OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Soukromá univerzita v německém Essenu žaluje jednoho ze svých studentů, že „vystudoval příliš rychle“. Student zvládl jedenáctisemestrové studium za pouhé tři semestry, přičemž skončil v srpnu 2011. Univerzita však požaduje, aby doplatil školné i za zbytek roku 2011, celkem 3000 EUR.
Evropský parlament podpořil povinné zavedení systému eCall do všech nových automobilů od roku 2015. eCall je systém, který při nehodě automaticky zavolá na linku 112 a předá přesnou polohu vozu podle GPS. Lze ho aktivovat i ručně z vozidla.
Po internetu koluje další falešný certifikát, tentokrát pro torproject.org, podepsaný společností Cyberoam. Zmíněná firma se mimo jiné zabývá dodáváním řešení pro deep packet inspection, odposlech spojení a další útoky.
Cisco vzdáleně upgradovalo firmware v některých SOHO Linksys routerech. Nový firmware vyžaduje registraci do cloudu a přijetí podmínek, které mimo jiné umožňují Ciscu uživatele odpojit, kdykoli to uznají za vhodné, sbírat a využívat záznamy o provozu, vzdáleně přistupovat do routeru a další věci.
Delaware jako první stát USA legalizuje hraní hazardních her přes Internet. Podle federálního zákona lze hrát pouze na území daného státu, proto bude přístup omezen pomocí geolokačních nástrojů.
Server TorrentFreak zjišťoval, jak dlouho uchovávají američtí ISP záznamy o přiřazení IP adres uživatelům. Tato doba se pohybuje od šesti (Time Warner, Cox) do osmnácti měsíců (Verizon).
Mnohé kabelovky poskytující připojení k Internetu (i ta největší česká :) dělají řízení přístupu a omezování rychlosti přímo na modemu, tedy zařízení, které má zákazník u sebe. V USA zavřeli na tři roky člověka, který prodával modemy, kde si uživatelé mohli s těmito omezeními hrát a publikoval o tom články.
Britská vláda uvažuje o novém přístupu k filtraci webu. Ve výchozím stavu by poskytovatelé připojení automaticky filtrovali „nevhodný obsah“ (porno, násilí apod.) a položili by uživatelům otázku, zda chtějí výchozí nastavení změnit.
Fredrik Neij, zakladatel serveru The Pirate Bay, dostal od stockholmského soudu další peněžitý trest, tentokrát 500 000 SEK. Podle soudu porušil zákaz provozovat jakékoli aktivity spojené se serverem.
Evropský komisař Karel De Gucht prozradil, že pokud Evropský parlament zamítne ratifikaci ACTA, nebude to pro něj nic znamenat a návrh předloží později znovu, navíc bude EK pokračovat v obhajobě ACTA před Soudním dvorem EU.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.