OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Opět se diskutuje o návrhu zakázat anonymní předplacené karty pro mobilní telefony - prý se přes ně domlouvá víc než 70 % zločinů. Někteří politici napříč politickým spektrem návrh podporují.
Nebezpečným precedentem je rozhodnutí Městského soudu v Praze. „Soudce Jaromír Jirsa nyní rozhodl, že Internet Info musí zmíněné diskuzní vlákno do měsíce odstranit.“ O kauze Prolux jsme vás informovali již v prosinci loňského roku (tehdy se jednalo o soud s CPress Media).
Návrh na zrušení zákona, který počítá se zavedením elektronických vinět místo dálničních známek pro osobní automobily, nebyl přijat. Proto je pravděpodobné, že budou viněty od roku 2011 skutečně zavedeny.
Státní ústav pro kontrolu léčiv dostal od Úřadu pro ochranu osobních údajů pokutu 2,3 milionu Kč za to, jakým způsobem při provozu centrálního úložiště receptů nakládal s osobními údaji. Rozhodnutí o uložení pokuty zatím není pravomocné.
Podle informací v blogu Daniela Dočekala Pooh.cz plánuje ČSSD zřízení úřadu pro dozor nad Internetem. Úřad by měl podléhat premiérovi a mít pravomoci udílet pokuty, nařizovat odstranění obsahu a blokovat přístup k webům.
Cenzura Internetu na Novém Zélandu byla potichu spuštěna (článek, tiskovka). Zatím je na dobrovolné bázi a zapojeni jsou dva velcí poskytovatelé. Cenzuruje se - jako obvykle - podle neveřejného blacklistu spravovaného vládou. Po technické stránce to funguje tak, že cenzor přes BGP propaguje falešné cesty na cenzurované IP adresy, aby šel provoz na ně přes něj. U něj běží aplikační proxy, která na základě L7 analýzy požadavky buď povolí nebo zahodí. Například pro obejití cenzury webu tak stačí použít HTTPS.
Podle Úřadu pro ochranu osobních údajů nebude centrální úložiště receptů na léčiva ani po novelizaci příslušného zákona splňovat zákonné požadavky na ochranu soukromí. Hlavní námitka směřuje k tomu, že navrhovaná podoba stále významně překračuje účel, ke kterému úložiště vzniklo.
Policie údajně pošle operátorům ročně přes 100 000 požadavků na poskytnutí provozních a lokalizačních dat uchovávaných podle evropské směrnice o „data retention“ implementované v českém zákoně o elektronických komunikacích. Skupina poslanců proto chce, aby se zákonem zabýval ústavní soud.
Severokorejský dělník byl popraven za to, že svému kamarádovi v Jižní Koreji zavolal z pašovaného mobilu a hovořil o ceně rýže a o těžkých podmínkách ve své zemi.
V rámci boje se vzrůstající kriminalitou a terorismem na ruském Severním Kavkazu chce Rusko začít odebírat otisky prstů a vzorky DNA od všech tamních převážně muslimských obyvatel, oznámil minulý týden náčelník vyšetřovatelů ruské generální prokuratury Alexandr
Bastrykin.
Znepokojující jsou především úvahy, že by se tato praxe mohla rozšířit na celé Rusko.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.