Heise - Nekateri proizvajalci USB ključkov med svojimi produkti ponujajo tudi take, ki imajo strojno vgrajeno podporo za šifriranje. Pri tem uporabljajo različne algoritme, Kingston (DataTraveler BlackBox, DataTraveler Secure - Privacy Edition in DataTraveler Elite - Privacy Edition), SanDisk (Cruzer Enterprise USB in Cruzer Enterprise FIPS Edition: CZ22, CZ32, CZ38 in CZ46) in Verbatim (Corporate Secure FIPS Edition in Corporate Secure USB Flash Drive) pa ponujajo take, ki podatke ščitijo z 256-bitnim AES algoritmom. Za nekatere so pridobili tudi poseben certifikat (FIPS 140-2 Level 2), ki naj bi potrjeval, da je uporaba takšnih ključkov zelo varna oziroma je na njih mogoče prenašati tudi zaupne vladne dokumente.
Postopek validacije oz. pridobitve certifikata naj bi bil strog in produkti, ki certifikat pridobijo varni. Tako teorija.
V praksi pa se je izkazalo, da je postopek certificiranja precej nenavaden, če ne celo izredno pomanjkljiv. Nemško podjetje SySS je namreč že certificirane ključke analiziralo in ugotovilo resne pomankljivosti v zaščiti.
Ugotovili so namreč resno pomanjkljivost v programu za preverjanje vnesenega gesla. Program namreč preveri ali je uporabnik vnesel pravilno geslo, in če je temu tako, USB ključku pošlje poseben - in vedno enak - niz znakov, s katerim se podatki na USB ključku odklenejo.
Strokovnjaki podjetja SySS so nato napisalo poseben program, ki ne glede na vneseno geslo USB ključku vedno pošlje ustrezen avtorizacijski niz, s katerim podatke na njem odklene.
Po obvestilu je Kingston pričel z odpoklicom ranljivih USB ključkov, SanDisk in Verbatim pa sta uporabnike obvestila o "potencialni ranljivosti" in jim poslala programski popravek.
So varnostni certifikati zgolj papirnati tiger?
Novice » Zasebnost » Razbiti USB ključki s strojno podporo šifriranju podatkov
jlpktnst ::
Čaki, samo kako lahko to le s popravkom spremenijo?
Nekaj smrdi tu :D
Nekaj smrdi tu :D
Zgodovina sprememb…
- spremenil: jlpktnst ()
Pyr0Beast ::
Verjetno je flash enak vsem ostalim ključkom in je kriptiran samo dostop do njega ?
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Good work: Any notion of sanity and critical thought is off-topic in this place
BaToCarx ::
Um Kaj ti pomaga ga met na kljucku? Imas kljucek cel zakodiran, ali samo eno datoteko 1gb recimo ki je zakodirana?
poweroff ::
TC omogoča tudi volume encyption.
Sicer pa tole je res lame. In sramota za standarde. Sicer je pa marsikje tako - na papirju je vse urejeno, v realnosti pa je stanje katastrofalno.
Ampak važno, da je zadoščeno BS7799 in ostalim standardom in da se lahko pohvalimo s certifikatom...
Sicer pa tole je res lame. In sramota za standarde. Sicer je pa marsikje tako - na papirju je vse urejeno, v realnosti pa je stanje katastrofalno.
Ampak važno, da je zadoščeno BS7799 in ostalim standardom in da se lahko pohvalimo s certifikatom...
sudo poweroff
Volk| ::
Jaz mam enako kot steev, trueCrypt na ključku. Kontejner velik nekaj več kot 1 GB in zadeva špila.
Enkrat sem edino zgubil ključ(zaklenem z geslo in s ključem) in sem lahko vse skup pozabil kar sem not zaklenil.
Namreč, ni varijante da to odkleneš. Priporočam vsem ki rabijo nekaj varnega
Enkrat sem edino zgubil ključ(zaklenem z geslo in s ključem) in sem lahko vse skup pozabil kar sem not zaklenil.
Namreč, ni varijante da to odkleneš. Priporočam vsem ki rabijo nekaj varnega
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
BaToCarx ::
Ja Matthai, sej to sem ga vprasal. :P
Ker meni "Jest mam TrueCrypt na usb ključku." pomeni samo da ima exe gor :D
In ja je bolj varen. Sploh ker imas razlicne mehanizme, in nisi omejen samo kot pr kupljenih resitvah... aja pa dela pod windoze, lunix in macos.
