» »

Evropski ponudniki e-mail in "oblačnih" storitev (zasebnost itd.)

Evropski ponudniki e-mail in "oblačnih" storitev (zasebnost itd.)

1
2
»

SeMiNeSanja ::

Jezus... še vedno ne kapiraš, da hočem pokazat na to, da je tvoje stališče nekje podobno tistemu, ki ga ima otrok, ki se v trgovini meče ob tla, ker mu mama ne kupi kar vseh igrač in lizik.

Vsi bi imeli vse, ampak nam ni na dosegu, pa je treba apetite zmanjšati v smeri čim manjše škode, ki nam jo lahko poseg v našo zasebnost prinese.

Pri tem pa imamo ljudje drugačne prioritete. Če nimam ljubice, mi je vseeno, če tudi žena brska po mojih mailih, čeprav je to v bistvu grob poseg v mojo zasebnost. Ampak dokler nimaš zatežene babe, ki se bo obesila na vsako figo in spraševala 'Kaj je pa to za ena? Kaj maš pa s toooo?' je ta poseg še nekako na nivoju 'prebavljivega. Banalen primer pač, okrog katerega se spet lahko kregamo, ker tudi to vsak lahko drugače vidi.

Enako je z večino teh posegov v zasebnost - enega bolj prizadanejo, drugega manj - četudi ni nekih posledic. Eden bo skočil v luft, ker mu žena ne zaupa, čeprav nima ničesar za skrivat, drugi pa bi si celo delil isti mail naslov.

Tako lahko tudi gledamo na 'nadzor', ki ga nad našimi komunikacijami in podatki izvaja 'Big Brother' (whoever he is). Čeprav nimaš kaj skrivat, gredo enemu kocine pokonci že ob sami misli, da nekdo presejava njegove podatke, medtem ko drugi mirno spi in si misli 'kaj se pa greste, norci, da se sekirate'.

KRITIČNO pa zadeve postanejo, ko se gre za nepooblaščene dostope do podatkov, ki se potem zlorabljajo. Pri tem pa je VSAK od nas občutljiv. Nikomur ni vseeno, če mu ukradejo številko osebne ali kar celo identiteto in z njo zganjajo stvari, zaradi katerih se mu lahko življenje postavi na glavo.
Ko pride do takih dogodkov, so posledice takoj in to otipljive.

Tiste od 'državnega nadzora' pa so tam nekje meglene...včasih se sprašuješ, če sploh vedo, kaj počno s tistimi podatki, če jih ne premetavajo samo zaradi premetavanja, glede na to, da jim na koncu razni bostonski bombaši kljub vsemu uidejo skozi sito.

Tisto, da ti 'šef' gleda pod prste pa si spet vzel preveč dobesedno - šef ima lahko najetega človeka, oddelek ali celo zunanjega izvajalca, ki bo izvajal kontrolo nad 'klimo v podjetju' in 'možnih špijonih, ki delajo za konkurenco'. Samo hud naivnež bo mislil, da v veliki firmi nek šef osebno brska po pošti svojih sodelavcev. Morda kakšen posameznik, ki je ljubosumen na tajnico, ki mu je že 3x dala košarico, ne pa 'tipični šef'.

Ribič ::

SeMiNeSanja je izjavil:

Je pa res malo zoprno, če nazadnje na šalterju na letališču v New Yorku ugotoviš, da nekdo tistih par talibanskih vicev, ki si jih pošiljal preko Gmail-a ni pravilno razumel in te posledično nočejo spustiti v državo.
Tole zna biti res nerodno. Slišal sem primer, ko so američani na letališču neki ženski (mislim, da je bila iz francije) prepovedali let oz. vstop v državo, ker je njeno ime pri izgovarjanju v angleščini zvenelo podobno, kot al-kaida.

AndrejO je izjavil:

Morda si spregledal, da se moram že 3. ponavljati, ampak vse, kar sem napisal je to, da bo prvi, ki bo takšno stvar naredil, zelo hitro obogatel.
Tule je vertetno res nekaj potenciala za denar. Mar niso na kickstarterju pred ducat mesci imeli eno akcijo, kjer so neki američani sporočili, da so izdelali majhen routerček, ki je imel predinšraliran program Tor, pa je zadeva dobila mislim da miljon dolarjev s strani backerjev ali nekaj podobnega? Potem so pa ugotovili, da gre za nateg, ker hardware v bistvu sploh ni bil njihov ampak kopija nekega kitajskega routerja. :) Zadevo so potem ukinili.

jukoz ::

AndrejO> Ste se pa potem začele pojavljati nekej pojave, ki pravite, da to že obstaja (čeprav moja mama tega nima), da to sploh ni potrebno (čeprav sami o sebi raje ne razkrijete ničesar) ali pa, da so problem samo neki "šefi" (pa čeprav ima tvoj tipičen "šef" dostop do podatkov za morda 100 ljudi, "oblačni ponudnik" do podatkov za nekaj 100.000 ali 1.000.000 ljudi, nekatere zahodne države pa do podatkov do nekaj 10.000.000 in več).

Ma pojava si ti če ne razumeš, da če uporabnik ne bo nič naredil v smeri šifriranja svoje komunikacije, kdo pa bo? Banka nas prisili uporabljat certifikate, gesla, ... zato ker imajo v primeru vdora tudi banke težave. V primeru prisluškovanja tvoje komunikacije imaš pa težave samo ti. In ne boš verjel, v večini držav imaš po zakonu pravico do zasebnosti komunikacije, razen v primerih ki jih določa zakon - večinoma to pomeni da ti država lahko posluša kadar hoče, tvoj ponudnik interneta pa ne in v primeru kršitve kazensko odgovarja.
Za kaj več pa moraš poskrbeti sam.
Pa mimogrede, a tvoja mama (v smislu povprečni uporabnik) zaklepa vhodna vrata? A ji je to težko? A bi ji bilo težko vpisati eno geslo vsakič ko pošlje mail? Ne, to ne bi bil noben problem.

Glede denarja in ostalega: vam da so lani eni nemci zbrali par milijonov za privat mail strežnik - imaš svoj lastni varni oblak!!

Zgodovina sprememb…

  • spremenilo: jukoz ()

AndrejO ::

SeMiNeSanja je izjavil:

Jezus... še vedno ne kapiraš, da hočem pokazat na to, da je tvoje stališče nekje podobno tistemu, ki ga ima otrok, ki se v trgovini meče ob tla, ker mu mama ne kupi kar vseh igrač in lizik.

Vsi bi imeli vse, ampak nam ni na dosegu, pa je treba apetite zmanjšati v smeri čim manjše škode, ki nam jo lahko poseg v našo zasebnost prinese.

Hvala za kompliment. V mojem poslu je še posebej cenjeno, če si kot otrok, ki je popolnoma neobremenjen s tradicijo in predsodki sposoben pokazati na cesarja in reči, da je gol.

SeMiNeSanja je izjavil:

Enako je z večino teh posegov v zasebnost - enega bolj prizadanejo, drugega manj - četudi ni nekih posledic. Eden bo skočil v luft, ker mu žena ne zaupa, čeprav nima ničesar za skrivat, drugi pa bi si celo delil isti mail naslov.

Ti nekaj relativiziraš, pa še svojega imena nisi pripravljen zaupati izbrani družbi na S-T. Mislim, da imaš več kot dovolj za skrivati pred vsemi.

SeMiNeSanja je izjavil:

KRITIČNO pa zadeve postanejo, ko se gre za nepooblaščene dostope do podatkov, ki se potem zlorabljajo.

Potem je pa vse OK. NSA, GCHQ, BND, ... delajo strogo po zakonu in stvari so popolnoma OK, ker so za to pooblaščeno. Ravno tako ponudniki "oblačnih" storitev spoštujejo vse zakone in je tudi OK, ker so tudi pooblaščeni.

Zakaj torej ta debata?

SeMiNeSanja je izjavil:

Tiste od 'državnega nadzora' pa so tam nekje meglene...včasih se sprašuješ, če sploh vedo, kaj počno s tistimi podatki, če jih ne premetavajo samo zaradi premetavanja, glede na to, da jim na koncu razni bostonski bombaši kljub vsemu uidejo skozi sito.

Čak, čak. Kako sedaj. Hočeš reči, da podatke gledajo in obdelujejo, koristi pa od tega ni? Bi si upal reči, da je to potem skoraj nesmiselno in počno? Morda počno celo nekaj, kar počno samo zato, ker lahko, ne pa zaradi nekih "širših koristi"?

SeMiNeSanja je izjavil:

Tisto, da ti 'šef' gleda pod prste pa si spet vzel preveč dobesedno - šef ima lahko najetega človeka, oddelek ali celo zunanjega izvajalca, ki bo izvajal kontrolo nad 'klimo v podjetju' in 'možnih špijonih, ki delajo za konkurenco'. Samo hud naivnež bo mislil, da v veliki firmi nek šef osebno brska po pošti svojih sodelavcev. Morda kakšen posameznik, ki je ljubosumen na tajnico, ki mu je že 3x dala košarico, ne pa 'tipični šef'.

