OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
V USA hladce prošel (93 % pro) senátem zákon, který umožňuje osoby podezřelé z terorizmu neomezeně zadržovat a provádět na nich „pokročilé výslechové metody“. Čeká se, zda jej Barack Obama vetuje.
Zjistilo se, že ve sto milionech chytrých telefonů převážně v USA měli operátoři nainstalovaný rootkit, který mimo jiné zaznamenával stisknuté klávesy: 1234
V Thajsku hrozí trest 3 až 15 let vězení každému, kdo by kliknutím na „Líbí se mi“ na Facebooku nebo podobným způsobem vyjádřil podporu textům nebo obrázkům, které obsahují „nelichotivá“ vyjádření o monarchii. Až pětiletý trest pak hrozí každému, kdo by šířil informace ohrožující bezpečnost země či „mír a svornost nebo dobrou morálku lidí“.
Evropská komise vydala nová pravidla pro používání bezpečnostních skenerů na letištích. Používání tělesných skenerů na bázi rentgenového záření je těmito předpisy zakázáno, jiné skenery lze za určitých podmínek používat.
Na konferenci MalCon v indické Bombaji předvede rakouský vývojář a bezpečnostní analytik Peter Kleissner, jak lze prolomit „bezpečný boot“ v systému Microsoft Windows 8. Kleissner již dříve vyvinul bootkit, kterým lze získat plnou kontrolu nad počítačem se staršími verzemi Windows (XP až 7).
Nejen ČR má problémy s nepotřebnými vakcínami. Obamova vláda protlačila nákup 1,7 mil. dávek experimentální vakcíny proti pravým neštovicím za cenu 443 mil. USD, tedy 255 USD za jednu dávku. Přitom není pravděpodobné, že by se virus ze dvou míst na světě, kde je uchováván, dostal do terénu. Navíc běžná vakcína, která působí i pokud se podá do 4 dnů po kontaktu s virem, stojí jen 3 USD za dávku.
Na Slovensku schválili zákon podobný naší „honbě za osobou blízkou“. Držitel vozidla bude povinen zabezpečit, aby při používání vozidla byly dodržovány rozličné dopravní předpisy.
Mladý muž v Kalifornii zjistil, že jeho vůz byl sledován pomocí GPS. Na svém autě nalezl v nedávné době hned dvě sledovací zařízení, která odesílala informace o jeho poloze.
Podobný případ se stal již v minulosti. Zřejmě se teď jedná o běžnou praxi v USA a zveřejněných případů bude přibývat. Prodejci GPS přiznali, že federálové od nich koupili tisíce sledovacích zařízení.
iHNED.cz píše o novém způsobu výkladu autorského zákona, který chce prosadit Integram: „Správce autorských práv Intergram chce poplatky za autorádia ve služebních vozech. Soukromé účely se podle něj vztahují jen na vlastníka radia. Pokud radio v autě poslouchá zaměstnanec na služební cestě, pak se prý jedná o veřejnou produkci.“
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.