Ker meni "Jest mam TrueCrypt na usb ključku." pomeni samo da ima exe gor :D
In ja je bolj varen. Sploh ker imas razlicne mehanizme, in nisi omejen samo kot pr kupljenih resitvah... aja pa dela pod windoze, lunix in macos.
Isotropic ::
TC omogoča tudi volume encyption.
Sicer pa tole je res lame. In sramota za standarde. Sicer je pa marsikje tako - na papirju je vse urejeno, v realnosti pa je stanje katastrofalno.
Ampak važno, da je zadoščeno BS7799 in ostalim standardom in da se lahko pohvalimo s certifikatom...
poznano ja. sicer na primeru standarda o kakovosti iso 2000 a vseeno.
Volk| ::
Ja Matthai, sej to sem ga vprasal. :P
Ker meni "Jest mam TrueCrypt na usb ključku." pomeni samo da ima exe gor :D
Pravzaprav imam res tudi exe gor(neinštalacjisko verzijo). Tako, da če vključim usb v katerikoli računalnik, lahko zaženem TrueCrypt z ključa s katerim pol odprem kontejner
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
phong ::
A lahko kdo kakšen link pošlje, kjer bi bilo enostavno razloženo, kako te ključki in njihovo kriptiranje sploh delujejo?
Volk| ::
Mene pa pa zanima ali ta ključek omogoča dostop do datotek večih prstnih odtisov/uporabnikov?
Treba namestit kak software na računalnik ali pa samo vtakneš not in voila...?
Treba namestit kak software na računalnik ali pa samo vtakneš not in voila...?
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
denial ::
Sicer pa tole je res lame. In sramota za standarde. Sicer je pa marsikje tako - na papirju je vse urejeno, v realnosti pa je stanje katastrofalno.
Standards imply rules, but hackers don't play by the rules.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
FireSnake ::
Hmm, zakaj bi nekdo za obcutljive podatke uporabljal polizdelek?
Za kaj bolj resnega je Iron Key
https://www.ironkey.com/
cena je temu primerna.
Za kaj bolj resnega je Iron Key
https://www.ironkey.com/
cena je temu primerna.
Poglej in se nasmej: vicmaher.si
5er--> ::
Ja saj... lahko samo upaš in jim verjameš na besedo, da so stvari varne in brez backdoorov.
Volk| ::
Če je na kompu nameščen keylogger, ni nobena enkripcija ne pomaga. Geslo je razkrito.
Edino geslo z kombinaciji z ključem je pol rešitev(kot ima rešeno TrueCrypt)
Edino geslo z kombinaciji z ključem je pol rešitev(kot ima rešeno TrueCrypt)
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
ALT ::
in seveda kljuc shranjen na usb kljucku z truecryptom.. torej v obeh primerih potrebujes geslo in kljucek..
MrStein ::
Že rečeno, ampak: Uporabiš TrueCrypt (ali EFS ali BitLocker) in se smeješ "hardverskim" "rešitvam" in "tehnologijam".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Saj hardwerske rešitve niso za odmet. Sploh če bi bile povsem neodvisne - recimo USB ključek z mini tipkovnico.
Vprašanje je, kako se takale luknja lahko certificira...
Vprašanje je, kako se takale luknja lahko certificira...
sudo poweroff
FireSnake ::
Že rečeno, ampak: Uporabiš TrueCrypt (ali EFS ali BitLocker) in se smeješ "hardverskim" "rešitvam" in "tehnologijam".
Tako, kot se mi zdajle smejimo tebi, ane?
Poglej in se nasmej: vicmaher.si
poweroff ::
Ne podcenjevat hardwerskih rešitev. Če so pravilno implementirane so lahko veliko boljše kot softwerske. Lahko zaznajo "tampering with".
sudo poweroff
MrStein ::
Čemu se smeješ, FireSnake? (da se še ostali)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
FireSnake ::
Njega dni sem se imel (se na faxu) priliko pogovarjat z enim tipom, ki je bil v teh vodah, kar se tice kriptiranja, pa se tudi ostale stvari je obvladal.
