tag:blogger.com,1999:blog-13416814.post112677192758219089..comments2024-03-23T12:52:39.700+01:00Comments on Henrik Alexandersson: Stoppa Bodström!Henrik Alexanderssonhttp://www.blogger.com/profile/15234481146487869678noreply@blogger.comBlogger20125tag:blogger.com,1999:blog-13416814.post-1126807060849409892005-09-15T19:57:00.000+02:002005-09-15T19:57:00.000+02:00Du menar det där med prestanda? Tja, borde och bor...Du menar det där med prestanda? Tja, borde och borde... Det finns ju en miljard olika sätt att mejla och surfa anonymt. Vissa är väl snabba, andra inte. Prova t.ex. att surfa anonymt här:<BR/><BR/>http://www.the-cloak.com/anonymous-surfing-home.html<BR/><BR/>... det är rätt segt, må jag säga.Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126806639873530192005-09-15T19:50:00.000+02:002005-09-15T19:50:00.000+02:00HAX: Stoppa storebror har en bra lista som man kan...HAX: Stoppa storebror har en bra lista som man kan utgå ifrån:<BR/><BR/>http://www.epic.org/privacy/tools.html<BR/><BR/>Datorsäkerhet är ett stort område och tyvärr en aning svårbemästrat för icke-tekniker. Är man mån om sin integritet får man nog bita i det sura äpplet och bli lite tekniker själv.<BR/><BR/>Att området är underutvecklat beror till stor del på att alla åtgärder som försvårar för tjuvtittare kostar i form av försämrad prestanda. Det tar längre tid att skicka mail, det går långsammare att surfa osv. Få privatpersoner tycker att det är värt det.Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126805632616885322005-09-15T19:33:00.000+02:002005-09-15T19:33:00.000+02:00...om man nu skulle behöva mer än vad som står i F......om man nu skulle behöva mer än vad som står i Fredriks shoppinglista på nästa bloggpost, vill säga?<BR/><BR/>Behöver man mer?Henrik Alexanderssonhttps://www.blogger.com/profile/15234481146487869678noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126805498066394762005-09-15T19:31:00.000+02:002005-09-15T19:31:00.000+02:00Saken är naturligtvis att oavsett om det går eller...Saken är naturligtvis att oavsett om det går eller inte går att knäcka en kryptering - om en stat lägger alla sina polisiära och militära dataresurser på det - så är det knappast troligt att de tänker försöka speciellt ofta.<BR/><BR/>Förmodligen kommer de att försöka om de tror sig kunna avvärja en mycket allvarlig terrorattack. Och det gör de ju då rätt i. Men de kommer knappast att satsa lika hårt för att avslöja en skattesmitare, haschrökare, anarkist eller vanlig retsticka.<BR/><BR/>För oss som är totala noviser på det tekniska: Var skaffar man enklast allt det där fina som finns bakom bokstavskombinationerna ni skriver om?Henrik Alexanderssonhttps://www.blogger.com/profile/15234481146487869678noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126804567798184412005-09-15T19:16:00.000+02:002005-09-15T19:16:00.000+02:00Faler: Jag är civilingenjör i datateknik från Link...Faler: Jag är civilingenjör i datateknik från Linköpings tekniska högskola med telekommunikation som specialitet. Det är min bakgrund och med reservation för att vem som helst, i alla fall i teorin, kan ha fel om vad som helst så, ja, jag är säker.<BR/><BR/>Betänk dessutom följande; varje seger forskarna gör i fråga om att knäcka RSA med längre och längre nycklar kräver åratal av arbete. Men när det händer så dubblar man helt enkelt nyckellängden i sitt PGP, vilket är gjort på en sekund. Då måste forskarna jobba i fem år till, varpå samma sak upprepas.<BR/><BR/>Det är helt enkelt ett race kodknäckaren aldrig vinner.<BR/><BR/>Observera att detta gäller brute force. I princip alla krypteringsalgoritmer bygger på matematiska problem som är dokumenterat "svåra" vilket på svenska betyder att de tar väldigt, väldigt lång tid att lösa. I fallet RSA är problemet att primtalsfaktorisera mycket stora tal. Detta problem har matematikerna försökt hitta en "lätt" lösning på i flera hundra år. OM någon skulle lyckas lösa DET problemet så faller hela RSA som ett korthus.