OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Soud v americkém státě Washington rozhodl, že se policisté mohou vydávat za majitele telefonu, který zabavili. Stalo se tak na základě případu, kdy byl drogovému dealerovi zabaven telefon a policie přes něj následně komunikovala pomocí SMS s člověkem, který chtěl od dealera koupit heroin.
Whistleblower Thomas A. Drake hovoří o současné americké „společnosti sledování“, kde „jste automaticky podezřelí, dokud není prokázán opak“. Drake podporuje žalobu EFF vedenou proti masivnímu vládnímu špionážnímu programu.
V rámci nového závazku EU zachránit ročně na silnici 1200 životů budou mít policisté od roku 2015 povinnost zkontrolovat každý rok technický stav u 5 % registrovaných vozidel. Při 6,4 mil. vozidel v ČR to odpovídá 320 000 kontrolám ročně.
Evropská komise navrhuje do roku 2017 zavést do nákladních automobilů „chytré tachografy“. Získávaly by údaje ze satelitního systému (GPS, později možná Galileo), umožňovaly by dálkovou kontrolu, byly by propojeny se systémem eCall a došlo by ke sloučení řidičských průkazů s kartami do tachografů.
I když se jedná o populární aplikaci, které je schválená Applem pro prodej v AppStore, můžete zjistit zajímavé věci, když se podíváte, co za data odesílá. V tomto případě populární poznámkovač Springpad odesílal e-mailové kontakty z adresáře.
Se zabezpečením základních registrů je to tristní. Nejedna příručka dokonce vyzývá k odkliknutí neznámého certifikátu (tatáž fatální chyba provázela i start ISDS, kde kvůli tomu padlo i trestní oznámení).
NS zamítl odvolání Vladimíra Stwory. Stwora byl odsouzen na půl roku podmíněně za publikaci překladu článku Holocaust a jeho čtyřmilionová varianta. V České republice je Popírání, zpochybňování, schvalování a ospravedlňování genocidia trestné a článek prý toto dělal. Stwora říká, že chtěl na téma vyvolat diskuzi, ale NS tvrdí: diskuze, tak jak byla shora definována, je ze zákona zakázána
Že nemusí platit „čím víc vakcín, tím lépe“, se ukázalo v Austrálii při očkování drůbeže proti viru infekční laryngotracheitidy (ILTV). Používání dvou živých vakcín (obsahujících oslabené viry) vedlo k rekombinaci oslabených virů a vzniku smrtících virů v plné síle.
Odpojování amerických uživatelů od Internetu, známé také jako „šestkrát a dost“ (po pátém až šestém varování přijdou represe včetně odpojení), bude najíždět postupně. Spuštění se plánuje v měsících na konci letošního roku.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.