OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Bezpečnostní informační služba (BIS) usiluje o změnu zákona, která by jejím zpravodajcům umožnila kromě současných odposlechů také získávání provozních informací (volaná čísla, délky hovorů či zeměpisné polohy volajících). Píše ITBiz.cz.
Ministerstvo vnitra schválilo grant 55 milionů na vývoj tzv. chytrého integrovaného kamerového systému, který má být schopen rozpoznat zloděje, násilníky nebo podezřelé předměty. Dotaci získala firma Koukaam, která sama s projektem na ministerstvo přišla.
V diskuzi na Outsider Media popisuje uživatel Tonda Koniášů, jak došlo při Sčítání lidu v roce 1991 k malému překlepu a jak se následně stejný překlep objevoval v reklamních letácích. Opatrné poznačení dat ve sčítacím formuláři by mohlo být zajímavé pro sledování, kam všude se údaje ze sčítání dostaly.
Obyvatel New Yorku čelí vážnému obvinění – podle ministerstva pro vnitřní bezpečnost spáchal těžký zločin tím, že na svém webu channelsurfing.net zveřejňoval odkazy na videa ilegálně publikovaná na jiných serverech. Muži již byla zabavena doména, nyní je ve vazbě a může mu být uloženo až 5 let vězení, peněžitý trest, propadnutí věci a náhrada škody.
Aktuálně připravovaná (opět v utajení) dohoda TPP, nazývaná též „syn ACTA“, zavádí ještě přísnější restrikce než obávaná ACTA. Kromě jiného například zakáže šedý dovoz autorských děl.
Od 25. května budou provozovatelé webů na území EU moci používat cookies pouze s výslovným souhlasem uživatele. Jedinou výjimku mají e-shopy a to pouze na cookies nutné pro funkci nákupního košíku. Jak to bude vypadat v praxi je těžko představitelné. Tím spíše, že zatím zřejmě neexistují ani pokyny, kterými by se měla řídit oficiální místa. Zdroje: BBC, JustIT.cz.
Poslanec a středočeský hejtman David Rath hledá inspiraci v Maďarsku. V Radiožurnálu uvedl: „Pokud by vláda silou prosadila povinné vyvádění peněz do soukromých fondů, já bych se vůbec nebránil se nechat inspirovat třeba v orbánovském Maďarsku. Hrozilo zhroucení financí a sáhl k tomu, že soukromé fondy převedl pod stát. Nic jiného takovému státu pak do budoucna nezbude, to je evidentní.“
Maďarsko kvůli tlaku EU zmírníkontroverzní mediální zákon. Zní to dobře, ale... Ústupky se však týkají jen zahraničních médií a ani tak nebezpečí postihu zcela nevylučuje. Maďarským médiím nepomůže ani formální změna sídla.
Čínská vláda plánuje zavést systém, který by umožňoval sledovat obyvatele Pekingu pomocí mobilních telefonů a GPS doslova na každém kroku. Oficiálním cílem je „získat všeobecné statistiky pro lepší zvládání dopravního provozu a monitorování obyvatel“. Koncem června má být systém vyzkoušen na dvou zalidněných čtvrtích.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.