Reuters - Koliko stane integriteta? Odvisno, koga vprašate. Slovenski zdravniki jo po zadnjih preiskavah glede podkupovanja očitno prodajo za nekaj tisočakov. Pri avtocestah se je merila v stotinah milijonov dolarjev. Kaj pa v ZDA? Podjetje RSA (sedaj podružnica EMC) je svojo verodostojnost in integriteto očitno prodalo za 10 milijonov dolarjev. Toliko denarja so prejeli od NSA, da so namenoma ošibili svoje algoritme.
Novi Snowdnovi dokumenti, ki jih je pridobil Reuters, kažejo, da je NSA sklenila 10 milijonov dolarjev vredno pogodbo z RSA, ki sodi med velikane računalniške varnosti, da je ta v svoje algoritme za tvorjenje naključnih števil vgradila ranljivosti, ki omogočajo lažje razbijanje. Da NSA kaj podobnega počne, ni presenečenje, saj smo že septembra pisali, da je NSA uspela izsiliti vgraditev ranljivosti v algoritem Dual EC-DRBG, s čimer je velik del verodostojnosti izgubil NIST (National Institute of Standards and Technology). RSA je tedaj odsvetovala uporabo programske opreme, ki ima kakršnokoli povezavo z NSA.
RSA pa je bila glavni faktor, ki je poskrbel za vpeljavo pomanjkljivega algoritma v programsko opremo BSafe, kažejo nova poročila. Uradno RSA, EMC in NSA ne komentirajo navedb. Viri iz RSA in nekdanji uslužbenci pa pravijo, da je podjetje storilo veliko napako s sklenitvijo te pogodbe in pravijo, da jih je NSA do neke mere celo zavajala, saj naj bi nov algoritem predstavljala kot varnostni napredek.
RSA pa ni bila vedno v postelji z NSA. Ko je podjetje nastalo in začelo revolucionirati šifriranje z javnimi in zasebnimi ključi, so se v ZDA zbali, da bo predstavljajo težavo za prisluškovanje. Zato so poizkusili doseči omejitev dolžine ključev, pa vgradnjo obvezne tehnologije za prisluškovanje (Clipper Chip) in naposled omejitvijo izvoza tehnologije, a je RSA ustanovila podružnico v Avstraliji in prodajala od tam. Na prelomu tisočletja se je RSA začela spreminjati in podjetje je sodelovalo tudi z vlado. Tako je NSA dosegla, da je RSA v svoje programe vključila omenjeni algoritem z dvojnimi eliptičnimi krivuljami kot privzeto možnost, še preden ga je NIST standardiziral. NSA je potem uporabo algoritma v RSA pri NIST omenila kot argument za standardizacijo, kar jim je na koncu uspelo. Sedaj je jasno, da je RSA za to prejela 10 milijonov dolarjev. To ni veliko denarja, a še vedno predstavlja približno tretjino letnih dohodkov, ki jih RSA ustvari na tem področju.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Pa kaj si ti nor malo. Kar na bruhanje mi gre, dobesedno več ne moreš verjet ničemur, zdaj sem še v bitphone podvomil. Bo treba ponovno začeti z offline komunikacijo in se 100% izogniti internetu če bi rad zasebnost. Edino še ipv6 mi daje upanje, če še v to niso vrnili kak svoj backdoor.
mislil sem na ipsec in gromozansko število hostov kar praktično onemogoči prisluškovanje, načeloma se pa strinjam, offline je safest bet, HW in SW sta okužena, kaj drugega nam več ne preostane edino "roll your own" za kar ja 99% ljudi nima znanja. Razen če bi kot ruter uporabil PC + OpenBSD, pa še tu ne moreš verjet matični, cpu, ram... če pa je že vse okuženo.
Katera orodja za izdelavo lastnega CA-ja in certifikatov pa potem niso kompromirana? OpenSSL? PGP?
Osebno tudi sam menim, da so vsi CA-ji problematični. Že to je problem, da nikoli ne veš ali se zasebni ključ pri prevzemu generira pri tebi ali pri njih. CA-ji nikoli ne bi smeli imeti stika z zasebnim ključem.
V bistvu imaš na koncu kot kupec izbiro, kdo ti bo prisluškoval. PA še to nisi čisto prepričan, ker verjetno definirajo prijatelske agencije, ksjese sma prodajati katera strojna oz. programska oprema, ter katere sw sme biti podprt....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Pa kaj si ti nor malo. Kar na bruhanje mi gre, dobesedno več ne moreš verjet ničemur, zdaj sem še v bitphone podvomil. Bo treba ponovno začeti z offline komunikacijo in se 100% izogniti internetu če bi rad zasebnost. Edino še ipv6 mi daje upanje, če še v to niso vrnili kak svoj backdoor.
Pri eliptičnih krivuljah je problem, ker so notri neke konstante, za katere se ne ve zakaj so take, kot so. Špekulira se, da ima preko njih NSA morda kakšen matematičen backdoor. Po drugi strani so eliptične krivulje idealne za mobilne naprave, plus odporne so na faktorizacijo.
Pri eliptičnih krivuljah je problem, ker so notri neke konstante, za katere se ne ve zakaj so take, kot so. Špekulira se, da ima preko njih NSA morda kakšen matematičen backdoor. Po drugi strani so eliptične krivulje idealne za mobilne naprave, plus odporne so na faktorizacijo.
Zgleda, da je bilo naivno pričakovati, da bodo oni dopustili kaj takega. Verjetno že ta trenutek snujejo kako bo vse to potekalo na strojnem nivoju (če že ne), pol ti pa softwarske rešitve nič ne ščitijo. Vse za prevlado ekonomsko, politično.
The fatal Dual EC_DRBG bug resides in the FIPS Object Module v2.0, an optional OpenSSL library used to build crypto apps that are certified by the US government's Federal Information Processing Standards. When using the module's implementation of Dual EC_DRBG, the application crashes and can't be recovered.
Če bi nekdo to napisal tu pred petimi leti, ga bi imeli za neumnega teoretika zarot. Kaj če je še marsikaj drugega res?
oh for fucks sake, ne, ne bi te imeli za teoretika zarot. pravilen odziv bi bil, da čisto lahko, ampak dostavi dokaze. če to povezuješ s tapravimi "teorijami" zarote, potem si malo moten. vladno sponzorirani backdoori se špekulirajo in so tudi znani že celo jebeno zgodovino backdoorov
Ah dokaze...na internetu imaš cel kup dokazov za vesoljce na Zemlji. Kaj je pa tokrat drugače? Nič, samo da so to priznali. Sej ne mislim zdej zato, da so vesoljci res na Zemlji, je pa verjetno res še marsikaj. Čeprav ne vem več kaj dost še ostane. Morda edino samo še da je bil 9/11 ameriško maslo. Drugega večjega sranja ne more več bit.
A to pomeni, da moj RSA ključek za NKBM ni več varen? ;)
Verjetno ni nikoli bil varen pred NSA ..., samo ne zaradi tega (CA). Tvoj ključek je RSA algoritem, RSA v tej novici je pa RSA Security firma. RSA algoritem je starejši od firme.
:
