Pluton je novi Microsoftov čip za sigurnost budući

poruka: 21
|
čitano: 1.393
|
moderatori: vincimus
1
+/- sve poruke
ravni prikaz
starije poruke gore
Ovo je tema za komentiranje sadržaja Bug.hr portala. U nastavku se nalaze komentari na "Pluton je novi Microsoftov čip za sigurnost budući".
11 godina
offline
Pluton je novi Microsoftov čip za sigurnost budući

Microsoft i sigurnost. Nada umire posljednja.

Voda tece a vrijeme prolazi ...
 
4 0 hvala 0
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
Svašta su nadrobili u pamfletu, ali može li tko objasniti što taj čip konkretno sadrži i na koji način ostvaruje sigurnost koju bez njega ne bi imali? Bez pamfleta i komplikacija. Svaki čip ima svoj jedinstveni privatni ključ zapečen u hardver?
Idi i radi nešto korisno!
 
1 0 hvala 0
11 godina
online
Re: Pluton je novi Microsoftov čip za sigurnost bu
Keso kaže...
Svašta su nadrobili u pamfletu, ali može li tko objasniti što taj čip konkretno sadrži i na koji način ostvaruje sigurnost koju bez njega ne bi imali? Bez pamfleta i komplikacija. Svaki čip ima svoj jedinstveni privatni ključ zapečen u hardver?

 Ako te zanima mozda najbolje da krenes sa wiki clankom o njegovom prethodniku TPM-u.

 

Samo upozoravam te, to je "rabbit hole" i vrlo brzo ces doci do IME-a i PSP-a.

 

Sto  se tice Plutona, cini mi se da je to TPM sa pupkovinom na cloud bez potrebe za driverima ili dodatnim softwerom.

With the anonymity of the internet where one can be anything they want, it constantly amazes me how many choose to be assholes.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

-svaki sigurnosni mehanizam 'mora' biti tajna, jer ako se o njemu sve zna, tad je teže .. tj lakše je provaliti, jednako kao vrata-sef ako znaš gdje-što nego ako ne znaš ništa, crna kutija.

-zato to radi ms koji je inače closed firma-soft, vs open-foss-a .. tj u novoj konstelaciji supersila (prošlo vrijeme trumpeka) su te soft kompanije dobile svoje dijelove-poslove i ms se pojavljuje u 'sigurnosnim' temama dok face-google u drugima tj teško bi bilo progurati sigurnost osobnih-poslovnih podataka da to radi face :)

 

-tako da nećeš dobiti konkretan odgovor, shemu i sl. jer prvo moraš biti insider, potpisati odgovarajuća jamstva-tajnost-odgovornost itd. do tad je to 'crna kutija' koja nešto radi, kao u ostalom i svi drugi takvi mehanizmi-brave-algoritmi ili pinovi mobača-bankomata. Vjerojanto se po trumpekovoj doktrini (samo zato jer je za vrijeme dok je bio on u fotelji) time treba baviti ms, jer je imao mobač-nokiju, dok znamo priče o ajfonu i fbi-ju pa im npr izraelci formalno moraju pročitati podatke, jer formalno apple ne daje ključ :) .. i u tome je ms najsličniji profilu firme apple pa je to vjerojatno kriterij izbora, inače bi možda u nsalovu bio cisco ili netko deseti, .. + ne zaboraviti da postoji i intel, koji to do sad radi a postoji i 'wintel' koji ekšli to radi već desetljeće i sad je samo kao frontmen izbačen ms kao nosioc projekta, nečeg 'novog', zapravo starog. Smiješno-tužno je što se isti ms spominje u temama o antihakerskim akcijama, pišingu, ransomwareu.. tj onaj koji surađuje sa snagama zakona u otkrivanju počinitelja dijela, kad to nekome odgovara. Pri tome i dalje drži mail servere zajedno s ostalima (google) u npr irskoj, koja je trenutno izvaj formalne jurisdikcije svih, uk-usa-eu + brexit a opet na dohvat ruke, u šaci googla i ujka sema pa nema problema oko zaštite interesa tajnosti ili 'neprobojnosti' kad kako poželi zakon ili ujkosem. Nešto kao švicarska ali ne za novac-banke nego podatke-mejlove.

