život Francouzů. Patří mezi ně zákaz domácích úkolů (zkouší se i u nás) a ceny energií závislé na příjmech, věku a podnebí; za nadměrnou spotřebu energie budou ukládány pokuty, za nízkou spotřebu naopak bonusy.
Amazon z ničeho nic zablokoval účet a na dálku smazal z Kindle všechny koupené (tedy spíše pronajaté, u Amazonu si nekupujete knihu, ale pronajímáte právo číst) knihy. Následná e-mailová korespondence překvapivě nevedla k žádnému vyjasnění, Amazon pouze opakovaně posílá obecné odpovědi „účet byl ve vztahu s jiným účtem, u kterého jsme detekovali porušení podmínek“.
Nizozemské ministerstvo spravedlnosti se zamýšlí, že by dalo policii nové pravomoci. Například by policie směla instalovat do počítačů spyware, a nabourávat se i do počítačů v cizích zemích.
Kellie Tranter se zamýšlí nad současnou praxí USA, které se snaží o to, aby jim cizí státy vydávaly své občany k trestnímu stíhání, často i za drobnější delikty, například porušování autorských práv.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.