Vice - Ena izmed glavnih prednosti BlackBerryja je varnost komunikacije, saj so sporočila med telefonskimi aparati šifrirana, če jih pošiljamo prek njihove storitve BBM. Toda kanadska policija ima vsaj od leta2010 dostop do šifrirnega ključa, ki ga uporabljajo vse BlackBerryjeve naprave, ki niso del poslovnih sistemov in uporabljajo Business Enterprise Server. To razkrivajo dokumenti sodnega procesa v operaciji Celemenza. Sedem ljudi so obtožili umora newyorške mafijske družine, dokaze pa je policija pridobila s prestrezanjem njihove komunikacije prek BlackBerryja, kažejo dokumenti.
BlackBerryj sporočila med uporabniki šifrira z enotnim šifrirnim ključem, ki je naložen na vse naprave. Poslovni uporabniki lahko na Business Enterprise Serverju uporabljajo tudi lastne šifrirne ključe, običajni uporabniki pa te možnosti nimajo. Tem lahko kanadska policija prisluškuje, saj imajo v Ottawi postavljen strežnik, ki simulira mobilno naprave in sprejema sporočila, jih dešifrira in prebira. Da to lahko počnejo, morajo seveda imeti v lasti ta skrbno varovan ključ, čemur niti tožilstvo ni ugovarjalo, torej to očitno drži.
V postopku je obramba najprej želela doseči celo razkritje tega ključa, a so se kasneje odločili, da bo zadostovalo razkritje njegovega obstoja. Če bi v javnost pricurljal ta ključ, bi lahko kdorkoli prebiral vsa sporočila, poslana prek BlackBerryjev, tudi posneta za nazaj. Ni sicer jasno, ali je BlackBerry ključ kasneje spremenil, verjetneje pa je, da ga ni, saj bi sprememba pomenila posodobitev vseh naprav. Prav tako ni znano, kjer je policija pridobila šifrirni ključ. Je pa njegov obstoj dve leti v sodnem postopku želela prikriti, a je sodnik na koncu odločil, da to ni smiselno.
Vsak univerzalni ključ, ki je dostopen več kot 1 (pravni) osebi, je slejkoprej dostopen tudi drugim. Vsi varnostni mehanizmi počasi postajajo pesek, zmetan v oči.
Opensource SW dejansko postaja precej manj nevaren kot proprietary. Dokler se vsa nova koda res temeljito testira in preveri za backdoorje.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
Če je sistem zasnovan tako, da kripto del stoji (da ni nekih "skritih" master ključev) in če si lahko narediš/namestiš reproducible build, potem je zadeva definitivno precej bolj varna kot closed source.
Ja, seveda. Ampak pri open software vidiš ali obstaja master ključ ali ne. Tukaj se pa lahko po mili volji lažejo.
Mimogrede, zanimivo je, kako hitro so neki kanadski pokojninski skladi pristopili k zadnji dokapitalizaciji BlackBerrya pred dobrim letom. In to v tistem trenutku, ko so se za nakup BlackBerry začeli zanimati Kitajci...
Ja, seveda. Ampak pri open software vidiš ali obstaja master ključ ali ne. Tukaj se pa lahko po mili volji lažejo.
Mimogrede, zanimivo je, kako hitro so neki kanadski pokojninski skladi pristopili k zadnji dokapitalizaciji BlackBerrya pred dobrim letom. In to v tistem trenutku, ko so se za nakup BlackBerry začeli zanimati Kitajci...
BULLSHIT! Ti vids sam kodo, ki so jo dal na voljo. Kaj oni zadaj laufajo je vprasanje :-)
Opensource SW dejansko postaja precej manj nevaren kot proprietary.
Dokler ima NSA veliko programerjev, ki "prispevajo" k open source, ni nič kaj bolj varen... Ena izmed pomembnih strategij zadnjih let je bila, da SecureRandomNumberGenerator nadomestijo z "malo-manj SecureRandomNumberGenerator" in sicer takšen, da ga samo oni znajo reproducirati...
Pa seveda mnogi open-source "prispevki", ki so imeli skrbno načrtovane luknje, ki jih niti s code-reviewom in testiranjem nisi mogel enostavno najti, ko (če) pa jih kdo odkrije, pa se tretirajo kot da so bile narejene "pomotoma/nehote". In teh "po pomoti narejenih" varnostnih lukenj je v open-source veliko... žal...
Ce veste vse, zakaj ne popravite? Aja, ne znate/se ne splaca. Super.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Kje si pa prebral, da vemo vse? Funkcionalna nepismenost je huda stvar. Matthai je napisal, da se ve VEČ, če je programska oprema odprto kodna. Ali slučajno ni tako?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
Opensource SW dejansko postaja precej manj nevaren kot proprietary.
Dokler ima NSA veliko programerjev, ki "prispevajo" k open source, ni nič kaj bolj varen... Ena izmed pomembnih strategij zadnjih let je bila, da SecureRandomNumberGenerator nadomestijo z "malo-manj SecureRandomNumberGenerator" in sicer takšen, da ga samo oni znajo reproducirati...
Kolikor vem je zaprta-koda tista, ki uporablja Dual EC DRBG (RSA BSAFE).
Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.
Kam v kodo pa skrije master key?
Predvidevam, da Invictus misli na to, da bi se odprto-kodna rešitev zanašala na uporabo master key-ja, ki bi ga dodal uporabnik/ponudnik storitve, ki bi jo uporabljal. Seveda lahko to isto rešitev uporablja več ponudnikov in bi nekaterim morda zaupal, drugim pa ne. Matthai pa cilja na to, da bi se uporabljala kriptografska rešitev, ki ne potrebuje master key-ja in v tem primeru potem dvom o zaupanju ponudniku odpade.
Bog pomagaj. Daj preberi si par osnov kriptografije.
A misliš, da so corporate-like sistemi, ki poznajo samo koncept master keya, edina stvar na svetu?
Fora mojega posta je, da ti ne pomaga ne vem kakšno kriptografiranje, če ti pa vendor deli master key s policijo.
Takrat je čisto vseeno ali je software open ali closed source ...
Bralna funkcionalnost ?!?!?!
Ti kr neki bluziš, sej nima vsaka stvar master keya. Ti v open source-u vidiš kako se stvar zakriptira in ni nobenega master keya. Seveda je opcija, da ima program nek backdoor, bolj kompleksen več šans. Ampak saj ga lahko sam spišeš (ti sicer ne) ali pa preveriš.
?