Mislim, da si ti malo preveč dobesedno jemal besedo "šef", ne pa jaz. Ker izgleda, da trdiš, da bo en "šef" na račun tega, da vsega seveda ne dela sam, nenadoma prišel iz tega, da lahko prizadane nekaj 100 do nekaj 1000 ljudi na rang tega, da lahko prizadane nekaj 10.000.000 ljudi.

Paravomo?

AndrejO ::

jukoz je izjavil:


Ma pojava si ti če ne razumeš, da če uporabnik ne bo nič naredil v smeri šifriranja svoje komunikacije, kdo pa bo?

To že razumem. Moja premisa je, da morajo biti podatki privzeto in primerno šifrirani tako, da uporabniku za to ne bo potrebno niti s prstom migniti.

jukoz je izjavil:

Banka nas prisili uporabljat certifikate, gesla, ... zato ker imajo v primeru vdora tudi banke težave.

iPhone bo šifriral podatke, če mu boš pokazal svoj prst. Število aparatov, na katerih so podatki šifrirani, je skokovito naraslo.

Ali vidiš povezavo?

Ali vidiš prisilo?

jukoz je izjavil:

V primeru prisluškovanja tvoje komunikacije imaš pa težave samo ti.

Nope. Težave ima demokracija.

jukoz je izjavil:

In ne boš verjel, v večini držav imaš po zakonu pravico do zasebnosti komunikacije, razen v primerih ki jih določa zakon - večinoma to pomeni da ti država lahko posluša kadar hoče, tvoj ponudnik interneta pa ne in v primeru kršitve kazensko odgovarja.

Verjel ali ne, v Sloveniji imaš neko larifari pravico samo po ustavi. Po zakonu je pretežno nimaš in zaradi spoštovanja zakona ni še nihče kazensko odgovarjal. Ravno tako ne vem, da bi za takšne stvar, nad katerimi se nekateri zgražate, kdorkoli "kazensko odgovarjal" v kakšni Nemčiji, Franciji, VB, ZDA, Japonski, Švedski, Nizozemski, Švici, ...

jukoz je izjavil:

Za kaj več pa moraš poskrbeti sam.

Bom poskusil še četrtič: kdor bo prvi naredil sistem z enostavno in splošno dostopno zaščito podatkov bo obogatel.

jukoz je izjavil:

Pa mimogrede, a tvoja mama (v smislu povprečni uporabnik) zaklepa vhodna vrata? A ji je to težko? A bi ji bilo težko vpisati eno geslo vsakič ko pošlje mail? Ne, to ne bi bil noben problem.

Kako naj ti moja mama pošlje zasebno sporočilo, ki ga boš lahko prebral samo ti?

jukoz je izjavil:

Glede denarja in ostalega: vam da so lani eni nemci zbrali par milijonov za privat mail strežnik - imaš svoj lastni varni oblak!!

U, ti mater. A to, da sem pa jaz zapravil nekh 1000 EUR za svoje strežnike je potem super varčna "oblačna" rešitev?

jukoz ::

AndrejO> To že razumem. Moja premisa je, da morajo biti podatki privzeto in primerno šifrirani tako, da uporabniku za to ne bo potrebno niti s prstom migniti.
iPhone bo šifriral podatke, če mu boš pokazal svoj prst. Število aparatov, na katerih so podatki šifrirani, je skokovito naraslo.
Ali vidiš povezavo?
Ali vidiš prisilo?

Odlično, lepa premisa. In ja, ljudje bodo z veseljem kazali prst iPhonu. Saj so zanj plačali $$$. Poizkusi to izvesti na poceni telefonu ali pa zastonjskem programu - bo cel halo.

Ti dam primer iz prakse: firma ima dostop do določenih osebnih podatkov strank (stranke jih seveda dajo prostovoljno). Šefe varnost še skrbi - sploh pravnike in so vsi navdušeni da se beležijo dostopi do podatkov (po zakon) in vpisujejo razlogi za dostope. Uporabnike pa boli k za to. Njim gre na živce zakaj morajo vpisovati gesla. Zakaj je tako: 1. ker statistika pokaže da je v vsaki družbi n% nergačev ki jim gre vse na živce - plača in delovni pogoji sploh nista pomembna. 2. ker te uporabnike ne bo bolelo če stikajo preveč po sistemu in izgubijo ali podelijo podatke - odpustijo jih težko, saj morajo dokazati malomarnost pri delu kar pa je težko, kazni in tožb pa tudi ne bodo plačevali.

Pa da ne bomo živeli v utvarah da se to dogaja samo pri ne-IT firmah. IT firme (večja kot je, slabše je), kjer zaposleni poznajo varovanje zasebnosti se ti osebni podatki širijo še na bolj butaste načine: običajno delajo v bolj zaprtih omrežjih, in ker šefi že 15 let niso odobrili vlaganj v nove tehnologije - ala varno in kontrolirano deljenje datotek z zunanjimi izvajalci, se to dela preko... tako je, uganili si, preko dropboxa, skypa in googla.

Verjemi mi, da ima google, dropbox in microsoft podatke o tvoji naročniški številki pri ISPjih, mobitelovcih, ... in podatek o tvojih bančnih računih in zavarovanjih. Ve tudi kdaj so ti na parkingu razbili šipe in koliko si dobil odškodnino. In je vseeno ali živiš v Sloveniji, Ubuntustanu ali velecenjeni Nemčiji. Vedno se najde nek kretek ki to šera naokoli. In nikoli se nikomur nič ne zgodi, ker je manager itak nesposoben in nima pojma za kaj se sploh gre, delavci so pa preobremenjeni, premalo plačani, ... da bi bi jih brigalo.


AndrejO> Verjel ali ne, v Sloveniji imaš neko larifari pravico samo po ustavi. Po zakonu je pretežno nimaš in zaradi spoštovanja zakona ni še nihče kazensko odgovarjal. Ravno tako ne vem, da bi za takšne stvar, nad katerimi se nekateri zgražate, kdorkoli "kazensko odgovarjal" v kakšni Nemčiji, Franciji, VB, ZDA, Japonski, Švedski, Nizozemski, Švici, ...

Zato ti pa tudi enkripcija iPhona ne pomaga - ker bo ena od agencij ali pa držav prišla do Appla in rekla - daj mi tisti backdoor.

AndrejO> Kako naj ti moja mama pošlje zasebno sporočilo, ki ga boš lahko prebral samo ti?
PGP

AndrejO> U, ti mater. A to, da sem pa jaz zapravil nekh 1000 EUR za svoje strežnike je potem super varčna "oblačna" rešitev?

Ja je. Zdej, zakaj si zapravil 1000EUR ne vem. Obstajajo tudi cenejše izvedbe. En tutorial:
http://arstechnica.com/information-tech...

AndrejO ::

jukoz je izjavil:

AndrejO> To že razumem. Moja premisa je, da morajo biti podatki privzeto in primerno šifrirani tako, da uporabniku za to ne bo potrebno niti s prstom migniti.
iPhone bo šifriral podatke, če mu boš pokazal svoj prst. Število aparatov, na katerih so podatki šifrirani, je skokovito naraslo.
Ali vidiš povezavo?
Ali vidiš prisilo?

Odlično, lepa premisa. In ja, ljudje bodo z veseljem kazali prst iPhonu. Saj so zanj plačali $$$. Poizkusi to izvesti na poceni telefonu ali pa zastonjskem programu - bo cel halo.

Edini "halo", ki ga pričakujem, bo na strani države.

jukoz je izjavil:

Ti dam primer iz prakse: firma ima dostop do določenih osebnih podatkov strank (stranke jih seveda dajo prostovoljno). Šefe varnost še skrbi - sploh pravnike in so vsi navdušeni da se beležijo dostopi do podatkov (po zakon) in vpisujejo razlogi za dostope. Uporabnike pa boli k za to. Njim gre na živce zakaj morajo vpisovati gesla.

Si prepričan, da nisi opisoval Policijo?

jukoz je izjavil:

Zakaj je tako: 1. ker statistika pokaže da je v vsaki družbi n% nergačev ki jim gre vse na živce - plača in delovni pogoji sploh nista pomembna. 2. ker te uporabnike ne bo bolelo če stikajo preveč po sistemu in izgubijo ali podelijo podatke - odpustijo jih težko, saj morajo dokazati malomarnost pri delu kar pa je težko, kazni in tožb pa tudi ne bodo plačevali.

OK, definitivno si opisoval nekaj v javnem sektorju.

jukoz je izjavil:

Verjemi mi, da ima google, dropbox in microsoft podatke o tvoji naročniški številki pri ISPjih, mobitelovcih, ... in podatek o tvojih bančnih računih in zavarovanjih.

Za Google natančno vem, da ima vse to in še več, ker mi nekatere od teh stvari celo plačuje.

jukoz je izjavil:

Vedno se najde nek kretek ki to šera naokoli. In nikoli se nikomur nič ne zgodi, ker je manager itak nesposoben in nima pojma za kaj se sploh gre, delavci so pa preobremenjeni, premalo plačani, ... da bi bi jih brigalo.

Mene še bolj skrbijo kreteni, ki po tem vohljajo samo zato, ker lahko.

jukoz je izjavil:

Zato ti pa tudi enkripcija iPhona ne pomaga - ker bo ena od agencij ali pa držav prišla do Appla in rekla - daj mi tisti backdoor.