No, rekel mi je, da so eni razvili sifrirni algoritem, ki bi naj bil res imun na vse napade.
Nikoli ga niso izdali!
Zakaj?
Zaradi pritiska FBI, CIE in vse ostale srenje, ki jim ni v interesu, da je v mnozicni uporabi sifrirni algoritem, ki ga oni ne bi mogli razbit (ce so kake linije "zakodirane" pa verjetno se real time odsifrirat).
No, pa oni tudi nimajo vseh najbolj pametnih ljudi pod okriljem, od tu naprej zgodbo prepuscam tvoji domisljiji.
Namigujem na to, da so vsi ti sifrirni algoritmi, ki so na voljo nam smrtnikom ena neslana sala in 100% varnosti tako nimamo imamo zgolj priblizke.
Vse, kar se uporablja je zgolj zacita pred tem, da kljuc zgubis, pa ti vsak script kiddy ne bo mogu ukrats certifikata za banko (99% ljudi bi si ga verjetno lahko vtaknilo tja, kamor nikoli ne posije sonce) - ce si ze dovolj neumen, da kaj takega sploh nosis na USB kljucku.
Po vsem povedanem, bi pa vseeno (ce bi ze rabil tovrstno zascito) posegel po Iron Keyu, ker ima par prijemov, ki so mi zelo vsec. Vseeno pa na tej zadevi ne bi nosil tako obcutljivih podatkov, da bi pomenlo "zivljenje in smrt".
Ko sem zacel pisat, sem imel se nekaj na umu, pa sem tokom pisanja pozabil, pa saj nima veze, bodi dovolj.
Edit: aja, menda sem to studiral, da imamo v veliki vecini verjetno sreco, da nismo zanimivi za napade ... menda sem to studiral. In to je se najboljsa tolazba, kar se tice zascite. Bi si upal trditi, da nam to daje boljso zascito, kot pa kak TrueCrypt :)
No, rekel mi je, da so eni razvili sifrirni algoritem, ki bi naj bil res imun na vse napade.
Nikoli ga niso izdali!
Zakaj?
Zaradi pritiska FBI, CIE in vse ostale srenje, ki jim ni v interesu, da je v mnozicni uporabi sifrirni algoritem, ki ga oni ne bi mogli razbit (ce so kake linije "zakodirane" pa verjetno se real time odsifrirat).
No, pa oni tudi nimajo vseh najbolj pametnih ljudi pod okriljem, od tu naprej zgodbo prepuscam tvoji domisljiji.
Namigujem na to, da so vsi ti sifrirni algoritmi, ki so na voljo nam smrtnikom ena neslana sala in 100% varnosti tako nimamo imamo zgolj priblizke.
Vse, kar se uporablja je zgolj zacita pred tem, da kljuc zgubis, pa ti vsak script kiddy ne bo mogu ukrats certifikata za banko (99% ljudi bi si ga verjetno lahko vtaknilo tja, kamor nikoli ne posije sonce) - ce si ze dovolj neumen, da kaj takega sploh nosis na USB kljucku.
Po vsem povedanem, bi pa vseeno (ce bi ze rabil tovrstno zascito) posegel po Iron Keyu, ker ima par prijemov, ki so mi zelo vsec. Vseeno pa na tej zadevi ne bi nosil tako obcutljivih podatkov, da bi pomenlo "zivljenje in smrt".
Ko sem zacel pisat, sem imel se nekaj na umu, pa sem tokom pisanja pozabil, pa saj nima veze, bodi dovolj.
Edit: aja, menda sem to studiral, da imamo v veliki vecini verjetno sreco, da nismo zanimivi za napade ... menda sem to studiral. In to je se najboljsa tolazba, kar se tice zascite. Bi si upal trditi, da nam to daje boljso zascito, kot pa kak TrueCrypt :)
Poglej in se nasmej: vicmaher.si
Zgodovina sprememb…
- spremenilo: FireSnake ()
poweroff ::
Zaradi pritiska FBI, CIE in vse ostale srenje, ki jim ni v interesu, da je v mnozicni uporabi sifrirni algoritem, ki ga oni ne bi mogli razbit (ce so kake linije "zakodirane" pa verjetno se real time odsifrirat).
Mit.
