OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
V Indii začíná sčítání lidu kombinované se zaevidováním všech obyvatel (včetně fotografií a otisků prstů) a vydáním občanských průkazů. Celá operace má stát 60 mld. rupií (víc než 25 mld. Kč).
Pracovník firmy HumboldTec (provozující populární český Jabber server), který si nepřál být jmenován, nám do redakce přeposlal korespondenci s Radou EU pro životní prostředí. Ta považuje za nepřípustné používat pro propagaci symbol žárovky a požaduje změnu loga projektu Jabber a odstranění všech fotografií žárovek z grafiky serveru jabbim.cz. Oficiální oznámení změny je plánováno na příští týden. Zatím se můžete podívat na návrh nového loga.
Podle Evropského soudního dvora neporušila společnost Google zákony o ochranných známkách, když v systému AdWords umožnila zobrazování cizí inzerce podle ochranných známek firmy Louis Vuitton a dalších výrobců. Rozhodnutí je důležité pro další posuzování odpovědnosti provozovatelů za obsah vkládaný uživateli.
Policie ve Velké Británii požaduje po internetových kavárnách, aby sledovaly, co jejich zákazníci na internetu dělají. Důvodem je překvapivě boj proti terorismu. Podle Metropolitní policie několik usvědčených teroristů používalo internetové kavárny k plánování svých útoků. Opatření se týká i provozovatelů veřejných Wi-Fi hotspotů.
Australská vládní „Klasifikační rada“ zakázala ve filmech pro dospělé malá prsa a ženskou ejakulaci. Píše Sydney Morning Herald (v češtině informoval server Sexus.cz). Údajný důvod pro zákaz: „tato díla by mohla být považována za dětskou pornografii, i přesto že existuje potvrzení, že aktéři jsou starší 18 let“.
Pořad České televize Máte slovo, vysílaný 25.3.2010, byl zaměřen na téma "Nebezpečí Internetu". Kdo pořad neviděl, má možnost ho shlédnout v archivu ČT.
V Austrálii projednávají a připomínkují návrh na povinnou vládní cenzuru Internetu. „Chtějí tak prý lépe bojovat s šířením pornografie a dalšího nežádoucího materiálu.“ Povšimněte si, že „pornografie“ už nemá přívlastek „dětská“…
Podle čerstvé studie jsou děti na britských školách intenzivně sledovány kamerami. Drtivá většina středních škol má více než 20 kamer na chodbách, hřištích a některé dokonce i na toaletách. Podle autorky studie je míra sledování srovnatelná s mezinárodními letišti a věznicemi.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.