V tem trenutku kaže, da morajo za to spisato nov zakon, ampak jim ne gre najbolje.

Ali še vedno nisi dojel, da je skupna točka vseh dosedanjih razkritij, da se po podatkih šnoflja popolnoma zakonito in predvsem zato, ker so na voljo in, ker je to možno?

jukoz je izjavil:

AndrejO> Kako naj ti moja mama pošlje zasebno sporočilo, ki ga boš lahko prebral samo ti?
PGP

Torej naj za tvoj ključ vpiše "PGP" in to je to?

jukoz je izjavil:

AndrejO> U, ti mater. A to, da sem pa jaz zapravil nekh 1000 EUR za svoje strežnike je potem super varčna "oblačna" rešitev?
Ja je. Zdej, zakaj si zapravil 1000EUR ne vem. Obstajajo tudi cenejše izvedbe. En tutorial:
http://arstechnica.com/information-tech...

Kaj pa vem. Glede na omenjene miljone, ki so jih tam nekje zbirali, je to pravcati drobiž. Napaka pri zaokroževanju, verjetno.

Tako, kot je napaka pri zaokroževanju če nek "šef" v neki "firmi" nekaj serje po glavi zaposlenih, ko ga postaviš ob bok "oblačnim" podjetjem. Kaj šele, ko ga postaviš ob bok državam. Ampak, če naj razumem sanjajočega, ti niso resničen problem.

jukoz ::

> Edini "halo", ki ga pričakujem, bo na strani države.
kaj je tist FBIjevc težil ne vem. Haloja pa ne bo. Par mesecev nazaj so prijeli par ISISovcev v Franciji, ker so uporabljali Whatsapp - z enkripcijo, ki čudežno ni delovala.

> OK, definitivno si opisoval nekaj v javnem sektorju.
Do sedaj je bilo tako pri vseh strankah razen pri eni - ker so imeli probleme s tem.
Eni so imeli dejanski vdor v omrežje (socialni inženiring) pa zaposlene boli k za varnost še naprej - tako za stranke kot za firmo. Pač, ni moj problem.

> Za Google natančno vem, da ima vse to in še več, ker mi nekatere od teh stvari celo plačuje.
Kaj se pol razburjaš?

> Mene še bolj skrbijo kreteni, ki po tem vohljajo samo zato, ker lahko.
Pravkar si napisal da takoalitako sam šeraš podatke z googlom. Še enkrat, kaj se pol razburjaš??

> Torej naj za tvoj ključ vpiše "PGP" in to je to?
A mi ma kaj za sporočit?

> Kaj pa vem. Glede na omenjene miljone, ki so jih tam nekje zbirali, je to pravcati drobiž. Napaka pri zaokroževanju, verjetno.
Mah dej, tebi se več kot očitno ne da ukvarjati s tem da bi lahko zasebno komuniciral. OK, saj ti ni treba. Boli te k za zasebnost in če tako želiš je to tudi prav. Imaš vso pravico do tega.

SeMiNeSanja ::

Po svoje se mi zdi malo hecno, ko nekdo, ki je zaposlen pri enem največjih zbiralcev 'osebnih podatkov' na svetu, tako zelo gajstno zagovarja zasebnost in enkripcijo komunikacij in podatkov.

Že res, da mnenje AndejaO ni mnenje njegovega delodajalca, a vendarle se gre za diametralno nasprotna stališča. Tisti trenutek, ko bo varovanje osebnih podatkov na nivoju, katerega želi, pričakuje, zahteva - bo ob službo, saj njegov delodajalec praktično ne bo več imel česa za prodajati (odmislimo ta hip samovozeče avtomobile in ostale obrobne dejavnosti). Core business Googla temelji na prodajanju osebnih podatkov. Tudi če so ti na koncu anonimizirani, so še vedno osebni in do njih ob doslednem izpolnjevanju vseh željenih mer 'zasebnosti' nebi mogel več prihajati.

Konflikt interesov?

Ribič ::

AndrejO je izjavil:

Moja premisa je, da morajo biti podatki privzeto in primerno šifrirani tako, da uporabniku za to ne bo potrebno niti s prstom migniti.
Tole boš bolj težko dosegel.

Ne vem, moj vidik je, da vsaj do danes takšne stvari niso imele kake pretirane sreče pri uveljavljanju v javnosti nasploh. Res je, da se zadnjih par let nekaj dogaja na tem področju npr. Apple je izdelal nove telefone, ki imajo baje podatke šifrirane po default-u in če se ne motim tudi Google dela nekaj na tem glede elektronskih sporočil. Vendar pa se je pri uvedbi le teh takoj zapletlo, ko so vladne organizacije in varnostno obveščevalne službe začele jamrati in težiti kako se je vreme poslabšalo, ko sedaj več ne morejo dostopati do podatkov na telefonih kriminalcev bla bla bla. Ne najdejo pa najti enega dokaza kdaj je šifriranje ustavilo "roko pravice". Skratka same bedarije, čisto tiho so pa, ko jih kdo pocuka za rokav glede ostalih orodji, ki jih imajo na voljo - trojance, ki prestrežejo podatke preden se ti sploh šifrirajo oz. po tem, ko se dešifrirajo.

Manjša podjetja pa seveda nimajo zadostnih sredstev, da bi se o tem sploh prerekali z vladnimi organizacijami in se zato raje izogibajo.

AndrejO ::

jukoz je izjavil:

> Edini "halo", ki ga pričakujem, bo na strani države.
kaj je tist FBIjevc težil ne vem. Haloja pa ne bo. Par mesecev nazaj so prijeli par ISISovcev v Franciji, ker so uporabljali Whatsapp - z enkripcijo, ki čudežno ni delovala.

Če bo pretežen del (ali pa tudi večina) komunikacij in podatkov privzeto šifriranih, potem bo varnostni aparat zagnal halo. V ZDA ga zaganjajo že pri sumu, da bi do tega lahko prišlo.

jukoz je izjavil:

> OK, definitivno si opisoval nekaj v javnem sektorju.
Do sedaj je bilo tako pri vseh strankah razen pri eni - ker so imeli probleme s tem.
Eni so imeli dejanski vdor v omrežje (socialni inženiring) pa zaposlene boli k za varnost še naprej - tako za stranke kot za firmo. Pač, ni moj problem.

Je in ni. Kar hočem povedati je to, da ni razlike med načinom dela mutijebičev v privatnem in mutijebičev v zasebnem sektorju. Štejem pa pa "oblačne" in "državne" mutijebiče za magnitudo ali nekaj magnitud bolje nevarne, ker imajo dostop do podatkov za magnitudo ali nekaj magnitud več posameznikov.

jukoz je izjavil:

> Za Google natančno vem, da ima vse to in še več, ker mi nekatere od teh stvari celo plačuje.
Kaj se pol razburjaš?

Razburjam?

jukoz je izjavil:

> Mene še bolj skrbijo kreteni, ki po tem vohljajo samo zato, ker lahko.
Pravkar si napisal da takoalitako sam šeraš podatke z googlom. Še enkrat, kaj se pol razburjaš??

To je pač stranska posledica tega, da delam za Google. Ni mi pa jasen ta del z razburjanjem ...

jukoz je izjavil:

> Torej naj za tvoj ključ vpiše "PGP" in to je to?
A mi ma kaj za sporočit?

Privzemimo, da ima. V moji utopiji lahko kdorkoli komunicira s komerkoli, pri čemer bo ta komunikacija zavarovana pred vplogedom tretjih oseb oziroma bo vsem udeležnim v komunikaciji takoj razvidno, če je kdo tretji (vključno z državo) v komunikacijo vpogledal. To je nekaj, česar danes ni in kdor razlaga, da je vse to možno, pozablja na tisti "komerkoli s komerkoli".

jukoz je izjavil:

> Kaj pa vem. Glede na omenjene miljone, ki so jih tam nekje zbirali, je to pravcati drobiž. Napaka pri zaokroževanju, verjetno.
Mah dej, tebi se več kot očitno ne da ukvarjati s tem da bi lahko zasebno komuniciral. OK, saj ti ni treba. Boli te k za zasebnost in če tako želiš je to tudi prav. Imaš vso pravico do tega.

Ne ugibaj na pamet.

AndrejO ::

SeMiNeSanja je izjavil:

Po svoje se mi zdi malo hecno, ko nekdo, ki je zaposlen pri enem največjih zbiralcev 'osebnih podatkov' na svetu, tako zelo gajstno zagovarja zasebnost in enkripcijo komunikacij in podatkov.

Eh, ko bi videl kako sem bil gajsten šele v prejšnji službi, ko sem za kakšno stvar zahteval kar z zakonom predpisano odredbo sodišča, čeprav je to šlo kakšnem kriminalistu ali tožilki malo v nos.

SeMiNeSanja je izjavil:

Že res, da mnenje AndejaO ni mnenje njegovega delodajalca, a vendarle se gre za diametralno nasprotna stališča. Tisti trenutek, ko bo varovanje osebnih podatkov na nivoju, katerega želi, pričakuje, zahteva - bo ob službo, saj njegov delodajalec praktično ne bo več imel česa za prodajati (odmislimo ta hip samovozeče avtomobile in ostale obrobne dejavnosti).