No, pa oni tudi nimajo vseh najbolj pametnih ljudi pod okriljem, od tu naprej zgodbo prepuscam tvoji domisljiji.
Namigujem na to, da so vsi ti sifrirni algoritmi, ki so na voljo nam smrtnikom ena neslana sala in 100% varnosti tako nimamo imamo zgolj priblizke.
Traparija. Ne to o 100% varnosti, ampak teorija zarote, ki se lepi na to.
Edit: aja, menda sem to studiral, da imamo v veliki vecini verjetno sreco, da nismo zanimivi za napade ... menda sem to studiral. In to je se najboljsa tolazba, kar se tice zascite. Bi si upal trditi, da nam to daje boljso zascito, kot pa kak TrueCrypt :)
Še večja neumnost.
To so sprevideli predvsem tisti srečniki e-bančništva, ki na računu sicer niso imeli nič, so pa preko njihovih računov kriminalci veselo prali denar. Vedno imaš kaj, kar je za nekoga zanimivo.
sudo poweroff
FireSnake ::
Matthai: ci nimas kaj bolj pametnega za povedat raje molci. Neumnost, zakaj? Ker se tebi tako zdi? Kdo pa si ti, da bi to sploh bilo merodajno?
Pri meni je preprosto, ce je tip meni lagal. Pa verjetno ni, ker ne bi imel od tega popolnoma nic. Hkrati pa si upam trditi, da mu, na tem podrocju o katerem se "kregamo" ne sezes (jaz tudi ne) niti do p od palca na nogi, zato bi bil na tvojem mestu (ne)malo previden, kaj oznacim za neumnost ... ker na koncu neumen izpades sam.
No, jaz sem svoje tako povedal, ni potrebe po nadalnji debati.
Edino tistemu, kako se lahko z uporabo TrueCrypta smejes hardverskim restitvam se pa (in slepi prepricanosti o superiornosti tega) res lahko le na glas krohocemo.
Pri meni je preprosto, ce je tip meni lagal. Pa verjetno ni, ker ne bi imel od tega popolnoma nic. Hkrati pa si upam trditi, da mu, na tem podrocju o katerem se "kregamo" ne sezes (jaz tudi ne) niti do p od palca na nogi, zato bi bil na tvojem mestu (ne)malo previden, kaj oznacim za neumnost ... ker na koncu neumen izpades sam.
No, jaz sem svoje tako povedal, ni potrebe po nadalnji debati.
Edino tistemu, kako se lahko z uporabo TrueCrypta smejes hardverskim restitvam se pa (in slepi prepricanosti o superiornosti tega) res lahko le na glas krohocemo.
Poglej in se nasmej: vicmaher.si
PaX_MaN ::
Kdo pa si ti, da bi to sploh bilo merodajno?
Kdo je bil pa ta tip, s katerim si se pogovarjal, da je sploh merodajen?
Zgodovina sprememb…
- spremenilo: PaX_MaN ()
5er--> ::
FireSnake -1
Matthai +1
Self own.
Matthai +1
Hkrati pa si upam trditi, da mu, na tem podrocju o katerem se "kregamo" ne sezes (jaz tudi ne) niti do p od palca na nogi, zato bi bil na tvojem mestu (ne)malo previden, kaj oznacim za neumnost ... ker na koncu neumen izpades sam.
Self own.
FireSnake ::
Kdo pa si ti, da bi to sploh bilo merodajno?
Kdo je bil pa ta tip, s katerim si se pogovarjal, da je sploh merodajen?
Vcasih je delal na faxu, zdaj je pa odsel v industrijo delat.
Poglej in se nasmej: vicmaher.si
Pyr0Beast ::
Aja, prej asistent, sedaj pa za trakom
Resno. Vsaj poslušajte se in malce kritično razmišljajte.
Resno. Vsaj poslušajte se in malce kritično razmišljajte.
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Good work: Any notion of sanity and critical thought is off-topic in this place
denial ::
@FireSnake:
Če je tip taka eminenca na področju kriptografije potem je verjetno pustil kakšno sled o svoji genialnosti (predstavitev, knjiga, članek...). Any reference?
Matthai je napisal kar nekaj strokovnih člankov o omenjeni tematiki in varnosti na splošno. Svetujem obisk lokalne knjižnice preden se do konca osmešiš.
