OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Úřad vlády dotuje novou Kampaň proti rasizmu. Cílem je znechutit veřejnosti výrobky některých oděvních firem. Pokud má podezření na porušení příslušných paragrafů, tak ať zahájí s výrobcem nebo dovozcem příslušné řízen. Takhle to zavání akorát pomluvou.
Veškerá práva k webovým stránkám a logu Úřadu pro ochranu osobních údajů jsou vyhrazena a chráněna podle autorského práva. Použití loga Úřadu pro ochranu osobních údajů je možné pouze na základě předchozího písemného svolení. Zdůvodněné žádosti o použití loga přijímá tiskové oddělení Úřadu.
Právě byly zakázány 75W žárovky. Prodejci mohou ještě doprodat to, co mají na skladě, ale nové již odebírat nesmí. Za rok (1. 9. 2011) budou následovat žárovky o výkonu 60 W, v roce 2012 pak „čtyřicítky“. R.I.P.
Policie obvinila 100 podezřelých. Údajně se jednalo o směnnou burzu na nekomerční bázi: „jeden předal něco druhému, ten mu přeposlal zpátky materiály, které získal od někoho dalšího“. Má šanci tomu zabránit cenzura veřejně dostupných webů? A jak pomůže dětem?
Ministr vnitra Radek John chce změnit zákon tak, aby stát již neproplácel mobilním operátorům náklady spojené s provozováním odposlechů. Z dostupných informací bohužel není jasné, zda se to týká i ostatních podnikatelů v elektronických komunikacích a zda se to vztahuje i na poskytování provozních a lokalizačních dat.
Protože se meziročně téměř zdvojnásobil počet cyklistů zemřelých při dopravních nehodách (a zejména při těch, které cyklisté zavinili), připravuje se novelizace zákona, která zavede pro všechny cyklisty povinné nošení přilby a reflexního oděvu.
V pražském metru se údajně začíná budovat nový bezpečnostní systém, který bude stát čtyři miliardy korun. „Komplexní zabezpečení“ má zahrnovat jak centrální řízení vlaků, tak i bezpečnost prostoru stanic a zázemí - s využitím kamerového systému, detektorů chemických látek a dalších prvků. Upozornil D-FENS.
Čerpací stanice budou mít kamery s OCR a budou kontrolovat, zda k nim nepřijelo natankovat kradené auto. Chytří lidé by si například každou hodinu stahovali seznam kradených aut, ti méně chytří by kontrolovali SPZ proti on-line databázi. Který způsob se bude používat v ČR sice není známo, ale asi tušíme…
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.