Plačan sem tudi za to, da se ukvarjam z razvojem rešitev, ki bodo tudi moje delovno mesto ukinile, ker bo postalo nepotrebno. Ne samo, da me to ne skrbi, to je moj cilj. Na svetu bo tudi po takšnem optimalnem zaključku (če nam bo uspelo) še vedno dovolj izzivov.

SeMiNeSanja je izjavil:

Konflikt interesov?

Kakor za koga. Videza konflikta interesov ne morem in ne bom niti poskusil zanikati. Največ, kar lahko naredim, je to, da ne skrivam kdo sem in kdo je moj delodajalec. Vsakdo se lahko potem sam odloči kakšno težo imajo moja stališča, meni pa se ni potrebno ukvarjati s tem, da bi me kdo na koncu obtoževal, da se grem "astroturfing" ali kaj še bolj grdega.


Sicer pa, da poskusim malo poživitviti to temo. Ne vzeti tega čisto resno. ;)

Zgodovina sprememb…

  • spremenil: AndrejO ()

jukoz ::

> Manjša podjetja pa seveda nimajo zadostnih sredstev, da bi se o tem sploh prerekali z vladnimi organizacijami in se zato raje izogibajo.
Če se te lotijo po sodiščih je vedno hudič. V ZDA še bolj kot tu, ker tu če imaš srečo vse skupaj zastara =)

> Če bo pretežen del (ali pa tudi večina) komunikacij in podatkov privzeto šifriranih, potem bo varnostni aparat zagnal halo. V ZDA ga zaganjajo že pri sumu, da bi do tega lahko prišlo.
Kot sem napisal, saj je Whatsapp šifriran. Dokler čudežno ni več. In isto bo z iPhone itd. So šifrirani dokler se kakšna varnostna agencija ne vmeša.

> Je in ni. Kar hočem povedati je to, da ni razlike med načinom dela mutijebičev v privatnem in mutijebičev v zasebnem sektorju. Štejem pa pa "oblačne" in "državne" mutijebiče za magnitudo ali nekaj magnitud bolje nevarne, ker imajo dostop do podatkov za magnitudo ali nekaj magnitud več posameznikov.

Če si res na googlu, kako je pa tam to urejeno. Code of business conduct za zaposlene?

> To je pač stranska posledica tega, da delam za Google. Ni mi pa jasen ta del z razburjanjem ...
Buniš se da ti zasebnost tvoje komunikacije ni k riti prinešena. Jaz ti pa pravim da je in da te zakon varuje pred privatnim prisluškovanjem. Zakonske izjeme veljajo samo za varnostne organe države (oz držav).

> Privzemimo, da ima. V moji utopiji lahko kdorkoli komunicira s komerkoli, pri čemer bo ta komunikacija zavarovana pred vplogedom tretjih oseb oziroma bo vsem udeležnim v komunikaciji takoj razvidno, če je kdo tretji (vključno z državo) v komunikacijo vpogledal. To je nekaj, česar danes ni in kdor razlaga, da je vse to možno, pozablja na tisti "komerkoli s komerkoli".
Če bi jaz in tvoja mama želela privatno komunicirat, bi si morala izmenjat javne ključe. In to je to.

> Ne ugibaj na pamet.
Ne ugibam, vem =) Ker če bi hotel kaj narediti v to smer bi že zdavnaj uvedel ali pa ravno sedaj uvajal PGP/GnuPG vsem s katerimi bi rad zasebno komuniciral.

> Eh, ko bi videl kako sem bil gajsten šele v prejšnji službi, ko sem za kakšno stvar zahteval kar z zakonom predpisano odredbo sodišča, čeprav je to šlo kakšnem kriminalistu ali tožilki malo v nos.
E. bravo! Torej se zavedaš da moraš biti tudi ti pred zakonom krit. Marsikateri administrator se tega ne zaveda oz se noče zavedati. Na žalost se v Sloveniji glede tega običajno ne zgodi nič. Znani so mi samo primeri na DURSu ko so gledali dohodnine znanih oseb ter ena teta na upravni ki je pokazala preveč zanimanja za Pahorja.

AndrejO ::

jukoz je izjavil:


> Če bo pretežen del (ali pa tudi večina) komunikacij in podatkov privzeto šifriranih, potem bo varnostni aparat zagnal halo. V ZDA ga zaganjajo že pri sumu, da bi do tega lahko prišlo.
Kot sem napisal, saj je Whatsapp šifriran. Dokler čudežno ni več. In isto bo z iPhone itd. So šifrirani dokler se kakšna varnostna agencija ne vmeša.

Za iPhone iskreno dvomim, ker FBI zaganja že cel kraval, da je potrebno spremeniti zakonodajo. Samo poišči FBI, iPhone, encryption in boš videl, kaj je to kraval. Kar se tiče WhatsApp, pa je seveda videti, kako se kravala ne dela, ker je "varovanje" zgolj na papirju, ne pa v resnici.

jukoz je izjavil:

> Je in ni. Kar hočem povedati je to, da ni razlike med načinom dela mutijebičev v privatnem in mutijebičev v zasebnem sektorju. Štejem pa pa "oblačne" in "državne" mutijebiče za magnitudo ali nekaj magnitud bolje nevarne, ker imajo dostop do podatkov za magnitudo ali nekaj magnitud več posameznikov.
Če si res na googlu, kako je pa tam to urejeno. Code of business conduct za zaposlene?

PR za firmo delajo drugi. Kar se tiče mene, ni nikakršne razlike med to ali katerokoli drugo firmo. Podatkov za katere ne želim, da bi bili nekoč brez moje vednosti dostopni komerkoli ne odlagam na "oblačne" storitve.

jukoz je izjavil:

> To je pač stranska posledica tega, da delam za Google. Ni mi pa jasen ta del z razburjanjem ...
Buniš se da ti zasebnost tvoje komunikacije ni k riti prinešena. Jaz ti pa pravim da je in da te zakon varuje pred privatnim prisluškovanjem. Zakonske izjeme veljajo samo za varnostne organe države (oz držav).

Ah. Ne žuli me, da zasebnost ni prinešena k moji riti. Jaz že znam poskrbeti zase. Jaz se ukvarjam z ovirami, ki se tičejo tega, da zasebnosti ni prinešena k riti slehernika, ne glede na njegovo siceršnje tehnično znanje. To, da te nek "zakon" varuje pred prisluškovanjem ali drugimi posegi v zasebnost je, vsaj po mojih izkušnjah, navaden larifari, ker ta stvar deluje na temelju zaupanja.

No, jaz pravim, da je zaupanje in "častna pionirska" sicer simpatično, ampak kar država in družba potrebuje je dejanska varnost.

jukoz je izjavil:

> Privzemimo, da ima. V moji utopiji lahko kdorkoli komunicira s komerkoli, pri čemer bo ta komunikacija zavarovana pred vplogedom tretjih oseb oziroma bo vsem udeležnim v komunikaciji takoj razvidno, če je kdo tretji (vključno z državo) v komunikacijo vpogledal. To je nekaj, česar danes ni in kdor razlaga, da je vse to možno, pozablja na tisti "komerkoli s komerkoli".
Če bi jaz in tvoja mama želela privatno komunicirat, bi si morala izmenjat javne ključe. In to je to.

Izmenjava ključev (če je ta potrebna) mora biti tako samoumevana in enostavna, da se lahko primerja s tem, da kupim kruh v Tušu.

jukoz je izjavil:

> Ne ugibaj na pamet.
Ne ugibam, vem =) Ker če bi hotel kaj narediti v to smer bi že zdavnaj uvedel ali pa ravno sedaj uvajal PGP/GnuPG vsem s katerimi bi rad zasebno komuniciral.

V bistvu ugibaš, ker je javni del mojega prvega PGP ključa na voljo že od 1997. Kar je kar dobra ilustracija težave, ki jo ima moja mama, ki bi želela komunicirati s teboj ali komerkoli drugim.

Ribič ::

AndrejO je izjavil:

Izmenjava ključev (če je ta potrebna) mora biti tako samoumevana in enostavna, da se lahko primerja s tem, da kupim kruh v Tušu.
O katerih izmenjavah ključev sploh govoriš? OpenPGP je ena izmed težjih res, obstajajo pa tudi že novejše vrste, ki so dosti lažje npr. ZRTP-SAS in OTR-FPR.

AndrejO ::

Ribič je izjavil:

AndrejO je izjavil:

Izmenjava ključev (če je ta potrebna) mora biti tako samoumevana in enostavna, da se lahko primerja s tem, da kupim kruh v Tušu.
O katerih izmenjavah ključev sploh govoriš? OpenPGP je ena izmed težjih res, obstajajo pa tudi že novejše vrste, ki so dosti lažje npr. ZRTP-SAS in OTR-FPR.

Trenutno o katerikoli. SAS še vedno predstavlja oviro dodatnega dela, s čemer krši kriterij transparentnosti za uporabnika. OTR-FRP ne poznam. Linkpls?

