OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Zakladatel serveru Wikileaks, Julian Assange, byl ve Švédsku obviněn ze znásilnění dvou žen. Stalo se tak měsíc poté, co server Wikileaks zveřejnil 75 tisíc záznamů americké armády z Afghánistánu. Obvinění ale bylo krátce potom staženo. Zprávu přinesla CNN.
Ministerstvo zdravotnictví spálilo vakcíny za 30 milionů korun. Zkazily se, protože je nikdo nechtěl. Zbytek vakcín se má použít jako očkování proti sezónní chřipce. Tedy za předpokladu, že proti ní budou účinné (bude podobný kmen).
Evropský parlament vyvíjí (čti: přesunul peníze daňových poplatníků na vývoj) počítačovou hru ve stylu Second Life. Hráči si v ní prý vyzkouší, jak funguje evropská demokracie v praxi.
Tesco příští týden spustí program věrnostních karet pro zákazníky. Bude tak sledovat, kdo co a jak často nakupuje a podle toho sestavovat slevy a dávat klientům přesně cílené nabídky.
Alena Gabrielová, majitelka kavárny v Plzni, si na poličku postavila jako dekoraci starý nefunkční televizor. Do místnosti kavárny navíc nevede žádný anténní kabel. Přesto musí zaplatit poplatky za televizní přijímač (135 Kč měsíčně), úrok z prodlení, pokutu 10 000 Kč a soudní výlohy.
Projekt blok.hrach.eu, databáze českých a slovenských poskytovatelů cenzurujících Internet, slaví narozeniny. Za první rok od spuštění se ikonka dostala na stovky různých webů a bylo obslouženo deset milionů požadavků. Při průměrné velikosti jednoho požadavku 11,9 kB se tak přeneslo téměř 120 GB dat, část ze serveru u firmy FinalTek, část od vpsFree.cz. V databázi je evidováno 10 cenzurujících poskytovatelů a od nich pochází 33,6 % požadavků.
Poradcem pro lidská práva ČR se stal MUDr. Roman Joch, který podporuje „metodu zostřeného výslechu“ (zahrnující mj. waterboarding) a navrhuje „kontrolované mučení za účelem získávání informací, jež zachrání nevinné životy“.
Ministerstvo školství, mládeže a tělovýchovy vyhlásilo Program na podporu sociálně znevýhodněných romských žáků středních škol na září - prosinec 2010. Program se vyhlašuje každoročně od roku 2003 a například na letošek má rozpočet 64 milionů korun. Pokud máte správnou národnost a splňujete uvedené podmínky, můžete se přihlásit a podělit se o své zážitky v diskuzi. Autor zprávičky má kompatibilní věk, ale ostatní požadavky bohužel nesplňuje.
Situace ve Francii se stále zhoršuje. Chystá se oficiální státní spyware, který bude na počítačích uživatelů logovat všechny „podezřelé aktivity“. Presumpce viny. Podrobnosti přináší Lupa.cz: Ochrání datové přiznání před digitální gilotinou?
V rádiu TalkSPORT běžela reklama, která nabádá lidi ke sledování podezřelých aktivit kolem (například že někdo neplatí kartou, zatahuje záclony nebo se příliš nebaví se sousedy) a následnému udávání na antiteroristickou linku. Po plakátech a letácích je to další velmi zajímavý případ. Kompletní text reklamy v pokračování zprávičky.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.