 

-i tad kao da vuku/lisici damo kokošinjac na čuvanje :) .. 2-u-1 tj optimizacija, a tad tebi ne treba shema, tj nisi ni kokoš ni lisica nego netko izvan tog. Sheme traže wanabeehakeri, ponekad i filmski producenti, ne oni koji s time stvarno rade, tj tad samo nazoveš ujku (kuma, nekog..) i imaš potrebno, odnosno fasada služi prividu, dok se sve radi insiderski.

-nećeš naći shemu, objašnjenje sadržaja, jer tad postojanje 'crne kutije' gubi smisao. Nešto kao šroderova mačka, ima smisla samo dok o tome hipotetski brbljamo, ne kad pogledamo u kutiju.

-previše briješ na open soft, to je za ostale (sitnozube), za obične korisnike, obične appse klase tetris, tu open ima smisla tj vidiš što ti koji programer uvaljuje ili vidiš čisti kod.. kad je to closed tad jednostavno ne postoji želja da se to vidi, kao što postoje zavjese na prozorima i jedino zato imaju smisao ili brava na vratima.

-tj što je primarni smiso vrata? -- da možeš proći a da pri tome netko drugi ne može, tj to riješavaš bravom-ključem. Samo vrata ne bi imala smisla jer tad može biti otvor-rupa dok za propuh može biti kao saloonska vrata no tad ne spriječavaju one druge od prolaza, tad postoji ključ-brava i tad samo zatvoren sustav ima smisla, ne nešto što svi znaju kao ključ je ispod otirača ili pass je 1234.. tj ako svi znaju kako nešto funkcionira, koja je formula tad je nesuporedivo lakše probiti, tj tad sama zaštita gubi smisao (snagu) jer je oslabljena, tj kao da radiš neprobojnu tvrđavu i daš protivniku shemu s označenim slabim točkama.. :) smisao?

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
12 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

Sigurnost koja ovisi o tajnosti mehanizma, a ne samo ključa, nije sigurnost uopće.

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...

Sigurnost koja ovisi o tajnosti mehanizma, a ne samo ključa, nije sigurnost uopće.

 -takva sigurnost ne postoji. .. tj ne postoji neprobojnost i sl.

-razlika, ako znaš kako radi mehanizam ili algoritam, tad je daleko lakše, npr banalni primjer ako znamo da je pin-4 znamenke tad je 'lako' kreneš od 0000, redom do 9999 i statistički ćeš nakon 50% imati 'bingo' pogodak klasičnim bruteforceom. Ako znaš kako je sef napravljen, tad znaš gdje bušiti kojim svrdlom, explozivom i sl.. ako je to nepoznato tad ideš na ćoravo i daleko više je potrebno resursa (kao vrijeme) i jednakom bruteforcanju. .. banalno dovoljno da je pin promjenjive duljine znamenki ili znakova, time ne možeš samo od 0000 krenuti nego tad moraš probavati različite duljine znakova, koji mogu buiti banalno jednostavni, jer zapravo je svaki pin (ograničimo se na znamenke dekadskog sustava, 0-9) neki broj, ne mora biti teži (nema ni lakši) od npr 1111 - ... a što ako je duljine 6 znakova-znamenki, 111111 ili abcdef tj time imaš neusporedivo više permutacija koje tad eliminiraju bruteforce čistom računalnom snagom ili vremenu koje je lopovu potrebno da proba kombinacije.

 

-ne postoji nešto što možeš napraviti, što je upotrebljivo a da netko ne može npr kopijom ključa ili nekim trećim načinom proći pa i zaobići karikirano ako su vrata neprobojna tad razbiješ zid do vrata.. a čak da postoji nešto neprobojno neće sve biti svugdje itd.

 

-ne postoji način autentifikacije koji je siguran osim trenutno snaga računala no dok govorimo teoretski tad je to nevažno (u reali može biti stoljeće za dekriptiranje..)..

-svaki standard ima istovremeno i manu, jer već time što je standard npr 8bit-stop u komunikaciji imaš nešto što kao periodično ponavljanje pratiš i tražiš uzorak-pattern i tad ga razbiješ, bio to mrežni paket ili pin, šifra.. enigma ili bilo što.