Ribič ::

AndrejO ::

OTR in SMP da, ne vem pa kaj je FPR.

jukoz ::

> Za iPhone iskreno dvomim, ker FBI zaganja že cel kraval, da je potrebno spremeniti zakonodajo. Samo poišči FBI, iPhone, encryption in boš videl, kaj je to kraval. Kar se tiče WhatsApp, pa je seveda videti, kako se kravala ne dela, ker je "varovanje" zgolj na papirju, ne pa v resnici.

In kaj, ti misliš da bo iPhone kaj bolj v resnici kriptiran? Zakaj že? In kako boš to preveril? Kako bo kdorkoli ki ni apple to preveril?

> Podatkov za katere ne želim, da bi bili nekoč brez moje vednosti dostopni komerkoli ne odlagam na "oblačne" storitve.
Odlično!

> Jaz se ukvarjam z ovirami, ki se tičejo tega, da zasebnosti ni prinešena k riti slehernika, ne glede na njegovo siceršnje tehnično znanje.

Vidiš, jaz se pa ne. Ker so določeni ljudje brigajo za varnost tako kot se brigam jaz za dizelski motor mojega avta - ga ne ogreva pred štartom in ne skrbim za turbino preden ga ugasnem. Glede na zapise na tem forumu bi moral že davno crknit.
Nekateri ljudje pa za varnost skrbijo točno na isti način. Skrivati nimam nič, torej lahko uporabljam vse cloud zadeve ki obstajajo. Z istim geslom po možnosti. In jih. In jaz se ne sekiram.

> Izmenjava ključev (če je ta potrebna) mora biti tako samoumevana in enostavna, da se lahko primerja s tem, da kupim kruh v Tušu.
Ne vem kako kupuješ kruh, ampak načeloma je treba it v trgovino. Kar ti očitno ni težko.

> V bistvu ugibaš, ker je javni del mojega prvega PGP ključa na voljo že od 1997. Kar je kar dobra ilustracija težave, ki jo ima moja mama, ki bi želela komunicirati s teboj ali komerkoli drugim.

Ne razumem kje je torej težava.

> O katerih izmenjavah ključev sploh govoriš? OpenPGP je ena izmed težjih res, obstajajo pa tudi že novejše vrste, ki so dosti lažje npr. ZRTP-SAS in OTR-FPR.

Prednost PGPja je tudi v tem, da je zelo razširjen. Kot omenja Andrej, ga ima že od leta 1997 - kar je 18 let.
Prednost je tudi ta, da obstajajo plugini tudi za tako bedno stvar kot je Outlook.

> Trenutno o katerikoli. SAS še vedno predstavlja oviro dodatnega dela, s čemer krši kriterij transparentnosti za uporabnika. OTR-FRP ne poznam.

Sej, tu je spet to za kar ti težim: varnost hočeš pri riti, pripravljen pa nisi nič narediti zanjo. Še enkrat primerjava s ključem in vhodnimi vrati:
- vrat v bistvu ne rabiš ker te samo ovirajo pri vstopu/izstopu
- ker je prepih in ker ni fajn da vsi vidijo kaj imaš doma, vgradiš vrata
- ker nočeš da ti kdo kljub vratom vstopa v dom, daš še ključavnico
- in imaš torej vsak dan dela s ključavnico in vrati - strašna prepreka da prideš domov

In če želiš poslati zasebno sporočilo nekomu - ga preprosto šifriraš z njegovim javnim ključem - tako ga bo samo on lahko odklenil. Sporočilo seveda tudi podpišeš s svojim privatnim ključem. Prejemnik bo njegovo istovetnost lahko preveril s tvojim javnim ključem.

Enkrat torej klikneš "šifriranj sporočilo" in izbereš javni ključ prejemnika. Nato vpišeš svoje geslo za podpis. In to je to! Zakaj se ti zdi da tega tvoja mama ne bi znala pa ne vem.

Ribič ::

Fingerprint (primerjava)

AndrejO ::

Ribič je izjavil:

Fingerprint (primerjava)

Mhm. SMP torej.

Naj pojasnim dilemo zaradi katere se mi ne zdi, da bo to vodilo do prave rešitve. Vsaj ne po poti, ki bi jo sam videl.

Če vzamem metaforo "energije" (imam nekaj različnih metafor na zalogi, upam, da ti bo ta všečna in razumljiva), potem ljudje težimo, da bomo v svojem življenju porabili čim manj energije za čim večji efekt. Vsako razmišljanje predstavlja "visoko porabo", vsako avtomatično delovanje predstavlja "nizko porabo".

Če naj začno posamezniki množično uporabljati varne sisteme posredovanja in hranjenja podatkov, potem moraji biti ti sistemi za uporabo v najslabšem primeru potratni toliko, kot je potratnost ne-varnih sistemov. Idealno (utopično) pa celo manj potratni, ker bi to pospešilo prehod.

Kot primer sem dal iPhone, ker je potratnost vklopa in uporabe sistema, ki šifrira podatke primerljiva s potratnostjo sistema, kjer uporabnik že zgolj s potegom prsta odklene zaslon. Po metafori "energije" je popularnost tega mehanizma ščitenja podatkov postala popularna zato, ker nudi več (ali je sedaj to resnično več ali samo percepcija za potrebe zgolj te metafore ni bistveno) za isti strošek porabe energije.

Primerjanje gesel, številk, PIN-ov in podobno, predstavlja miselni napor, zaradi česar to klasificiram v kategorijo visoke porabe energije. Če se temu ljudje izogibamo, potem je razumljivo, da so sistemi, katerih varnost temelji na mehanizmu "primerjave" nepopularni, saj neotipljiv "več" ne odtehta takoj zaznavne večje porabe energije. Zanimiv in deloma uspešen eksperiment je bil nadomestitev primerjave zelodolgihnizovštevilkinčrk z razumljivimi besedami, kar je zagotovo znižalo porabo energije. Vidim pa, da je še ni znižalo dovolj, da bi to postalo zanimivo ali uporabno za vse.

jukoz je izjavil:


> Jaz se ukvarjam z ovirami, ki se tičejo tega, da zasebnosti ni prinešena k riti slehernika, ne glede na njegovo siceršnje tehnično znanje.

Vidiš, jaz se pa ne.

Potem se nimava več o čemu dosti za pogovarjati. Mene zanima moja tema, tebe pa tvoja. Karkoli je pač tvoja tema.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Ribič ::

AnderjO: Da. Saj pri teh tehnologijah je ponavadi tako, da prstni odtis primerjaš samo enkrat in nikoli več. Pri določenih protokolih se je potrebno potruditi bolj, pri drugih pa manj. Npr. OpenPGP se meni zdi dosti težji, kot pa ZRTP-SAS (vsaj zame, ker sem uporabljal gpg2 ukazno vrstico in ne kakšnega GUI vmesnika). Treba je najprej generirati svoj ključ, izbrati nekaj tehničnih parametrov, ki jih je potrebno razumeti in nato še svoj javni ključ razdeliti drugim uporabnikom ali ga celo prenesti na keyserver. Ostane še primerjava prstnih odtisov in morda celo podpisovanje ključev. Ostali uporabniki morajo potem storiti isto, če se sploh želimo pogovarjati o zasebnosti. Večino teh stvari je treba početi ročno, kar je prava muka.

Pri ZRTP-SAS pa samo inštaliraš aplikacijo za VoIP ali celo video komunikacijo, poveš tistih par besed preko telefona ali celo osebno ter klikneš na en ali dva gumba za verifikacijo in to je to.

SeMiNeSanja ::

Nekako ne razumem, kaj se zdaj tu dokazuje. Da je bolje pošiljati maile brez vsake enkripcije, kot pa se matrati, z nekom dogovoriti, katero orodje se bo uporabljalo in izmenja ključe - ker to kvaz potroši preveč energije?

Why the heck, naj bi Janezku mama morala kriptirati mail, v katerem ga sprašuje, če je že naredil domačo nalogo? Ker bo NSA prestregla vprašanje in odgovor, Janezka pa opredelila kot potencialnega bodočega terorista, ker domače naloge še ni naredil?

Malo sorazmernosti pa tudi moraš imeti pri teh zadevah. Ene stvari po pošti pošiljamo z navadno dopisnico, druge z navadno pošto, tretje pa priporočeno in še po možnosti s povratnico. Je res potreba, da čisto vse pošiljamo priporočeno in s povratnico?

Ja, nakupovalni listek, ki ga bo mama poslala po mailu, pa bi že bilo dobro kriptirati, da ne bo Google prestregel in prodal informacijo o tem, katere izdelke nakupujejo pri Janezkovih, kar bi posledično privedlo do zasutja poštnega predala s spamom in obema brskanje po spletu 'olepšalo' z raznoraznimi bannerji in popup-i, ki bodo ponujali 'alternativne proizvode' k tistim na nakupovalnem listku.

Ja iz 'principa' je že cool, če NIHČE ne more spremljati naših komunikacij, ampak treba je tudi ostati na realnih tleh in ločiti med navadno paranojo in resnično potrebo po kriptiranju.

