OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Průzkum zjišťující názory uživatelů na nejen internetovou bezpečnost odhalil, že 61 % obyvatel USA si přeje, aby prezident mohl v případě organizovaného útoku „vypnout“ části Internetu. AbcLinuxu
CERD spustil petici za registr pedofilů (včetně aktuální polohy oznamované GPS+GSM náramkem) a 17. listopadu chce provizorní registr obsahující fotografii + adresu spustit. Protože v ČR je shromažďování takovýchto informací nelegální (zatím), bude prý registr poskytovat ze zahraničí.
Marek Minárik, zakladatel a ředitel české biotechnologické společnosti Genomac, odpovídal na dotazy čtenářů ohledně čipování dětí. On sám uvažuje, že nechá své děti očipovat.
Zuzana Baudyšová se v on-line rozhovoru vyjádřila, že „se domnívá, že je lépe dítě načipovat, než o něj přijít“. Policejní psycholožka Ludmila Čírtková s tím nesouhlasí - podle ní by zločinec dítě hned zmrzačil, jen aby odstranil čip.
Julian Assange, zakladatel serveru WikiLeaks, požádal 18. srpna 2010 švédské úřady o povolení k pobytu, aby byl pod plnou ochranou švédských zákonů na ochranu svobody projevu. Jeho žádost byla z neznámých důvodů zamítnuta. Spekuluje se o souvislosti s obviněním ze znásilnění dvou žen, jehož prošetřování dosud neskončilo.
Chytrý Němec prodává výrobky s názvem Heatball (Google překladač), což jsou topidla o výkonu 100 nebo 75 W určená pro montáž do patice E27 nebo E40. Jako vedlejší produkt při provozu vzniká světlo.
Věděli jste, že reklama na Slovensku nesmí obsahovat cizojazyčné texty, a pokud už je obsahuje, musí být uvedena i slovenská verze? Nitrianske noviny uveřejnily inzerát v maďarštině a teď musí zaplatit pokutu 1500 € (asi 37 000 Kč).
Ve francouzském městě Nice bude od 1. listopadu spuštěno využívání kamerového systému pro ukládání pokut za nesprávné parkování. Zatím se bude jednat jen o tři ulice, s expanzí systému kamer lze očekávat rozšíření i do dalších částí města.
Dvacetiletý kalifornský student našel na svém autě tajné sledovací GPS zařízení. Jeho kamarád fotografie štěnice zveřejnil na webu. Následně si pro studenta došla šestice agentů FBI a policistů s tím, že chtějí nalezené zařízení zpět.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.