<BR/><BR/>Som tur är finns det flera andra "svåra" problem att ta till om det skulle hända.<BR/><BR/>Däremot har du självklart rätt i att ingen kedja är starkare än dess svagaste länk, men det är samtidigt inte fel att utnyttja en dokumenterat stark länk, vilket RSA2048 är. (Eller, för all del, RSA4096 om man så vill.)<BR/><BR/>Alltså; RSA2048 är en "hård" stopper för den som vill snoka i ditt privatliv. Det är viktigt att inte sprida felaktiga uppfattningar på den punkten.Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126801670669341022005-09-15T18:27:00.000+02:002005-09-15T18:27:00.000+02:00faler:På tal om timingattacken mot RSA ställer den...faler:<BR/><BR/>På tal om timingattacken mot RSA ställer den rätt stora krav på angriparen. Det är dessutom ett lysande exempel på ett handhavandefel, inte ett fel med RSA. (Och är lätt fixat.)<BR/><BR/>RSA med stora nycklar går att "brute-forca", i teorin, men inte i praktiken. Så länge framtiden ser ut ungefär som man kan tänka sig och inget väldigt märkligt händer kan du nog lita på RSA-2048.<BR/><BR/>Två saker kan ändra detta:<BR/><BR/>1) En ny innovativ attack mot RSA.<BR/><BR/>2) Ny fysik eller i alla fall betydligt bättre tillvaratagande av den fysik vi har idag.<BR/><BR/>Jag betraktar 1 som en större risk, men ingenting att vara rädd för.andreashttps://www.blogger.com/profile/17294709292275487897noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126801385208111662005-09-15T18:23:00.000+02:002005-09-15T18:23:00.000+02:00..den största risken vid övervakning/hackning är d.....den största risken vid övervakning/hackning är dock inte enskilda kryptografiska algoritmer, utan den mänskliga faktorn och sårbarheter i t ex operativsystem (inte helt ovanligt).<BR/><BR/>På tal om den mänskliga faktorn var jag med i sjösättningen finlands största system för kreditkortsbetalningar och hantering för några år sedan.<BR/>Jag kände inte till de administriva lösenorden för vare sig servern eller själva mjukvaran, så jag ringde helt sonika upp de som kände till det, berättade vem jag var och vad jag gjorde.<BR/>Resultatet? Trots att de inte kände mig gav de alla inloggningsuppgifter utan att blinka!<BR/>Tänkte till efteråt och höll på att trilla av stolen när jag tänkte på hur lätt det varit även om jag inte hade varit behörig..Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126801214659328392005-09-15T18:20:00.000+02:002005-09-15T18:20:00.000+02:00Däremot har du rätt i att "one-time pads" är det e...<I>Däremot har du rätt i att "one-time pads" är det enda som är någorlunda bombsäkert.</I><BR/><BR/>One-time pads är inte <I>någurlunda</I> bombsäkert. One-time pads är inte knäckbara ens i teorin. Idag är vi i ett läga där det förutsatt att:<BR/><BR/>1) man använder rimligt stark kryptering, och <BR/><BR/>2) man använder den rätt (det är här de stora problemen dyker upp) och<BR/><BR/>3) den inte har några hemliga brister (on-time pads till exempel saknar hemliga brister)<BR/><BR/>gäller att krypteringen är den starkaste länken i kedjan. Givet dessa 3 är krypteringen ett mindre bekymmer än att myndigheterna buggar din dator redan från fabriken eller att det bor spioner i din garderob. Varför skulle staten anstränga sig med att dekryptera en hårddisk om de istället kan bryta armana av ägaren i utbyte mot lösenordet? <BR/><BR/>Den svagaste länken är människan. De flesta vanliga människorna byter gladeligen bort sina lösenord mot en chokladkaka.<BR/><BR/><I>Att kryptera är nog det säkraste sättet att få sin mail flaggad som intressant, potentiellt farlig och värd att övervaka. Bad plan.