Če je tip taka eminenca na področju kriptografije potem je verjetno pustil kakšno sled o svoji genialnosti (predstavitev, knjiga, članek...). Any reference?
Matthai je napisal kar nekaj strokovnih člankov o omenjeni tematiki in varnosti na splošno. Svetujem obisk lokalne knjižnice preden se do konca osmešiš.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
FireSnake ::
Ceprav sem ze prej rekel, da bom nehal bom pozrl svojo besedo.
Glede "Self own": priznati, da nekdo ve o neki temi vec, to ti je self own? Cestitke, zelo odraslo! Od kdaj otroski vrtec browsa tu gori?
Pyr0Beast: ce bi bil malo bolj razgledan, bi vedel, da lahko na faxu pocnes se kaj drugega, kot to, da si asistent ;)
denial: pisati strokovne clanke ... poglej, strokovni clanki so (lahko!) eno navadno flancanje. Komu bomo pa verjeli, se bomo pa ze sami odlocli. Mene Matthai s svojimi izjavami v tej temi se zdalec ni preprical (objavam navkljub, mene samo to, da ima objave, ne preprica), ker sodim po besedah, ki sem jih prebral v tej temi. Na konc koncev se pa menda lahko sami odlocimo, komu bomo verjeli, ane? Jaz pac verjamem "Kranjskemu Janezu", ki po besedah Pyr0Beast-a gnije nekje za tekocim trakom.
Me pa pisanje nekaterih (sem se ravno spomnil) spominja na teme, kjer se o grafiki oglasi Senitel (upam, da sem prav napisal). Vsi samo kimajo, ker sploh ne vedo kaj tip pise ... seveda, ce se jim pa zatakne ze pri poznavanju Bezierjevih krivulj (in podobnega), kako naj potem razumejo karkoli -smo ravno zadnjic imeli neko debato - ko se je zacela matematika je vse potihnilo.
Ne recem zdaj, da se na kriptografijo ne vem kako spoznam ... se pa dovolj, da imam svoje mnenje, ceprav "nekdo, ki ima veliko objav in mu vsi slepo kimajo, ker sem jim sanja ne kaj govori" trdi drugace.
Dopuscam pa moznost, da se motim - in ce se, se tako na svojo skodo in vas nima kaj za bolet. Now sue me!
Glede "Self own": priznati, da nekdo ve o neki temi vec, to ti je self own? Cestitke, zelo odraslo! Od kdaj otroski vrtec browsa tu gori?
Pyr0Beast: ce bi bil malo bolj razgledan, bi vedel, da lahko na faxu pocnes se kaj drugega, kot to, da si asistent ;)
denial: pisati strokovne clanke ... poglej, strokovni clanki so (lahko!) eno navadno flancanje. Komu bomo pa verjeli, se bomo pa ze sami odlocli. Mene Matthai s svojimi izjavami v tej temi se zdalec ni preprical (objavam navkljub, mene samo to, da ima objave, ne preprica), ker sodim po besedah, ki sem jih prebral v tej temi. Na konc koncev se pa menda lahko sami odlocimo, komu bomo verjeli, ane? Jaz pac verjamem "Kranjskemu Janezu", ki po besedah Pyr0Beast-a gnije nekje za tekocim trakom.
Me pa pisanje nekaterih (sem se ravno spomnil) spominja na teme, kjer se o grafiki oglasi Senitel (upam, da sem prav napisal). Vsi samo kimajo, ker sploh ne vedo kaj tip pise ... seveda, ce se jim pa zatakne ze pri poznavanju Bezierjevih krivulj (in podobnega), kako naj potem razumejo karkoli -smo ravno zadnjic imeli neko debato - ko se je zacela matematika je vse potihnilo.
Ne recem zdaj, da se na kriptografijo ne vem kako spoznam ... se pa dovolj, da imam svoje mnenje, ceprav "nekdo, ki ima veliko objav in mu vsi slepo kimajo, ker sem jim sanja ne kaj govori" trdi drugace.
Dopuscam pa moznost, da se motim - in ce se, se tako na svojo skodo in vas nima kaj za bolet. Now sue me!
