Wired News - Lukas Grunwald, varnostni svetovalec podjetja DN v Nemčiji, naj bi shackal novi nemški potni list. V četrtek je pokazal celoten postopek na Black Hat varnostni shodu v Las Vegasu. Uspelo mu je klonirati poljuben potni list ali ga celo prenesti na Smartcard. Če to kartico vstavi v potni list, RFID čitalci preberejo le to in ne njegovega potnega lista.
Postopek mu je vzel dva tedna časa, vse informacije je pridobil na internetni strani ICAO - International Civil Aviation Organization, kjer so objavljeni zahtevani standardi za tovrstne potne liste.
Nove potne liste z RFID-i so sicer najprej shackaliNizozemcem.
RFID ima probleme. Tudi Davidu Bechkamu so ukradli dva njegova draga konjička. Točneje BMW X5. Šibka točka je bil RFID oz. "key-less". Če programje za krekanje uide na internet, se boste lahko tresli vsi lastniki brezključnih avtomobilov.
Se pravi zakaj že naj bi vsi imeli elektronske potne liste, osebne izkaznice itd? Ker so bolj varne!? 2 tedna da ti naredijo nov potni list. Še kakšen dan več, pa bo ponarejen potni list bolj varen od originala!
bo cool ko bomo cez 20 let lahko smrkavcem prodajal kljuc in kljucavnico. "kaj pa je to?" preverjen varnostni sistem za vrata. "kje gre pa strom not??"
"The encryption algorithm used in the TI DST tags is an unpublished, proprietary cipher ..."
In vsi, ki smo vsaj pet člankov o kriptografiji prebrali, vemo kaj to pomeni.
Skrivanje šifrirnih algoritmov kaže na njihovo slabo varnost. To je ugotovil že Kerchoffs v 18. stoletju se mi zdi.
Sicer pa super. OK, zaenkrat je res mogoč samo cloning, ne pa tudi spreminjanje podatkov. Ampak to omogoča tudi eno posebno obliko napada, ko se terorist "skrije" za identiteto nekoga drugega. Nekakšen modificiran man-in-the-middle.
@lymph: "security through obscurity". Najslabsa varnostna politika ever. Skriva se kjluce, postopki sifriranja in desifriranja pa so javni, preverjeni, dokazani,...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Baje da sodobne asimetricne metode sifriranja ucijo na podiplomskem studiju na matematicnem faksu. Predavanja sklepam da so javna, tako kot vsa druga na univerzi, tako da so tudi postopki javni. Ampak ce je sifrirni postopek (zascita) res dober, potem brez ustreznega kljuca ne mores nic.
Nekako tako kot ce izklopis oddajanje SSID pri wirelles mrezi in mislis da je zato bolj varna...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Nene, tukaj velja pravilo: če imaš nek šifrirni algoritem, pa je javen, pa imaš vhodni plain text, pa imaš še izhodni šifrirani tekst, nimaš pa ključa - pa KLJUB temu napadalec ne uspe skrekati sistema - potem je algoritem dober.
Najboljši so algoritmi, ki jih je znanstvena skupnost na dolgo in široko analizirala, našla vse varnostne luknje in jih tudi odpravila. ZATO je potreben javni review. Tipičen primer takega algoritma je Rijandel, danes znan kot AES. Tipičen primer slabega algoritma pa je DES, ki se je včasih veliko uporabljal v bančništvu.
, čeprov karica nos sm svojo številko (serisko), avto si jo pa zapomne. 