OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
WikiLeaks zveřejnily téměř čtvrt milionu záznamů tajné komunikace (tzv. cables) amerického Ministerstva zahraničí (State Department) se zastupitelskými úřady na celém světě. Shrnutí nejvýznamnějších informací, které vydané dokumenty obsahují, nabízí např. BBC: Wikileaks cables: key issues.
Na českých dálnicích je 200 kamer se záznamem, každou lze otáčet do libovolného směru a přiblížit záběr (zřejmě počítáno vzhledem k šířce dálnice) až z 1,5 km. Nejvíce kamer je na D1. Policie zatím nemá k obrazovým datům přímý přístup - to se ale brzy změní, ŘSD dokončuje centrální rozhraní k celému kamerovému systému, které bude využívat i policie. Příští rok bude navíc instalováno na dálnice dalších 20 - 30 kamer.
Maďarská vláda nařídí lidem, aby místo soukromých penzijních fondů (kam nyní částečně spoří na důchod) platili celé důchodové pojištění státu. Kdo se nepodřídí, bude mu znárodněno zhruba 70 % úspor a navíc nebude mít vůbec nárok na důchod od státu.
Zveřejnil jsem repozitář se všemi zákony platnými v ČR. Můžete si je pomocí rsyncu zkopírovat k sobě. A kdy že se to může hodit? Například při dohadování se s policistou na ulici, kde jste offline…
Podle rozhodnutí Nejvyššího správního soudu může zastupitel, který požadoval informaci podle zákona o obcích nebo krajích a tato informace mu byla odepřena, postupovat podle zákona o svobodném přístupu k informacím. NSS v rozsudku mimo jiné tvrdí, že „jakmile je subjekt povinným subjektem ve smyslu zákona č.
Letuška po rakovině prsu byla při důkladné letištní kontrole donucena sundat prsní protézu, která pracovnicím připadala podezřelá. S důkladnými kontrolami, které byly na letištích v USA zavedeny od 1. listopadu, podle průzkumu nesouhlasí 57 % cestujících.
Viceprezident Asociace českých cestovních kanceláří a agentur Tomio Okamura se ve svém blogu vyslovil pro zavedení systému sledovacích náramků podporovaného z veřejných peněz. Náramky by podle něj měly sloužit ke sledování pozice dětí a seniorů v zájmu jejich bezpečnosti.
Spojené státy vypouštějí nový špionážní satelit NROL-32. Jedná se o největší umělou družici Země, jaká kdy byla vypuštěna. Účel nového satelitu je tajný, nicméně by mohlo jít o součást budovaného systému Mentor (Advanced Orion).
Představitelé psích útulků tlačí na politiky, aby schválili povinné čipování psů a jejich registraci v celostátním registru. Důvodem má být, aby se útulky neplnily psy, u kterých nelze najít majitele. Kateřina Klasnová (která se před časem angažovala v případu kutnohorského útulku) se chystá požadované změny začlenit do novely zákona proti týrání zvířat.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.