Poglej in se nasmej: vicmaher.si
terryww ::
Zaradi pritiska FBI, CIE in vse ostale srenje, ki jim ni v interesu, da je v mnozicni uporabi sifrirni algoritem, ki ga oni ne bi mogli razbit (ce so kake linije "zakodirane" pa verjetno se real time odsifrirat).
Mit..
Pred leti je bila predstavitev (mnda v CCC), kjer sta dva imela predavanje o tem kako sta uspešno razbila šifriranje, ki ga uporabljajo gsm-i. Najprej kaj sta naredla, je bila razlaga, zakaj sta šla v javnost namesto da bi samo objavila kake članke. Kakorkoli že, zanimivo predavanje.
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
MrStein ::
- hw ključki (s certifikati) : ownani
- TruCrypt : neownan (primer ko ti nekdo izmakne ključek)
Meni je zaključek jasen: TC je tu in bo še v prihodnosti, HW zadeve pa prihajajo in odhajajo...
Ampak če ti poznaš nekoga, ki ful obvlada, imena pa nima, OK.
- TruCrypt : neownan (primer ko ti nekdo izmakne ključek)
Meni je zaključek jasen: TC je tu in bo še v prihodnosti, HW zadeve pa prihajajo in odhajajo...
Ampak če ti poznaš nekoga, ki ful obvlada, imena pa nima, OK.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Matthai: ci nimas kaj bolj pametnega za povedat raje molci. Neumnost, zakaj? Ker se tebi tako zdi? Kdo pa si ti, da bi to sploh bilo merodajno?
Slučajno sem o kriptografiji precej prebral in si zato domišljam, da o zadevi pa le nekaj vem. Seveda sepa lahko tudi motim. Obstaja samo en kripto sistem, ki ga je nemogoče zlomiti tako v teoriji, kot v praksi - OTP (one-time pad). Vendar pa se zadeva v praksi ne uporablja, ker je sistem zelo nepraktičen za uporabo. Poleg tega ga je ob napačni uporabi zelo lahko zlomiti -- več o tem glej projekt Venona.
Glede pritiskov FBI in CIE - to je traparija, ker je največ pritiskov izvajala NSA. FBI pa je sicer pred leti res začel neko mednarodno akcijo, s katero naj bi se sprejela neka resolucija o prepovedi kriptografije, vendar je bil približno enako uspešen kot španski kralj, ki je od papeža v srednjem veku zahteval, naj kriptografijo razglasi za črno umetnost.
Je pa NSA precej "sodelovala" pri dizajniranju DES-a, to je res. Vendar so že v 1950 letih ugotovili, da je open research bolj pomemben in za njih tudi boljši od zapiranja. Več o tem pa si preberi na temo projekt Lightening.
Današnji kripto mehanizmi (uveljavljeni) so predmet resnih znanstvenih analiz številnih matematikov po vsem svetu. Treba je pa še vedeti, da če nekdo nek sistem zlomi, ga lahko teoretično ali praktično. Prvo pomeni, da če bruteforce napad traja pol milijona let, je nekdo našel bližnjico, kjer uspešen napad traja samo četrt milijona let. Drugo pomeni, da je najdena bližnjica, ki omogoča razbitje v npr. pol ure.
Imam informacijo, da so menda na AsiaCryptu predstavili razbitje Kasumija (A5/3 - UMTS, GPRS), vendar grem stavit, da je razbitje teoretično in ne praktično. Članek žal še ni objavljen...
Poleg tega je danes večina napadov na resne kripto sisteme danes channel side napadov. Torej napad na slabo implementacijo in ne na same slabosti v algoritmu. Razen seveda na algoritme, ki jo jih "pomagale" razviti tajne službe, npr GSM A5/1.
BTW - kar se tiče kvantne kriptografije.... podobno kot OTP je nepraktična za uporabo, poleg tega pa sta znana vsaj dva uspešna napada nanjo. Prvi iz 008, ki je sicer tipičen channel side, potem je pa še tale, ki je pa veliko bolj resen. Zato je kvantna kriptografija kar se mene tiče off.
Tako, da smo v praksi trenutno kar lepo na AES-u in podobnih (Twofish, Blowfish,...).