-bravar, možeš reći da će neki bravar napraviti neki ključ-bravu, nakon tog ga recimo ubijemo i to znanje je nestalo, tj seed-šifra-pattern je nepoznat, npr ima li ključ 5-6-više zubaca ili koji je važan a koji zavaravanje itd. no ako imaš ključ tad to vidiš mada ne vidiš bravu, dok tehnologija može vidjeti i bravu npr rendgen ili akustikom pa je ne moramo razvaliti-otvoriti da bi vidjeli unutrašnost odnosno ako vidimo ključ tad možemo napraviti njegovu kopiju neovisno što o bravi nemamo pojma.. tj ako je identičan tad mora otvoriti bravu, ako nije tad neće a nema razloga da nije identičan ako nam je dostupan-vidljiv.. tj dođeš do tog da mora ključ i brava biti nevidljiv-nedostupan .. a to recimo kod enkripcije javnim ključem već taj dio nije, tj masterkey kojim ga generiraš može napraviti kopiju a uz dovoljno praćenja traženje seeda-patterna to možeš sa svime (osim kad traje tisuću godina.. tj supreračunala i bruteforce).. tj zato je bolje sakriti plan nego olakšati provalnicima taj podatak tj sve drugačije je olakšavanje provalniku, ne vlasniku koji od tog nema koristi-prednosti..

 

.. naravno reći ćeš da je za soft bolje da je open, jer tad ne može netko uvaliti nešto kao trojanca.. jer svi mogu vidjeti, no to u slučaju ključa-brave implicitno isključuješ, tj negdje moraš krenuti od nule ili vjerovati, dok su nekad faraoni ubijali graditelje kako bi tajna ostala tajna. Soft kao os-app.. može biti open, ali sigurnosni ne, jer time nije sigurniji tj kontradikcija osnovnoj svrsi-smislu jedino što moraš osigurati da je onaj tko to radi 100% pošten.. :) a ja dodam, većina poslova je insiderski, mito-ucjena i sl. tj imao je i bmw kodirani neukradivi ključ, no za kofer novčanica kriminal se domogao i krao ih lakše nego djetetu lizalicu.. po priči daljinskim upravljačem, jer su kupili kodove od zaposlenika koji ima pristup, tj sustav je siguran-čvrst-jak-neprobojan.. koliko najslabija karika, a umjesto nade da će sve karike biti jake, kad ih sakriješ-prikriješ tad su i slabe ponekad dovoljno jake već time što napadač ne zna ništa o njima.

 

-no da, sigurnost.. što je to? postoji li, mada znamo da su marsovci zeleni-sivi s velikim očima, ovo je nešto takvo, svi znamo a ne postoji :))

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
5 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...

Sigurnost koja ovisi o tajnosti mehanizma, a ne samo ključa, nije sigurnost uopće.

 to me podsjeca na Dr. Strangelove i nuclear deterrence

"Of course, the whole point of a Doomsday Machine is lost, if you *keep* it a *secret*! Why didn't you tell the world, EH?"

If Microsoft ever made a product that didn't suck ... it would be a vacuum cleaner.
5 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
ihush kaže...
MrBlc kaže...

Sigurnost koja ovisi o tajnosti mehanizma, a ne samo ključa, nije sigurnost uopće.

 -takva sigurnost ne postoji. .. tj ne postoji neprobojnost i sl.

-razlika, ako znaš kako radi mehanizam ili algoritam, tad je daleko lakše, npr banalni primjer ako znamo da je pin-4 znamenke tad je 'lako' kreneš od 0000, redom do 9999 i statistički ćeš nakon 50% imati 'bingo' pogodak klasičnim bruteforceom. Ako znaš kako je sef napravljen, tad znaš gdje bušiti kojim svrdlom, explozivom i sl.. ako je to nepoznato tad ideš na ćoravo i daleko više je potrebno resursa (kao vrijeme) i jednakom bruteforcanju. .. banalno dovoljno da je pin promjenjive duljine znamenki ili znakova, time ne možeš samo od 0000 krenuti nego tad moraš probavati različite duljine znakova, koji mogu buiti banalno jednostavni, jer zapravo je svaki pin (ograničimo se na znamenke dekadskog sustava, 0-9) neki broj, ne mora biti teži (nema ni lakši) od npr 1111 - ... a što ako je duljine 6 znakova-znamenki, 111111 ili abcdef tj time imaš neusporedivo više permutacija koje tad eliminiraju bruteforce čistom računalnom snagom ili vremenu koje je lopovu potrebno da proba kombinacije.