V realnosti zadeva potem izpade tako, da tisti, ki zgolj paranojo zganjajo, a hkrati nimajo nič za skrivat, svoje komunikacije kriptirajo. Tisti, ki pa bi morali uporabljati enkripcijo, pa jo ne - saj se še spomnite PiranGate-a?

Več kot očitno je pri vseh teh metodah enkripcije največji problem izmenjava javnih ključev. Čeprav ne vem, zakaj pravzaprav. X.509 certifikate nam rinejo na vsakem koraku. Da se jih krasno uporabiti za podpisovanje elektronske pošte, da z njim dokazuješ istovetnost, zatika pa se pri uporabi tega istega mehanizma za enkripcijo sporočila. Tu vidim še veliko potenciala, da se zadeve pošlihtajo.

Yacked2 ::

SeMiNeSanja je izjavil:

Nekako ne razumem, kaj se zdaj tu dokazuje. Da je bolje pošiljati maile brez vsake enkripcije, kot pa se matrati, z nekom dogovoriti, katero orodje se bo uporabljalo in izmenja ključe - ker to kvaz potroši preveč energije?

Why the heck, naj bi Janezku mama morala kriptirati mail, v katerem ga sprašuje, če je že naredil domačo nalogo? Ker bo NSA prestregla vprašanje in odgovor, Janezka pa opredelila kot potencialnega bodočega terorista, ker domače naloge še ni naredil?

Malo sorazmernosti pa tudi moraš imeti pri teh zadevah. Ene stvari po pošti pošiljamo z navadno dopisnico, druge z navadno pošto, tretje pa priporočeno in še po možnosti s povratnico. Je res potreba, da čisto vse pošiljamo priporočeno in s povratnico?

Ja, nakupovalni listek, ki ga bo mama poslala po mailu, pa bi že bilo dobro kriptirati, da ne bo Google prestregel in prodal informacijo o tem, katere izdelke nakupujejo pri Janezkovih, kar bi posledično privedlo do zasutja poštnega predala s spamom in obema brskanje po spletu 'olepšalo' z raznoraznimi bannerji in popup-i, ki bodo ponujali 'alternativne proizvode' k tistim na nakupovalnem listku.

Ja iz 'principa' je že cool, če NIHČE ne more spremljati naših komunikacij, ampak treba je tudi ostati na realnih tleh in ločiti med navadno paranojo in resnično potrebo po kriptiranju.

V realnosti zadeva potem izpade tako, da tisti, ki zgolj paranojo zganjajo, a hkrati nimajo nič za skrivat, svoje komunikacije kriptirajo. Tisti, ki pa bi morali uporabljati enkripcijo, pa jo ne - saj se še spomnite PiranGate-a?

Več kot očitno je pri vseh teh metodah enkripcije največji problem izmenjava javnih ključev. Čeprav ne vem, zakaj pravzaprav. X.509 certifikate nam rinejo na vsakem koraku. Da se jih krasno uporabiti za podpisovanje elektronske pošte, da z njim dokazuješ istovetnost, zatika pa se pri uporabi tega istega mehanizma za enkripcijo sporočila. Tu vidim še veliko potenciala, da se zadeve pošlihtajo.


Če bi bilo šifriranje in podpisovanje po defaultu omogočeno ga bi uporabljali praktično vsi. Pol tega pa če šifriraš vse nihče ne ve ali je sporočilo res zaupno ali ne, če pa po defaultu ne šifiraš pa šifrirano sporočilo takoj bode v oči.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

AndrejO ::

SeMiNeSanja je izjavil:

Nekako ne razumem, kaj se zdaj tu dokazuje. Da je bolje pošiljati maile brez vsake enkripcije, kot pa se matrati, z nekom dogovoriti, katero orodje se bo uporabljalo in izmenja ključe - ker to kvaz potroši preveč energije?

Ne.

SeMiNeSanja je izjavil:

Why the heck, naj bi Janezku mama morala kriptirati mail, v katerem ga sprašuje, če je že naredil domačo nalogo? Ker bo NSA prestregla vprašanje in odgovor, Janezka pa opredelila kot potencialnega bodočega terorista, ker domače naloge še ni naredil?

Zato, ker nima koga za brigati kaj se dva med seboj pogovarjata.

SeMiNeSanja je izjavil:

Malo sorazmernosti pa tudi moraš imeti pri teh zadevah. Ene stvari po pošti pošiljamo z navadno dopisnico, druge z navadno pošto, tretje pa priporočeno in še po možnosti s povratnico. Je res potreba, da čisto vse pošiljamo priporočeno in s povratnico?

Nič se ne pošilja z navadno dopisnico. Samo reklame in razglednice iz počitnic, katerih namen je, da se sosedje razpočijo od zavisti, ko jih vidijo, se pošilja vsem na vpogled.

SeMiNeSanja je izjavil:

Ja iz 'principa' je že cool, če NIHČE ne more spremljati naših komunikacij, ampak treba je tudi ostati na realnih tleh in ločiti med navadno paranojo in resnično potrebo po kriptiranju.

Kako točno ti je že ime? G. Paranoja?

SeMiNeSanja je izjavil:

V realnosti zadeva potem izpade tako, da tisti, ki zgolj paranojo zganjajo, a hkrati nimajo nič za skrivat, svoje komunikacije kriptirajo. Tisti, ki pa bi morali uporabljati enkripcijo, pa jo ne - saj se še spomnite PiranGate-a?

Idealno je, da je zavarovano vse, kar ni za javno objavo. Nihče pa ti ne bo prepovedoval javno objavljati o sebi, karkoli ti ustreza, g. Anonimna Paranoja.

SeMiNeSanja je izjavil:

Več kot očitno je pri vseh teh metodah enkripcije največji problem izmenjava javnih ključev. Čeprav ne vem, zakaj pravzaprav. X.509 certifikate nam rinejo na vsakem koraku.

Zato, ker je to primerljivo s tem, da moraš avto še sestaviti, preden se boš v njea vsedel in odpeljal.

Ali pa če želiš primerjavo z vhodnimi vrati: če želiš protivlomna, ne boš potreboval posebnega treninga za njihovo upravljanje. Še vedno bodo na tečajih, odpirala se bodo v isto smer, imela bodo kljuko in na zelo očitnem in nezgrešljivem mestu tudi standarden vmesnik za avtentikacijo imenovan "ključavnica".

SeMiNeSanja je izjavil:

Da se jih krasno uporabiti za podpisovanje elektronske pošte, da z njim dokazuješ istovetnost, zatika pa se pri uporabi tega istega mehanizma za enkripcijo sporočila. Tu vidim še veliko potenciala, da se zadeve pošlihtajo.

Tukaj in še kje drugje tudi.

SeMiNeSanja ::

V bistvu te dejansko jezi, ko imaš certifikat, s katerim se lahko npr. v Outlooku podpišeš pod mail in to brez vseh ceremonij in kunšti - da ti ne omogoča tudi enkripcije. Gumbek sicer je tam, ampak deloval mi še nikoli ni. Oz. nekaj dela, ampak potem jamra...

Edino (razen cloud based variant), kar mi je doslej RES DELALO je bil PGP. Samo to je bilo pred skoraj 20 leti. Ko ugotoviš, da si skoraj edini norec, ki ga uporablja (v krogu s katerim si dopisuješ) in izpadeš čudak, če že samo podpišeš mail s PGP ključem, zadevo potem sčasoma opustiš.

Danes sem in tja kakšen mail podpišem z X.509 certifikatom, da je bolj 'uraden'. Poleg tega certifikat še uporabljam za podpis pdf datotek z računi, potem pa se že počasi konča realna 'uporabnost', če izvzamemo https in VPN komunikacije. Žal.

Ribič ::

SeMiNeSanja je izjavil:

Why the heck, naj bi Janezku mama morala kriptirati mail, v katerem ga sprašuje, če je že naredil domačo nalogo? Ker bo NSA prestregla vprašanje in odgovor, Janezka pa opredelila kot potencialnega bodočega terorista, ker domače naloge še ni naredil?
Ni nobene potrebe, da takšen mail absolutno *mora* biti šifriran, lahko pa je, ker hkrati tudi ni nobenega razloga, da nebi bil šifriran. Stranski učinek konstantnega šifriranja je, da vohljači ne morejo razločiti med "pomembnimi" in "nepomembnimi" maili, ker oni v bistvu iščejo anomalije v komunikaciji. Kaj če Janezek, ki je pod nadzorom oblasti, celo življenje že uporablja nešifrirano pošto, potem pa kar naenkrat pošlje nekomu neznanemu šifrirano sporočilo? Tole bo rdeča zastava za vohljače, saj si kar naenkrat spremenil svojo navado in moraš imeti nekaj za bregom.


Namesto tega je potrebno vzpostaviti nek proces oz. pravila, ki se jih redno držiš. Tudi v nekaterih podjetjih počnejo na ta način, kjer obdelujejo kakšne podatke. Npr. ustvarijo si določeno politiko, ki določa, da npr. log datoteke na strežnikih redno brišejo ali pa jih sploh ne hranijo. Lahko imajo tudi skonfigurirane mail strežnike, da se stara pošta sproti briše, itd. Skratka neka pravila, ki se jih redno držiš. Če pa it greš v podjetju, ki nima teh pravil, nekega dne nenadoma vso svojo pošto ali pa loge pobrisati, pa se zadeva lahko na sodišču sliši kot da si želel izbrisati dokaze ali pa onemogočiti preiskavo.

