idiot guide to encryption

http://computer.howstuffworks.com/encry...

In te dogodki ko nekdo pobere en komad in ga RIAA zasači, kak se to zgodi, kako ga najdejo?

Dobijo te ko downlodaš preko P2P. SSL na strani nima veze s tem.

kaj pa glede P2P omrežji...naprimer vem da isohunt ima SSL, a to pomen da ko surfam na njem nekdo drug ne more vidt kje se nahajam in kaj počnem tam?

Nekaj takšnega. SSL je na TCP nivoju in ves HTTP promet je zavarovan. URL naslov strežnika ne vidi (recimo slo-tech.com), ampak ostalo (/forum/t384151) se ne vidi.

neki sem slišal o tem TORu in podobnem, kaj točn je to?

Več o TOR: http://www.torproject.org/
Tor je kar zaščiten, ampak še vseeno to ne pomeni, da ne morejo ugotoviti od kod promet prihaja. Poleg tega P2P preko TORa ni zaželjen.

ubistvu mene bolj kot teorija, zanima praktična aplikacija za domačega uporabnika.

TOR

Če nočeš, da tvoj ponudnik (Siol, T-2, Amis, ...) ve kaj delaš, potem lahko uporabiš kakšno plačljivo VPN rešitev ali strežnik z VPNjem. Vseeno bodo lahko izsledili ta strežnik ter brez težav tudi to, da ti dostopaš.

Ah takole. Ko si na Iso -karkoli je verjetno povezava res inkriptirana. Ko pa ti torent vlečeš od nekje, pa bi za varno povezavo morali imeti vsi ljudje, od katerih hkrati vlečeš inkriptirano povezavo. To seveda ni res.

Proxy je ene vrste prevajalnik. IP naslov, ki je bil dodeljen tvojemu računalniku in preko katerega se lahko spremlja kaj vse vlačiš z interneta se pri proxy-ju spremeni. Tako tisti na katerega si priključen preko proxja misli, da si nekdo drug. Tako recimo prelisičiš strani ki omejujejo ali zavračajo promet iz določene IP skupine - recimo youtube, ne dovoli ogleda nekaterih vsebin, ker smo v Evropi. Če se priključiš na USA proxy strežnik bo Youtube mislil, da si iz usa in boš lahko tisti film pogledal.

Hum... jaz razmišljam, da bi v Kiberpipi enkrat v kratkem naredil CryptoMaraton - predavanje, kjer nameravam razložiti vse (OK, skoraj vse) o šifriranju.

Prosojnice imam praktično že pripravljene, gredo pa od osnov, prikaza preprostih šifrirnih algoritmov (in kriptiranja na roke), do bolj kompleksnih konceptov in seveda varnosti.

Bom videl kako bom s časom, lahko pa prideš poslušat.

Na hitro. Tor omrežje je namenjeno anonimizaciji - znotraj omrežja se skrije tvoj pravi IP, ko pa prideš na izhodno točko se potem pošlje zahtevek za ogled npr. spletne strani do končnega strežnika. Torej, ti ne surfaš po Tor omrežju, pač pa preko njega. Namesto,d a bi se spletni zahtevki pošiljali direktno od tvojega računalnika na web server, gredo preko Tor omrežja, ki tako skrije tvoj rpavi IP.

Je pa uporaba Tor omrežja nevarna, če ne veš kaj počneš. Izhodna točna namreč lahko prestreza tvoj promet ali izvaja MITM napad, zato je anonimizacijo treba vedno uporabljati skupaj s šifriranjem.

VPN... uporabljam. V bistvu gre za to, da se ves promet spelje na nek IP naslov in potem vse skupaj izgleda, kot da ti surfaš iz tega IP naslova. Če se recimo povežeš na VPN strežnik v ZDA, bo izgledalo, kot da surfaš od tam.

Spet - pozor. Kaj pa če si pred tem surfal preko navadne povezave in ti je spletni strežnik poslal cookie? Z novim obiskov preko VPN, pa te s cookiejem identificira in takopoveže tvoj stari (pravi) IP in VPNjev IP...

Glede P2P omrežij. Treba je ločiti šifriranje od prometnih podatkov. Ti lahko sicer šifriraš prenose, vendar se bo še vedno videlo od koga prenašaš. Če recimo RIAA postavi honeypot, lahko točno vidi, da nek film od njihovega računalnika do svojega prenašaš iz tvojega IPja. In desetkratno šifriranje datotek vmes ti ne pomaga prav nič.

Jaz se tudi že nekaj časa pripravljam, da napišem nekaj o šifriranju za telebane. Ker še nisem naletel na zapis (v slovenščini), kjer bi bilo to razloženo na preprost in razumljiv način.

Žal ni samo to problem.

Stvar je podobna kot v vojski. Ti vojaku lahko razložiš kako se uporablja puška, pa kako se strelja v tarčo. In bo morda zadevo kar obvladal - na vajah.

V vojni, ko je frka, se pa stvari zakomplicirajo.

Zato rabiš trening, trening in trening. Jaz uporabljam šifriranje (diskov, pošte) vsak dan, in šele po določenem času se navadiš zadeve uporabljati seamless...

Zato rabiš trening, trening in trening.

To pa je dokaz, da ni problem samo v navodilih za rabo šifriranja, ampak tudi v programih samih, ki niso narejeni dovolj user friendly.

O.

Security je vedno tradeoff z usability. Ni druge. Zato varnostni mehanizmi nikoli niso dovolj user friendly.

kjer niti bruteforce ne pomaga.

zakaj pa pri OTP bruteforce nebi pomagal? razumem da pri dovolj dolgem ključu prej vesolje zmrzne, kakor bruteforce uspe

Aja, še tole. Pri OTP mora biti dolžina ključa enaka dolžini sporočila.

Zaradi cesar je vse skupaj v praksi totalno neuporabno. Ce lahko spravis x bajtov "key-streama" varno do naslovnika, lahko spravis cez tudi dejansko sprocilo. Ce nek vohun nosi s seboj kljuce "za 1 TB podatkov vnaprej" pa tudi ni ravno tako kul. Razen ce bi bilo govora o kvantni kriptografiji, kjer se da ugotoviti, ce je bil prenesen podatek spremenjen in obstaja precej enostaven algoritem kako se na obeh straneh izbere enak random kljuc poljubne dolzine (oz. kako ena stran to spravi k drugi). Ampak tudi to je za enkrat se bolj teoreticno.

Ko govoris o XOR-anju. Fora je v tem, da je XOR-anje enega bajta z enim bajtom kljuca enkripcija, medtem ko je ponovno XOR-anje (kar iznici ucinek prvega) dekripcija. Simple and efficient.

Zakaj je zadeva "nezlomljiva" z bruteforcom? Ti v bistvu dobis za vsako crko cyphertexta, vse mozne crke plaintexta. Vsak znak je neodvisen od drugega. Ce ne ves kaj pise in ne poznas kljuca prakticno lahko interpretiras 20 znakov na vse mozne nacine. Med njimi bo najbrz precej smiselnih zaporedij znakov, ampak nimas pa nobenega nacina kako ugotovis kaj je pravilno oz. tisto kar je bilo poslano. Drugace je ce je recimo vsak 10 znak sifriran enako. Potem lahko ugotovis ali je ce desifriras vsak 10 znak na en nacin tisto bolj smiselno kot ce ga drugace (enkrat dobis berljiv string, drugic pa ne).