 

-ne postoji nešto što možeš napraviti, što je upotrebljivo a da netko ne može npr kopijom ključa ili nekim trećim načinom proći pa i zaobići karikirano ako su vrata neprobojna tad razbiješ zid do vrata.. a čak da postoji nešto neprobojno neće sve biti svugdje itd.

 

-ne postoji način autentifikacije koji je siguran osim trenutno snaga računala no dok govorimo teoretski tad je to nevažno (u reali može biti stoljeće za dekriptiranje..)..

-svaki standard ima istovremeno i manu, jer već time što je standard npr 8bit-stop u komunikaciji imaš nešto što kao periodično ponavljanje pratiš i tražiš uzorak-pattern i tad ga razbiješ, bio to mrežni paket ili pin, šifra.. enigma ili bilo što.

-bravar, možeš reći da će neki bravar napraviti neki ključ-bravu, nakon tog ga recimo ubijemo i to znanje je nestalo, tj seed-šifra-pattern je nepoznat, npr ima li ključ 5-6-više zubaca ili koji je važan a koji zavaravanje itd. no ako imaš ključ tad to vidiš mada ne vidiš bravu, dok tehnologija može vidjeti i bravu npr rendgen ili akustikom pa je ne moramo razvaliti-otvoriti da bi vidjeli unutrašnost odnosno ako vidimo ključ tad možemo napraviti njegovu kopiju neovisno što o bravi nemamo pojma.. tj ako je identičan tad mora otvoriti bravu, ako nije tad neće a nema razloga da nije identičan ako nam je dostupan-vidljiv.. tj dođeš do tog da mora ključ i brava biti nevidljiv-nedostupan .. a to recimo kod enkripcije javnim ključem već taj dio nije, tj masterkey kojim ga generiraš može napraviti kopiju a uz dovoljno praćenja traženje seeda-patterna to možeš sa svime (osim kad traje tisuću godina.. tj supreračunala i bruteforce).. tj zato je bolje sakriti plan nego olakšati provalnicima taj podatak tj sve drugačije je olakšavanje provalniku, ne vlasniku koji od tog nema koristi-prednosti..

 

.. naravno reći ćeš da je za soft bolje da je open, jer tad ne može netko uvaliti nešto kao trojanca.. jer svi mogu vidjeti, no to u slučaju ključa-brave implicitno isključuješ, tj negdje moraš krenuti od nule ili vjerovati, dok su nekad faraoni ubijali graditelje kako bi tajna ostala tajna. Soft kao os-app.. može biti open, ali sigurnosni ne, jer time nije sigurniji tj kontradikcija osnovnoj svrsi-smislu jedino što moraš osigurati da je onaj tko to radi 100% pošten.. :) a ja dodam, većina poslova je insiderski, mito-ucjena i sl. tj imao je i bmw kodirani neukradivi ključ, no za kofer novčanica kriminal se domogao i krao ih lakše nego djetetu lizalicu.. po priči daljinskim upravljačem, jer su kupili kodove od zaposlenika koji ima pristup, tj sustav je siguran-čvrst-jak-neprobojan.. koliko najslabija karika, a umjesto nade da će sve karike biti jake, kad ih sakriješ-prikriješ tad su i slabe ponekad dovoljno jake već time što napadač ne zna ništa o njima.

 

-no da, sigurnost.. što je to? postoji li, mada znamo da su marsovci zeleni-sivi s velikim očima, ovo je nešto takvo, svi znamo a ne postoji :))

 Ali ako je mehanizam otvoren onda miljuni ljudi mogu da rade na probijanju/poboljsanju istoga.

Off topic: Mislim da su bugovci smanjili vidljivost citiranog teksta cisto zbog tebe.

Poruka je uređivana zadnji put sri 18.11.2020 20:22 (pravi_covijek).
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
pravi_covijek kaže...
ihush kaže...
MrBlc kaže...

Sigurnost koja ovisi o tajnosti mehanizma, a ne samo ključa, nije sigurnost uopće.

 -takva sigurnost ne postoji. .. tj ne postoji neprobojnost i sl.