Iz tega principa tudi jaz predlagam, da se šifrirajo vse stvari (tudi banalne).

SeMiNeSanja je izjavil:

Ja iz 'principa' je že cool, če NIHČE ne more spremljati naših komunikacij, ampak treba je tudi ostati na realnih tleh in ločiti med navadno paranojo in resnično potrebo po kriptiranju.
Ravno tule se motiš. Vohljači *ne smejo* razločiti kdaj ti kriptiraš "pomembne" podatke in kdaj ne (beri zgoraj). Če ti neka tehnika omogoča konstantno šifriranje, jo pač uporabljaj in se ne obremenjuj s preganjavico.

SeMiNeSanja je izjavil:

V realnosti zadeva potem izpade tako, da tisti, ki zgolj paranojo zganjajo, a hkrati nimajo nič za skrivat, svoje komunikacije kriptirajo. Tisti, ki pa bi morali uporabljati enkripcijo, pa jo ne - saj se še spomnite PiranGate-a?
Omenil sem že, da taki ljudje, ki nimajo nič za skrivati, ne obstajajo. Sicer pa ni nič narobe, da svoje komunikacije šifrirajo - vesel sem, da jih. Morda bi celo takšne ljudi morali dati v parlament.

jukoz ::

Yacked2 > Če bi bilo šifriranje in podpisovanje po defaultu omogočeno ga bi uporabljali praktično vsi. Pol tega pa če šifriraš vse nihče ne ve ali je sporočilo res zaupno ali ne, če pa po defaultu ne šifiraš pa šifrirano sporočilo takoj bode v oči.

Po defaultu ne bo omogočeno, ker to ni v interesu varnostnih organov. V določenih okoljih seveda je omogočeno in zahtevano, vendar se hitro zgodi da uporabniki najdejo kakšen obvoz mimo. Ja, tu pride na misel PiranGate

AndrejO> Nič se ne pošilja z navadno dopisnico. Samo reklame in razglednice iz počitnic, katerih namen je, da se sosedje razpočijo od zavisti, ko jih vidijo, se pošilja vsem na vpogled.

Pošiljamo pa v navadni kuverti. Ampak imamo ene 300 let star dogovor, da se pošte ne gleda. In je to večinoma dovolj, vsaj za pošto. Varnostne agencije imajo seveda posebne zakone ki jim dovoli vpogled.

AndrejO> Zato, ker je to primerljivo s tem, da moraš avto še sestaviti, preden se boš v njea vsedel in odpeljal.

Ne, primerljivo je s tem da odkleneš vrata s kartico ali pa vpišeš PIN na bankomatu.

AndrejO> Ali pa če želiš primerjavo z vhodnimi vrati: če želiš protivlomna, ne boš potreboval posebnega treninga za njihovo upravljanje. Še vedno bodo na tečajih, odpirala se bodo v isto smer, imela bodo kljuko in na zelo očitnem in nezgrešljivem mestu tudi standarden vmesnik za avtentikacijo imenovan "ključavnica".

Ampak vrata moraš vseeno najprej kupit in zmontirat. Ne padejo iz neba. Nato jih pa moraš še pravilno uporabljat. In ne mi rečt da si najel monterja in uporaljaš njegovo klučavnico, ker je potem isto kot da bi uporabljal default geslo - monter je videl kaj imaš v hiši in ve kaj in kje vzeti.

SeMiNeSanja> Edino (razen cloud based variant), kar mi je doslej RES DELALO je bil PGP. Samo to je bilo pred skoraj 20 leti. Ko ugotoviš, da si skoraj edini norec, ki ga uporablja (v krogu s katerim si dopisuješ) in izpadeš čudak, če že samo podpišeš mail s PGP ključem, zadevo potem sčasoma opustiš.

Vse maile podpisujem že 15 let, pa se še nihče ni pritožil. Kdaj pa kdaj kdo vpraša kaj je to in če bi lahko to tudi on imel. Ampak ne preveč pogosto =)

SeMiNeSanja> Danes sem in tja kakšen mail podpišem z X.509 certifikatom, da je bolj 'uraden'.

S kerim certom pa?

SeMiNeSanja ::

jukoz je izjavil:


SeMiNeSanja> Danes sem in tja kakšen mail podpišem z X.509 certifikatom, da je bolj 'uraden'.

S kerim certom pa?

Službene s PoštarCA certifikatom, zasebno Gmail pošto pa s Comodo certifikatom.

Sicer sem se zadnjič še nekaj igral z CAcert, predvsem, da bi videl, koliko so njihovi certifikati kaj uporabni, glede na to, da so zastonj. Ampak je še prezgodaj, da bi lahko kaj več na to temo povedal.

AndrejO ::

SeMiNeSanja je izjavil:

jukoz je izjavil:


SeMiNeSanja> Danes sem in tja kakšen mail podpišem z X.509 certifikatom, da je bolj 'uraden'.

S kerim certom pa?

Službene s PoštarCA certifikatom, zasebno Gmail pošto pa s Comodo certifikatom.

Sicer sem se zadnjič še nekaj igral z CAcert, predvsem, da bi videl, koliko so njihovi certifikati kaj uporabni, glede na to, da so zastonj. Ampak je še prezgodaj, da bi lahko kaj več na to temo povedal.

Bi ga lahko dal sem gor, da te nekaj varno vprašam?

:P

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:

jukoz je izjavil:


SeMiNeSanja> Danes sem in tja kakšen mail podpišem z X.509 certifikatom, da je bolj 'uraden'.

S kerim certom pa?

Službene s PoštarCA certifikatom, zasebno Gmail pošto pa s Comodo certifikatom.

Sicer sem se zadnjič še nekaj igral z CAcert, predvsem, da bi videl, koliko so njihovi certifikati kaj uporabni, glede na to, da so zastonj. Ampak je še prezgodaj, da bi lahko kaj več na to temo povedal.

Bi ga lahko dal sem gor, da te nekaj varno vprašam?

:P

A kar cel certifikat bi ti rad? hahahaha
Če bi rekel, da naj dam gor Public Key...ajde... (za kolk tupega me ima ta človek?)

AndrejO ::

SeMiNeSanja je izjavil:

A kar cel certifikat bi ti rad? hahahaha
Če bi rekel, da naj dam gor Public Key...ajde... (za kolk tupega me ima ta človek?)

Po pravici povedano? Precej. Vendar nikakor ne v smislu "neumnega", temveč v smislu tega, da če ti ne vidiš problema zase, potem problema ni.

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:

A kar cel certifikat bi ti rad? hahahaha
Če bi rekel, da naj dam gor Public Key...ajde... (za kolk tupega me ima ta človek?)

Po pravici povedano? Precej. Vendar nikakor ne v smislu "neumnega", temveč v smislu tega, da če ti ne vidiš problema zase, potem problema ni.

Ne morem pomagat, če ne razumeš, da jaz govorim o 'sedanjosti', 'realnem stanju' in 'realnih možnostih - danes', ti pa o 'prihodnosti', 'idealnem stanju' in 'potencialnih možnostih - pojutrišnjem'.

Ti govoriš o načelnih principih, da naj nihče ne gleda tvoje komunikacije, jaz pa o realnih možnostih, koliko ti lahko danes škoduje, če NSA vidi tvojo komunikacijo.

Skratka govoriva o različnih zadevah. Kar bo enkrat 'pojutrišnjem', meni danes ne koristi prav nič. Pobožne želje, vizije, znanstvena fantastika,..... Ampak to še vedno ne bo kriptiralo mojega maila, ki ga bom danes poslal ven.

Seveda načelno tudi meni ni všeč, da nekdo XY brez moje vednosti in nezakonito vtika svoj nos v moje komunikacije.
Ampak če smo že pri načelih, boš na koncu moral priznati, da to sploh ni tehnološki problem - saj se gre za nezakonite posege! Načeloma bi nas morala država ščititi pred takšnimi posegi v zasebnost, tako kot nas ščiti pred ropi in drugimi kaznivimi dejanji. NAČELOMA.

Problem smo sami pretvorili v tehnološkega, ker je 'država' na tem področju odpovedala, oz. še sama tiči s prsti v loncu z marmelado.
Žal pa tehnološko več kot očitno uporabniki in industrija še nismo dovolj zreli, da bi DANES nekaj naredili, kar bi to problematiko na enostaven in učinkovit način reševalo.

jukoz ::

AndrejO> Po pravici povedano? Precej. Vendar nikakor ne v smislu "neumnega", temveč v smislu tega, da če ti ne vidiš problema zase, potem problema ni.

Mislim da vsi vidimo problem. Tebi samo obstoječe rešitve niso všeč in dokler ne boš našel (po tvoje) popolne rešitve, nobena rešitev ni OK. Ostali si pa rečemo jbg in natipkamo tisto geslo in komuniciramo kriptirano.

SeMiNeSanja> Ampak če smo že pri načelih, boš na koncu moral priznati, da to sploh ni tehnološki problem - saj se gre za nezakonite posege! Načeloma bi nas morala država ščititi pred takšnimi posegi v zasebnost, tako kot nas ščiti pred ropi in drugimi kaznivimi dejanji. NAČELOMA.

