OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Evropská unie zabavila na hranicích 40 tisíc žárovek, resp. topných těles, které si z Číny objednal Siegfried Rotthäuse. Celníci údajně zkoumají, zda zásilka neobsahuje výbušniny – pravděpodobně jde ale jen o záminku pro překažení dodávky žárovek do Evropy. Inženýr Rotthäuse jich prodal už tisíce – lidé mají o klasické žárovky obrovský zájem. Rotthäuser slíbil, že 30 eurocentů z každé prodané žárovky daruje na záchranu deštných pralesů.
Podle Deep in IT se v USA chystá zákon, který umožní zabavovat domény ve všech TLD, pokud se na nich objeví dětské porno, teroristické návody nebo nelegální software. Toto zabavování zatím fungovalo jen v TLD vlastněných USA (jako .com). Není snad třeba dodávat, že po rozbití DNS si příslušné skupiny buď rozjedou jmenné servery vlastní, nebo přejdou k používání IP adres…
Americká vláda ostře odmítá pokusy, zejména z islámských států, protlačit v OSN rezoluci, která by zakazovala hanobení náboženského přesvědčení. USA by to považovaly za omezení svobody projevu. V mnoha státech (včetně Česka; USA k nim však nepatří) je hanobení víry již dnes zakázáno a trestáno.
Facebook již dříve blokoval některé odkazy ve zprávách a na zdi. Nyní jeho politika přituhuje. Kdo by chtěl například někomu poslat odkaz na torrent uložený na Pirate Bay, ostrouhá - odkaz bude zablokován.
Do americké Sněmovny reprezentantů jde návrh zákona (HSCPIPA 2010), který svěřuje další pravomoci Ministerstvu pro vnitřní bezpečnost. Kromě jiného mu bude svěřen dozor nad sítěmi vlastněnými soukromými firmami - týká se to zejména utilit (elektřiny, vody, plynu apod.), telekomunikačních firem a finančních institucí.
Spojené státy asi čeká povinná instalace telefonních rušiček do aut. Americký ministr dopravy Ray LaHood to považuje za prakticky hotovou věc. Důvodem opatření má být, že ročně zemře v USA při nehodách způsobených nepozornými řidiči 5 500 lidí a dalších více než 500 000 je zraněno.
Dva právníci, zabývající se bojem proti počítačovému pirátství, odeslali jménem firmy vytvářející videohry celkem 6000 dopisů, v nichž vyhrožovali právními kroky, pokud by adresát nezaplatil odškodné 525 GBP. Podle SRA si právníci byli plně vědomi, že mnozí adresáti jsou zcela nevinní, přesto jim však dopisy posílali, protože za to inkasovali odměnu.
Logan Kugler na NetworkWorldu radí, jak zabezpečit svoje soukromí na Facebooku. Věnuje se např. geolokaci, rizikům facebookových aplikací nebo problému, že vaši přátelé mohou pomocí facebooku „přeposlat“ vaši původně soukromou informaci jiným uživatelům nebo aplikacím. Závěrečná rada: nejbezpečnější je účet na Facebooku vůbec nemít.
Vysocí představitelé FBI se snaží přemluvit Google a Facebook k podpoře návrhu, který usnadní odposlechy jejich uživatelů. Agentům dělá potíže šifrovaná komunikace (např. HTTPS) a rádi by měli způsob jak se dostat k nešifrovaným datům. The Register, crypto-world.
Maďarský parlament schválil zákon, který zavádí 98% daň na odstupné vyšší než 2M HUF (180 kKč ~ 7200 €) pro manažery nebo 3,5M HUF (310 kKč ~ 12700 €) pro ostatní zaměstnance firem vlastněných státem nebo samosprávou. Tento zákon má platit zpětně od ledna 2005. V souvislosti s tím bylo ústavnímu soudu znemožněno posuzovat zákony týkající se financí.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.