-razlika, ako znaš kako radi mehanizam ili algoritam, tad je daleko lakše, npr banalni primjer ako znamo da je pin-4 znamenke tad je 'lako' kreneš od 0000, redom do 9999 i statistički ćeš nakon 50% imati 'bingo' pogodak klasičnim bruteforceom. Ako znaš kako je sef napravljen, tad znaš gdje bušiti kojim svrdlom, explozivom i sl.. ako je to nepoznato tad ideš na ćoravo i daleko više je potrebno resursa (kao vrijeme) i jednakom bruteforcanju. .. banalno dovoljno da je pin promjenjive duljine znamenki ili znakova, time ne možeš samo od 0000 krenuti nego tad moraš probavati različite duljine znakova, koji mogu buiti banalno jednostavni, jer zapravo je svaki pin (ograničimo se na znamenke dekadskog sustava, 0-9) neki broj, ne mora biti teži (nema ni lakši) od npr 1111 - ... a što ako je duljine 6 znakova-znamenki, 111111 ili abcdef tj time imaš neusporedivo više permutacija koje tad eliminiraju bruteforce čistom računalnom snagom ili vremenu koje je lopovu potrebno da proba kombinacije.

 

-ne postoji nešto što možeš napraviti, što je upotrebljivo a da netko ne može npr kopijom ključa ili nekim trećim načinom proći pa i zaobići karikirano ako su vrata neprobojna tad razbiješ zid do vrata.. a čak da postoji nešto neprobojno neće sve biti svugdje itd.

 

-ne postoji način autentifikacije koji je siguran osim trenutno snaga računala no dok govorimo teoretski tad je to nevažno (u reali može biti stoljeće za dekriptiranje..)..

-svaki standard ima istovremeno i manu, jer već time što je standard npr 8bit-stop u komunikaciji imaš nešto što kao periodično ponavljanje pratiš i tražiš uzorak-pattern i tad ga razbiješ, bio to mrežni paket ili pin, šifra.. enigma ili bilo što.

-bravar, možeš reći da će neki bravar napraviti neki ključ-bravu, nakon tog ga recimo ubijemo i to znanje je nestalo, tj seed-šifra-pattern je nepoznat, npr ima li ključ 5-6-više zubaca ili koji je važan a koji zavaravanje itd. no ako imaš ključ tad to vidiš mada ne vidiš bravu, dok tehnologija može vidjeti i bravu npr rendgen ili akustikom pa je ne moramo razvaliti-otvoriti da bi vidjeli unutrašnost odnosno ako vidimo ključ tad možemo napraviti njegovu kopiju neovisno što o bravi nemamo pojma.. tj ako je identičan tad mora otvoriti bravu, ako nije tad neće a nema razloga da nije identičan ako nam je dostupan-vidljiv.. tj dođeš do tog da mora ključ i brava biti nevidljiv-nedostupan .. a to recimo kod enkripcije javnim ključem već taj dio nije, tj masterkey kojim ga generiraš može napraviti kopiju a uz dovoljno praćenja traženje seeda-patterna to možeš sa svime (osim kad traje tisuću godina.. tj supreračunala i bruteforce).. tj zato je bolje sakriti plan nego olakšati provalnicima taj podatak tj sve drugačije je olakšavanje provalniku, ne vlasniku koji od tog nema koristi-prednosti..

 

.. naravno reći ćeš da je za soft bolje da je open, jer tad ne može netko uvaliti nešto kao trojanca.. jer svi mogu vidjeti, no to u slučaju ključa-brave implicitno isključuješ, tj negdje moraš krenuti od nule ili vjerovati, dok su nekad faraoni ubijali graditelje kako bi tajna ostala tajna. Soft kao os-app.. može biti open, ali sigurnosni ne, jer time nije sigurniji tj kontradikcija osnovnoj svrsi-smislu jedino što moraš osigurati da je onaj tko to radi 100% pošten.. :) a ja dodam, većina poslova je insiderski, mito-ucjena i sl. tj imao je i bmw kodirani neukradivi ključ, no za kofer novčanica kriminal se domogao i krao ih lakše nego djetetu lizalicu.. po priči daljinskim upravljačem, jer su kupili kodove od zaposlenika koji ima pristup, tj sustav je siguran-čvrst-jak-neprobojan.. koliko najslabija karika, a umjesto nade da će sve karike biti jake, kad ih sakriješ-prikriješ tad su i slabe ponekad dovoljno jake već time što napadač ne zna ništa o njima.