</I><BR/><BR/>Att öka den totala mängden krypterad trafik är en bra sak och alla kan bidra. Använd sftp istället för ftp och ssh istället för telnet. När vi befinner oss i ett samhälle där invånarna inte törs hålla på sin integritet av rädsla för repressalier är det redan för sent.andreashttps://www.blogger.com/profile/17294709292275487897noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126801030581997762005-09-15T18:17:00.000+02:002005-09-15T18:17:00.000+02:00Ok, nu håller det här på att degenera till en nörd...Ok, nu håller det här på att degenera till en nörddiskussion, men är du säkar Fredrik?<BR/><I>"Kocher described an ingenious new attack on RSA in 1995: if the attacker Eve knows Alice's hardware in sufficient detail and is able to measure the decryption times for several known ciphertexts, she can deduce the decryption key d quickly."</I><BR/> Står det bakom länken du skickade.. Nåja, går den inte att brute-forcea har jag lärt mig något idag. :)<BR/><BR/>Angående "tusentals år" för att dekryptera viss kryptering: nja, för en dator, men om du kopplar samman n antal datorer i en "svärm" som sammarbetar för att knäcka koden så kan det gå avsevärt snabbare beroende på hur många som samarbetar.<BR/>SETI@Home använder ju denna metod för att bearbeta stora mängder data som vore omöjliga att bearbeta i sin helhet för ett enskilt projekt.Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126795179507054572005-09-15T16:39:00.000+02:002005-09-15T16:39:00.000+02:00Ja, om man vill kalla tusentals år för "tidskrävan...Ja, om man vill kalla tusentals år för "tidskrävande" så... jag kallar det omöjligt.Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126794263640682222005-09-15T16:24:00.000+02:002005-09-15T16:24:00.000+02:00Wille: Nä, du har fel. RSA 2048 går inte att brute...Wille: Nä, du har fel. RSA 2048 går inte att bruteforca, (http://en.wikipedia.org/wiki/RSA) och just RSA 2048 är (såvitt jag minns) defaultinställningen i PGP desktop (http://www.pgp.com/).Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126792890889978822005-09-15T16:01:00.000+02:002005-09-15T16:01:00.000+02:00Ett seriösare och giftigare projekt är förvisso at...<I>Ett seriösare och giftigare projekt är förvisso att kartlägga Bodströms telefontrafik och intrnetvanor - för publicering till allmän beskådan.<BR/><BR/>Någon av oss som har resurser att göra sådant?</I><BR/><BR/>Börja ta upp förslagen på allvar på t ex <A HREF="http://www.slashdot.org" REL="nofollow">Slashdot</A> så har du nog snart hundratals förargade anarkistiska hackare som gör sitt bästa för att ta reda på vilken typ av kalsonger Bodström köpte förra lördagen. :)Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126792713928715062005-09-15T15:58:00.000+02:002005-09-15T15:58:00.000+02:00Fredrik Persson:Den typ av kryptering som vanligtv...Fredrik Persson:<BR/>Den typ av kryptering som vanligtvis används för t ex mail-kommunikation mm, med publika nycklar går mycket väl att brute-force:a, likaså kryptering med enkel "secret key".<BR/><BR/>S k hash funktioner (ej drogrelaterat) som SHA och MD5 har även de fått en del svagheter upptäckta på senare tid, vilket gör dem sårbara för beräkningsattacker.<BR/><BR/>Däremot har du rätt i att "one-time pads" är det enda som är någorlunda bombsäkert.Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126786434712336232005-09-15T14:13:00.000+02:002005-09-15T14:13:00.000+02:00Ett seriösare och giftigare projekt är förvisso at...Ett seriösare och giftigare projekt är förvisso att kartlägga Bodströms telefontrafik och intrnetvanor - för publicering till allmän beskådan.