Saj država nas ščiti. Sama pa lahko gleda in bere kar želi.

AndrejO ::

SeMiNeSanja je izjavil:


Ne morem pomagat, če ne razumeš, da jaz govorim o 'sedanjosti', 'realnem stanju' in 'realnih možnostih - danes', ti pa o 'prihodnosti', 'idealnem stanju' in 'potencialnih možnostih - pojutrišnjem'.

Jaz pa vedno rad povem, da je trenutno stanje tako usrano, da ni ničemer podobno in, da se mnogo raje posvečam temu, da bi ugotovil, kaj je potrebno spremeniti.

SeMiNeSanja je izjavil:

Ti govoriš o načelnih principih, da naj nihče ne gleda tvoje komunikacije, jaz pa o realnih možnostih, koliko ti lahko danes škoduje, če NSA vidi tvojo komunikacijo.

Jaz predvsem govorim o temu, da je potrebno migati, da se to spremeni, ne pa do onemoglosti popisovati "trenutno stanje".

SeMiNeSanja je izjavil:

Skratka govoriva o različnih zadevah. Kar bo enkrat 'pojutrišnjem', meni danes ne koristi prav nič. Pobožne želje, vizije, znanstvena fantastika,..... Ampak to še vedno ne bo kriptiralo mojega maila, ki ga bom danes poslal ven.

Če se ne pogovarjamo o temu, kaj naj se spremeni, bo stanje za vedno ostalo takšno, kot je danes.

SeMiNeSanja je izjavil:

Seveda načelno tudi meni ni všeč, da nekdo XY brez moje vednosti in nezakonito vtika svoj nos v moje komunikacije.
Ampak če smo že pri načelih, boš na koncu moral priznati, da to sploh ni tehnološki problem - saj se gre za nezakonite posege! Načeloma bi nas morala država ščititi pred takšnimi posegi v zasebnost, tako kot nas ščiti pred ropi in drugimi kaznivimi dejanji. NAČELOMA.

Proučujem načine, kjer bi tehnologijo lahko uporabili za lastno zaščito. Država tega namreč preprosto ni sposobna. Moje trenutno stališče je tudi, da ne samo, da tega ni sposobna, te naloge v 21. st. ne more izpeljati, ne da bi resno ogrozila nekatere izmed danes samoumevnih pravic državljanov.

SeMiNeSanja je izjavil:

Problem smo sami pretvorili v tehnološkega, ker je 'država' na tem področju odpovedala, oz. še sama tiči s prsti v loncu z marmelado.
Žal pa tehnološko več kot očitno uporabniki in industrija še nismo dovolj zreli, da bi DANES nekaj naredili, kar bi to problematiko na enostaven in učinkovit način reševalo.

Zato pa se nekateri želimo pogovarjati o jutri. "Danes" je, vsaj kar se mene tiče, že dovolj dobro popisan in predebatiran. V ponavljanju ne vidim nikakršne dodatne vrednosti, samo potrato časa.

AndrejO ::

jukoz je izjavil:

SeMiNeSanja> Ampak če smo že pri načelih, boš na koncu moral priznati, da to sploh ni tehnološki problem - saj se gre za nezakonite posege! Načeloma bi nas morala država ščititi pred takšnimi posegi v zasebnost, tako kot nas ščiti pred ropi in drugimi kaznivimi dejanji. NAČELOMA.

Saj država nas ščiti. Sama pa lahko gleda in bere kar želi.

Država v obliki izvršilne veje oblasti, ne ščiti nikogar, se izmika vsakršnem nadzoru in operativno ni sposobna zaščititi niti svojih interesov na tem področju. To ne velja samo za nekaj komičnih vložkov v Sloveniji, to velja za praktično vse razvite države, ki so svoje "poslovanje" že opazno informatizirale.

Država je dejansko del problema in ne kaže, da bi v kratkem prenehala biti ovira, kaj šele, da bi bila del rešitve.

SeMiNeSanja ::

'Država' ima ta problem, da sedi na dveh stolčkih. Enkrat bi rada vohljala vse in vsakogar (četudi to naj nebi smela), po drugi strani pa nas buzerira z nekimi informacijskimi pooblaščenci, ki spet gredo v drugo skrajnost, da nam na koncu že otežujejo življenje (če nič drugega me zdaj vsaka spletna stran nadleguje z cookie obvestilom).
Še hujši problem pa je, da na Internetu nimaš opravka zgolj z eno 'matično' državo (ki te vsaj načeloma varuje), temveč s celo kopico drugi 'držav' in individualcev, pred katerimi te pa nihče ne ščiti, saj nisi 'njihov'.

Zato se tu po pravni plati ne da nič doseči. Interesi različnih 'držav' pač pretehtajo, pa imej kolikor hočeš informacijskih pooblaščencev v EU.

Torej mora problem reševati tehnologija, če ga 'policaji' niso sposobni. Ampak zlomka, tudi v tehnologijo se države vmešavajo. Apple ni prvi primer, ko 'država' besni. Blackberry je tudi imel kopico težav in na koncu nekaterim 'državam' popustil, da jih nebi bannali.

Kljub temu, se pri varnosti v poslovnem svetu vedno pogovarja tudi o 'oceni tveganja'. Ko pa se preide na nivo zasebnih komunikacij, pa se nihče noče več pogovarjati o oceni tveganja, temveč privzeto smatra, da je to tveganje tako visoko, kot da bi bil najhujši kriminalec, pred hišo pa imel parkiran NSA kombi nabito poln z elektroniko, da si zabeležijo še celo ritem utripanja srca medtem ko na wc opravlja svojo potrebo.
Se pravi, da se poslovnih komunikacij lotevamo razumsko, osebnih pa predvsem emocionalno.

Daleč od tega, da bi imel karkoli proti temu, da bi se standardiziral preprost in učinkovit način za kriptiranje vseh komunikacij. Verjetno bom celo med prvimi, ki bodo zadevo preizkušali, če bom takrat še med živimi. Ampak po drugi strani pa dobro vem, da sem popolnoma nezanimiv za NSA, Sovo in kaj vem kdo še vse tam zunaj vleče na ušesa.
Se pa zavedam, da pa morda nisem nezanimiv za raznorazne kriminalce, ki bi jim lahko prišli prav moji osebni podatki (država jih itak ima), podatki o mojih kreditnih karticah, gesla na različnih spletnih storitvah,.....

Če izključim emocije in trezno razmislim, moram priti do zaključka, da me bistveno bolj ogrožajo razni kriminalci, kot pa NSA&Co. Sicer ni nič fajn občutek, da veš, da te lahko NSA&Co 'gledajo', ampak bojim se jih pa ne - v nasprotju z kriminalci, ki meni osebno predstavljajo veliko večjo grožnjo.

'Zdravilo' je v obeh primerih isto - zaščita komunikacij in podatkov. Zato sem tudi absolutno mnenja, da se bo moralo tu še veliko naresti, četudi se že kar nekaj da naresti tudi danes.

Moti me samo to, da se vedno s prstom kaže proti 'državam' (NSA&Co), ki dejansko na koncu sramežljivo skrivajo, da so naše podatke prestrezale. Lahko bi rekel, da so 'diskretne'. Za razliko od kriminalcev, ki jim je malo mar za diskretnost. Enim pokradejo fotografije in jih preprodajajo, drugim kreditne kartice, tretjim kar celotno identiteto. Ko te TO doleti, imaš kar nekaj več težav, kot če ti je NSA&Co 'prevohljal' datoteke na tvojem disku (če nisi ravno Alkaida ali ISIS podpornik).

NSA&Co navadnemu zemljanu povzročajo nelagodje, morda kakšen glavobol. Kriminalci pa lahko prizadanejo bolečine, kot če so ti na živo amputirali nogo.

Zato neprestano ponavljam, da je pretirano fokusiranje zgolj na NSA&Co bolj škodljivo, kot pa koristno, ker se pri tem začne pozabljati na kriminalce.
Kadarkoli se govori o nevarnostih, ki prežijo na naše komunikacije, je potrebno omeniti tudi kriminalne združbe, da se ljudje pričnejo zavedati, da je problem malo širši in se tudi njih tiče in ne zgolj 'potencialnih teroristov'.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Osmocom-TETRA (strani: 1 2 3 4 )

Oddelek: Loža
15045675 (7074) hipertija
»

Britanska notranja ministrica: Enkripcija je sporna, država mora imeti dostop! (strani: 1 2 3 4 5 )

Oddelek: Novice / Zasebnost
20143887 (38501) PaX_MaN
»

Kako resna podjetja komunicirajo? (strani: 1 2 )

Oddelek: Informacijska varnost
7322940 (18138) SeMiNeSanja
»

Mozilla po Eichovem odstopu (strani: 1 2 3 4 5 6 )

Oddelek: Novice / Ostale najave
29559631 (54453) jype
»

V Nemčiji bodo zaradi Prisma šifrirali e-pošto

Oddelek: Novice / Varnost
4714624 (11115) AndrejO

Več podobnih tem