 

-no da, sigurnost.. što je to? postoji li, mada znamo da su marsovci zeleni-sivi s velikim očima, ovo je nešto takvo, svi znamo a ne postoji :))

 Ali ako je mehanizam otvoren onda miljuni ljudi mogu da rade na probijanju/poboljsanju istoga.

Off topic: Mislim da su bugovci smanjili vidljivost citiranog teksta cisto zbog tebe.

 -ne.. tj nije problem koji treba riješavati ili izmisliti toplu vodu, nije neka nepoznata formula koju treba otrkiti kao cjepivo za covid i sl. gdje bi više-bilo-bolje, konkurencija i sl, nego nasuprot, tajnost = zaštita, dok svi znaju kako radi koji algoritam tj seed je zaštita, npr za enigmu-šifrant. Sve dok to držiš nepoznato imaš sigurnost (ograničenu) ako je to poznato tad je samo bruteforce tj manja sigurnost, npr banalno da ispred bankomata stoji policajac, bilo bi manje krađa i hakiranja.. ili da je bankomat skriven, na tajnom mjestu gdje kriminalac ne zna.. ali tad nema svrhu jer ljudi tad ne mogu koristiti itd. ali je barem na nekom osvjetljenom mjestu gdje javnost zamjenjuje policajca-čuvara ili jednako parking za auto.. u mraku je lopov jači-hrabriji.. no algoritam nema dan-noć ili mrak ili strah, ključ je siguran koliko ga fizički možeš štititi, ne papirnato proglasom i sl. (osim strahom) itd.

 

edit, tj to je moje tumačenje-pogled-mišljenje.. ne neko pravilo, ali uvjek je lakše probiti ono o čemu znaš detalje i tad logika kaže ovo gore..

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Poruka je uređivana zadnji put sri 18.11.2020 21:49 (ihush).
12 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
ihush kaže...

 -takva sigurnost ne postoji. .. tj ne postoji neprobojnost i sl.

-razlika, ako znaš kako radi mehanizam ili algoritam, tad je daleko lakše, npr banalni primjer ako znamo da je pin-4 znamenke tad je 'lako' kreneš od 0000, redom do 9999 i statistički ćeš nakon 50% imati 'bingo' pogodak klasičnim bruteforceom. Ako znaš kako je sef napravljen, tad znaš gdje bušiti kojim svrdlom, explozivom i sl.. ako je to nepoznato tad ideš na ćoravo i daleko više je potrebno resursa (kao vrijeme) i jednakom bruteforcanju. .. banalno dovoljno da je pin promjenjive duljine znamenki ili znakova, time ne možeš samo od 0000 krenuti nego tad moraš probavati različite duljine znakova, koji mogu buiti banalno jednostavni, jer zapravo je svaki pin (ograničimo se na znamenke dekadskog sustava, 0-9) neki broj, ne mora biti teži (nema ni lakši) od npr 1111 - ... a što ako je duljine 6 znakova-znamenki, 111111 ili abcdef tj time imaš neusporedivo više permutacija koje tad eliminiraju bruteforce čistom računalnom snagom ili vremenu koje je lopovu potrebno da proba kombinacije.

Naravno da ništa nije neprobojno. Informacija o radu sustava može olakšati probijanje za par %, ako ne i u promilima, ako ne otkriva gadan propust. Ako postoji gadan propust, on će biti otkriven, bez obzira da li je način rada javan ili tajan. Jedina razlika je što će kod javno poznatog načina rada biti veća šansa da će ga otkriti bengni znatiželjnik koji će propust prijaviti proizvođaču, dok je kod tajnog načina rada možda manja ukupna šansa da se propust otkrije, ali tad je daleko veća šansa da ga otkrije zlonamjerni korisnik, a onda kreće show zvan zero day exploit.

 

Primjer s pinom je totalno promašen - ako se napadač može prijaviti kao korisnik ili kupiti taj model sefa, onda zna koji je limit lozinke/pina na snazi. Ako ona može biti varijabilna, onda može biti varijabilna bez obzira da li je poznato kako se sustav interno štiti - informacija o duljini varijabilne lozinke je sastavni dio lozinke - tajna informacija, a ne sastavni dio specifikacije sustava.