<BR/><BR/>Någon av oss som har resurser att göra sådant?Henrik Alexanderssonhttps://www.blogger.com/profile/15234481146487869678noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126786302727929982005-09-15T14:11:00.000+02:002005-09-15T14:11:00.000+02:00Något som vore rätt kul, det vore att sända dessa ...Något som vore rätt kul, det vore att sända dessa system på "spökjakt". Man konstruerar en identitet, reggar en kontanttelefon på samma namn - och börjar göra en massa skumma prylar. Uppkoppling via telefonens bluetoth och teleoperatörens gateway.<BR/><BR/>Sedan kan man sitta på en servering och kolla när hemliga polisen stormar en frikyrka på andra sidan gatan...Henrik Alexanderssonhttps://www.blogger.com/profile/15234481146487869678noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126783763762135622005-09-15T13:29:00.000+02:002005-09-15T13:29:00.000+02:00wille faler: Du måste läsa på lite om kryptering. ...wille faler: Du måste läsa på lite om kryptering. Det går inte att bruteforca vad som helst, oavsett hur mycket pengar eller datorer man har.<BR/><BR/>Och den "vassaste" formen av kryptering, one-time pad, går aldrig att bruteforca över huvud taget. (Den är väldigt opraktisk av andra skäl, men ändå.)Fredrik Perssonhttps://www.blogger.com/profile/01662339116073812637noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126782079912851242005-09-15T13:01:00.000+02:002005-09-15T13:01:00.000+02:00Yabosid:Ingen dum idé, OM du verkligen kunde få al...Yabosid:<BR/>Ingen dum idé, OM du verkligen kunde få alla att göra det. Är det bara en minoritet som gör det kan du nog se fram emot många godtyckliga gripanden och fängslanden utan rättegång ("kriget mot terrorn" du vet..).Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126781956423978012005-09-15T12:59:00.000+02:002005-09-15T12:59:00.000+02:00Dessutom är det rätt svårt att obfuskera destinati...Dessutom är det rätt svårt att obfuskera destinationen för ens kommunikation, även om det går till viss del.<BR/>Utöver det är även den vassaste krypteringen idag knäckbar via brute-force, och jag vore inte speciellt förvånad om respektive underrättelsetjänster och regeringar har stora farmer med datorer som bara jobbar på att knäcka koder till sitt förfogande.<BR/>Om t o m relativt sett "hobby projekt" med svag finansiering som SETI klarar av att samla frivilliga som gör detsamma torde det ligga inom en nationalstats räckhåll.<BR/><BR/>Att man till att börja med ska behöva hoppa genom alla dessa öglor för att få ens begynnande privat integritet är befängt.<BR/><BR/>Att detta slutligen kommer att användas för att staten godtyckligt ska kunna begå övergrepp mot medborgare behöver man inte vara något snille för att se. En "snäll omtänksam" stat som skyddar oss är bara en illusion som europeiska sossar odlat fram under årtionden. Mänskliga fri- och rättigheter är i nationalstaters historia inget annat än en anomali och parentes, en anomali som Bodström och hans pack nu tydligen vill "rätta till".Willehttps://www.blogger.com/profile/13793405539228512488noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126780891096773092005-09-15T12:41:00.000+02:002005-09-15T12:41:00.000+02:00att lägga till "farliga ord" i varje mail man skic...att lägga till "farliga ord" i varje mail man skickar, se till att alla gör det, och på så vis överbelasta deras orwelliska övervakningssytem då?Andreashttps://www.blogger.com/profile/07015250526030654393noreply@blogger.comtag:blogger.com,1999:blog-13416814.post-1126777122256784722005-09-15T11:38:00.000+02:002005-09-15T11:38:00.000+02:00Att kryptera är nog det säkraste sättet att få sin...Att kryptera är nog det säkraste sättet att få sin mail flaggad som intressant, potentiellt farlig och värd att övervaka. Bad plan.Henrik Alexanderssonhttps://www.blogger.com/profile/15234481146487869678noreply@blogger.com