Hkrati pa si upam trditi, da mu, na tem podrocju o katerem se "kregamo" ne sezes (jaz tudi ne) niti do p od palca na nogi, zato bi bil na tvojem mestu (ne)malo previden, kaj oznacim za neumnost ... ker na koncu neumen izpades sam.
Se opravičujem ker sem napisal pavšalno in brez obrazložitve, vendar trdim, da je opisan ("tvoj") scenarij skrajno neverjeten in da gre verjetno za slabo poznavanje dejstev - nekdo je pač z levim ušesom ujel različne podatke in potem malce po svoje sestavil zgodbo, ki napol temelji na dejstvih, na pol pa na domišljiji.
Pred leti je bila predstavitev (mnda v CCC), kjer sta dva imela predavanje o tem kako sta uspešno razbila šifriranje, ki ga uporabljajo gsm-i. Najprej kaj sta naredla, je bila razlaga, zakaj sta šla v javnost namesto da bi samo objavila kake članke. Kakorkoli že, zanimivo predavanje.
Dve predavanji sta bili. In Steve tip, ki je največ odkril) je imel zaradi svojih odkritij kar nekaj težav s tem. Konkretno z MI5 v Heathrowu. Precej zabavna zgodbica, ampak rahlo neprijetna. V javnost pa njegova odkritja ravno zato niso šla.
Projekt THC-ja so sicer uspešno zaustavili, vendar smo se preostali člani skupine kasneje zbrali pod okriljem CCC-ja in imenom Airprobe in letos je imel Karsten Nohl uspešno predstavitev praktičnega napada. Demo je sicer odpadel (zaradi groženj GSMA), interno pa se na mailing listi marsikaj dogaja, predvsem pa se software in mavrične tabele razvijajo dalje. Ravno včeraj se je našel nek tip, ki razvija prilagojen USRP za mobilno telefonijo. Morda bo vse skupaj celo cenejše - okrog 300 EUR.
Jaz sem "pridruženi" član skupine (v zadnjem času žal precej neaktiven), sem pa nekaj časa urejal spletno stran. Doma imam pa tudi nekaj zanimive opreme. Če bi se pa našel ustrezen sponzor, ki je pripravljen pogrešat 1000 EUR, se pa o raziskovanju na to temo lahko začnemo pogovarjati tudi v Sloveniji...
sudo poweroff
FireSnake ::
Glede pritiskov FBI in CIE - to je traparija, ker je največ pritiskov izvajala NSA.
Amere sem omenil zglj kot primer .... nisem vedel na pamet, kdo je pritiskal. V glavnem, Ameri so tezili.
Glede vsega sem razlozil, le glede objave imena ne; ni mi, da bi obesal tule gor neko ime brez dovoljenja osebe. Jaz sem njegovim besedam verjel in to je zame dovolj.
Bi pa omenil, da si zdaj zacel brenkati na drugo struno, kar se tice tona pisanja.
Hvala za info, si bom malo pogledal in bom mogoce, cez cas, imel drugacno mnenje (podobno tvojemu, to bodo eni veseli).
Kar pa se tice tistega jurja ... zakaj bi 1000€ pomenilo razliko, ali se bo razvijalo, ali ne? Ce je zanos ...
Poglej in se nasmej: vicmaher.si
Zgodovina sprememb…
- spremenilo: FireSnake ()
oldguy ::
Fire Snake: Bi pa omenil, da si zdaj zacel brenkati na drugo struno, kar se tice tona pisanja.
E, neumnosti si ti prvi začel ven metati. Si si zaslužil še kak drugačen ton zaradi zgodbic o unbreakable cipheringih, ki jih zlobne vlade zatirajo. Take zgodbice so v rangu Iluminatijev, Moonlandinga, 9/11, Kenye in kar je še takšnih bedastoč. Sorry, ampak dokler ni imena, članka in algoritma, je tvoj prijatelj zgolj deda mraz za otroke.
Nekateri se namreč z raznimi šifriranji včasih dejansko celo ukvarjajo/mo...
Zgodovina sprememb…
- spremenil: oldguy ()
poweroff ::
Kar pa se tice tistega jurja ... zakaj bi 1000EUR pomenilo razliko, ali se bo razvijalo, ali ne? Ce je zanos ...
Tolk stane osnovni hardware.
sudo poweroff
FireSnake ::
Fire Snake: Bi pa omenil, da si zdaj zacel brenkati na drugo struno, kar se tice tona pisanja.