 

Što se sefa tiče, većina takvih slučajeva je zapravo failsafe - način da proizvođač može otvoriti sef legitimnom korisniku koji je izgubio ključ / zaboravio lozinku. U tom slučaju ta informacija spada u tajnu - ona je doslovno šifra za ostavljeni backdoor.

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...
ihush kaže...

 -takva sigurnost ne postoji. .. tj ne postoji neprobojnost i sl.

-razlika, ako znaš kako radi mehanizam ili algoritam, tad je daleko lakše, npr banalni primjer ako znamo da je pin-4 znamenke tad je 'lako' kreneš od 0000, redom do 9999 i statistički ćeš nakon 50% imati 'bingo' pogodak klasičnim bruteforceom. Ako znaš kako je sef napravljen, tad znaš gdje bušiti kojim svrdlom, explozivom i sl.. ako je to nepoznato tad ideš na ćoravo i daleko više je potrebno resursa (kao vrijeme) i jednakom bruteforcanju. .. banalno dovoljno da je pin promjenjive duljine znamenki ili znakova, time ne možeš samo od 0000 krenuti nego tad moraš probavati različite duljine znakova, koji mogu buiti banalno jednostavni, jer zapravo je svaki pin (ograničimo se na znamenke dekadskog sustava, 0-9) neki broj, ne mora biti teži (nema ni lakši) od npr 1111 - ... a što ako je duljine 6 znakova-znamenki, 111111 ili abcdef tj time imaš neusporedivo više permutacija koje tad eliminiraju bruteforce čistom računalnom snagom ili vremenu koje je lopovu potrebno da proba kombinacije.

Naravno da ništa nije neprobojno. Informacija o radu sustava može olakšati probijanje za par %, ako ne i u promilima, ako ne otkriva gadan propust. Ako postoji gadan propust, on će biti otkriven, bez obzira da li je način rada javan ili tajan. Jedina razlika je što će kod javno poznatog načina rada biti veća šansa da će ga otkriti bengni znatiželjnik koji će propust prijaviti proizvođaču, dok je kod tajnog načina rada možda manja ukupna šansa da se propust otkrije, ali tad je daleko veća šansa da ga otkrije zlonamjerni korisnik, a onda kreće show zvan zero day exploit.

 

Primjer s pinom je totalno promašen - ako se napadač može prijaviti kao korisnik ili kupiti taj model sefa, onda zna koji je limit lozinke/pina na snazi. Ako ona može biti varijabilna, onda može biti varijabilna bez obzira da li je poznato kako se sustav interno štiti - informacija o duljini varijabilne lozinke je sastavni dio lozinke - tajna informacija, a ne sastavni dio specifikacije sustava.

 

Što se sefa tiče, većina takvih slučajeva je zapravo failsafe - način da proizvođač može otvoriti sef legitimnom korisniku koji je izgubio ključ / zaboravio lozinku. U tom slučaju ta informacija spada u tajnu - ona je doslovno šifra za ostavljeni backdoor.

 -ne u postotku ili promilu nego za red veličina..

-nešto sasvim drugo je propust ili backdoor..

propusta realno nema, zanemarivo-nepostojeće, samo kao navedena isprika i sl. odnosno laž, jer je sve programirano i nije slučajno.. tj backdoor postoji u većini stvari (i potreban je) tj tad ovisiš o poštenju onog tko to radi ali negdje se mora započeti s 'vjerom' ako želiš započeti bilo što.

-ako znaš princip, formule tad ti je višestruko lakše probiti pass-pin npr ako znaš jesu li samo znamenke ili znakovi i ako je npr 4-znamenkasti pin ili duži ili dužinu šifre dok se nedefinirano smatra pouzdanije od definirane duljine čak i dak je unos kraći jer hacker to tad ne zna, tj ako zna zna previše podataka i time si olakša posao kao i dictionary attack, koji kombinira popularne riječi kao love-sex ili ime ljubimca i datume.. tj ako to npr facebook zna tad može probati tim kombinacijama i tad je 90% brži rezultat proboj, nego ako te podatke nema-ne zna.. što god od tog poželiš tvrditi suprotno je netočno -uzaludno + malo sam i tvrdoglav :)

 

edit: ... ah da dobar detalj koji spominješ je kupiti sef i time saznati moguće kombinacije.. da, upravo zato za takve stvari-poslove-branše, npr bankarske, ne može svatko kupiti sve-bilo što, nego izjave-jamstva + kredibilitet, čime se recimo osigura da taj neće upravo to napraviti.. i to ti govori ono što ja kažem, tajnost je dio sigurnosti, veća sigurnost.

