OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Přestože policie dosud popírala, že by se mýtné brány s kamerami využívaly k jiným účelům, než je kontrola placení mýtného, skutečnost je zřejmě jiná. Pro účely zatčení hledaného Tomáše Pitra byly pravděpodobně použity právě kamery na mýtných branách, stejně jako řada jiných prostředků (přičemž některé z nich mohly být už za hranou zákona).
Článek na csoonline.com popisuje pět způsobů, kterými se zaměstnanci mohou dostat ke stránkám, které jim zcenzurovalo firemní IT. Článek poslouží jako inspirace jak pracovníkům, toužícím po informacích a zábavě, tak jejich zaměstnavatelům, kteří jim v tom chtějí zabránit.
České firmy podceňují počítačovou bezpečnost a odcizit data je jim mnohdy snadné. Obezřetnost je tedy na místě, když jakékoli firmě svěřujete své osobní údaje – i když je sami úmyslně nemusí zneužít, mohou si je nechat ukrást. Navíc přes než 85 % uživatelů používá stejné heslo pro vstup do nejrůznějších aplikací – např. do Facebooku i do firemní sítě. Píše systemonline.cz.
Francie v rámci HADOPI plánuje státní spyware. Ten má zaznamenávat, kterou aplikaci kdy uživatel spustil, jaký soubor stáhl a další podobné informace. Aplikace by prý měla jít vypnout, každé své vypnutí ovšem také zaznamená.
Vláda diskutuje o tzv. rezervách povodňové solidarity. Jedná se o speciální fond, do kterého bude každý přispívat zhruba 100 Kč měsíčně. Peníze z fondu budou použity na opravu škod po budoucích povodních. Je to tedy takový hybrid mezi státním pojištěním proti povodním, které budou platit i lidí žijící na kopci, a fixní „daní“. Zda bude založen i fond na požáry, vichřice a jiné živelní katastrofy není zatím známo.
WHO vyhlásila oficiální konec pandemie prasečí chřipky. Prasečí chřipka si za dobu svého působení vyžádala 18 449 obětí (na běžnou sezónní chřipku zemře každý rok 250 000 - 500 000 lidí). ČR objednala milion vakcín; 70 000 aplikovala, 300 000 si vzal výrobce zpět a 600 000 nám zbylo.
Na serveru NWOO vzniká návrh petice proti cenzuře v České televizi, která má údajně zamlčovat pravdu o 11. září 2001. V komentářích se můžete vyjádřit a poslat svoje návrhy a připomínky.
Na poslední stránce dnešní MF Dnes vyšel článek o Australanovi Julianu Assange zakladateli serveru WikiLeaks, který přinesl veřejnosti řadu tajných dokumentů. Článek naleznete i na serveru Technet.
Výrobce chytrých telefonů značky BlackBerry má problém – tyto přístroje mezi sebou komunikují šifrovanými zprávami, což státním orgánům znemožňuje odposlouchávání. Některé státy proto začínají zakazovat provoz těchto telefonů. Informovalo AbcLinuxu s odkazem na
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.