E, neumnosti si ti prvi začel ven metati. Si si zaslužil še kak drugačen ton zaradi zgodbic o unbreakable cipheringih, ki jih zlobne vlade zatirajo. Take zgodbice so v rangu Iluminatijev, Moonlandinga, 9/11, Kenye in kar je še takšnih bedastoč. Sorry, ampak dokler ni imena, članka in algoritma, je tvoj prijatelj zgolj deda mraz za otroke.
Nekateri se namreč z raznimi šifriranji včasih dejansko celo ukvarjajo/mo...
Bi bilo treba narisat? A sem koga (tebe) silil, da nekaj verjame(s)? Preberi malo, kar smo zgoraj napisali, ker imas rahle tezave z razumevanjem prebranega.
Jaz (ja, beri, JAZ) njegovim besedam se vedno verjamem, pa ne rabim nobenega imena tule gor limat. Nobenemu pa ne vsiljujem nic. Tako ali tako sem pa jaz (ja, JAZ) na zgubi, ce se motim. Povej, ce se vedno ne razumes, ti se 3x napisem!
Glede ukvarjanja z necim pa .... se mi zdi, da lastne reference nekak niso zazeljene
Matthai: jurja bi pa ze nekak zmetali na kup...
Poglej in se nasmej: vicmaher.si
Zgodovina sprememb…
- spremenilo: FireSnake ()
gzibret ::
Zaenkrat še nisem nič brisal, ampak izjave tipa:
so sklicevanje na lastno avtoriteto. Temu težko rečemo "argument". Poleg tega se lepo prosim v izogib brisanju vzdržite osebnih napadov.
"Mi je rekel eden, ki se spozna na zadeve, prej je delal na faxu, sedaj pa v industriji,"
so sklicevanje na lastno avtoriteto. Temu težko rečemo "argument". Poleg tega se lepo prosim v izogib brisanju vzdržite osebnih napadov.
Vse je za neki dobr!
oldguy ::
Jaz (ja, beri, JAZ) njegovim besedam se vedno verjamem, pa ne rabim nobenega imena tule gor limat. Nobenemu pa ne vsiljujem nic. Tako ali tako sem pa jaz (ja, JAZ) na zgubi, ce se motim. Povej, ce se vedno ne razumes, ti se 3x napisem!
Glede ukvarjanja z necim pa .... se mi zdi, da lastne reference nekak niso zazeljene
Ni ti treba nič trikrat pisat, ker dvomim, da bo tudi v tretje kaj koristnega ven padlo. Ampak, kadar se tako lepo smejiš nekomu, so lastne reference še kako zaželjene. Pokažejo namreč, da premoreš vsaj približno poznavanje tematike...
Tudi ne razumem čisto, čemu noriš? Ti že lahko verjameš zaradi mene v Jezusa in Alaha skupaj, jaz pa si jemljem pravico da ti naravnost povem, da prodajaš bučke. Se ti ni treba ven metat zaradi tega. Če že mečeš kaj, meči argumente...
Torej, kje so flawi v TrueCryptovi implementaciji AES, da se lahko smejim s teboj? Kako so broken sami algoritmi? In, last but not least, kaj ima zraven NSA?
Zgodovina sprememb…
- spremenil: oldguy ()
denial ::
"Arrigo Triulzi pointed out that the "fixed memory content" that was mentioned in the paper is actually the encryption key used internally in these devices. Due to ease of manufacturing, this key is the same for all devices manufactured."
Vir: SANS ISC
Vir: SANS ISC
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | usb 3.0 zelo pocasenOddelek: Strojna oprema | 1718 (1347) | Vuli |
» | racunalniske trgovine v mariboru (strani: 1 2 )Oddelek: Kaj kupiti | 7875 (3529) | harmony |
» | kateri usb kljuc (strani: 1 2 )Oddelek: Kaj kupiti | 14651 (12226) | knap |
» | USB Ključ problemOddelek: Pomoč in nasveti | 1544 (1360) | hojnikb |
» | Nova anketa: Kolikšna je spominska zmogljivost vašega USB ključka? (strani: 1 2 )Oddelek: Novice / Ankete | 7922 (6381) | dejanslo |