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Poruka je uređivana zadnji put sri 18.11.2020 22:08 (ihush).
12 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

Možeš malo argumentirati taj red veličina? 

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...

Možeš malo argumentirati taj red veličina? 

 -argumentirati? .. ako znaš npr pin-4 znamenke tad si preskočio tisuće permutacija s tri znamenke+znakova, ako ne znaš tad iteriraš od jedne znamenke do neograničeno znakova. Dodatno shema pina za mobitel je u nekom uzorku, banalno 1111-1234 ili nešto što se može redom tipkati po numtipkama npr u L  .. 7412 (oblik slova L) i tad možeš skratiti probijanje klasičnim bruteforceom čak na defaultno 3-pokušaja do zaključavanja sreća+logika u svemu gdje postoji neki patern.

-u četveroznamenkastom pinu-broju (znamenke) je 10.000 kombinacija, statistički 50% pokušaja će dati točnu ako su random-ravnomjerno razbacane tj ako krećeš od nule tad će brže pogoditi broj izspod 5555 dok će duže pogađati veći mada je jednako težak kao logička zaštita tj znamenke su ravnopravne, tako je najnesigurniji pin 0000 koji se defautlno koristi za npr daljinski-tv i sl. uređaje, dok je 9999 tad statistički najsigurniji tj u tom fornextu najduže vrijeme probijanja mada je težina jednaka čisto redosljed. Ako kreneš iteracijama unazad od 9999 tad je obrnuto dok je 5555 sredina.

-pazi sad banalnu sitnicu koja može dati razliku u probojnosti, npr ako je pin 3 znamenke, tad ćeš mada misliš da je 4, utipkavanjem broja 123 prije nego stisneš 4 (četvrtu znamenku) ući ako je pin troznamenkasti točan, tj nećeš ako postoji button npr OK/enter kojeg po unosu pina trebaš stisnuti. Tad unos treće znamenke ako ne stisneš ok ne otkriva da je to pin dok s četvrtom imaš odbijanje. Tad je i kraći pin, banalno jednoznamenkasti dovoljno siguran mada nisi ništa u formuli-složenosti promijenio, nego samo automatiku koja očitava inkey$ i ulazi po unosu ili dodatna tipka koja je za ulaz ali tad pin mora biti točan ili je netočan-odbijen i time nije slučajno pogođen broj ispod 4 znamenke.

-jel to dovoljno za npr osjetnu prednost ako znaš duljinu pina da se to podrazumijeva kao red veličina brže-lakše, odnosno preskače dio koji je nepotrebno probati čistom logikom tj skraćen bruteforce. To uz dict skraćuje višestruko težinu probijanja, umjesto sa sati na minute ili faktor x10 i sl i to je red veličine. Nije? :)

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Poruka je uređivana zadnji put čet 19.11.2020 10:46 (ihush).
12 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

Uporno brkaš dvije neovisne stvari - kako sustav radi i što je korisnik postavio.

 

Informacije o tome kako sustav radi ne otkrivaju ništa o tome kakvu je lozninku korisnik postavio. Eventualno može otkriti koji su minimalni zahtjevi za lozinku postavljeni, ali do tog podatka s jedne strane možeš relativno lako doći (ovisno o prirodi sustava), a s druge, taj dio se uvijek može izdvojiti u implementacijski config, te sam sigurnosni algoritam o tome ne ovisi.

 

Povratna informacija da je unesena lozinka preduga/prekratka, da sadrži nedopuštene znakove ili ne sadrži znakove koje mora sadržavati pri pokušaju logina je design flaw, a ne open design.

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

-previše 'vjeruješ' u open kao čarobni štapić.. tj to može vrijediti za ''normalan'' soft, dok je ovo izuzetak. Zatvorenost daje dodatnu sigurnost, kako god mjeriš pod istim uvjetima. Sasvim nešto drugo je što tad tvorac 'crne kutije' može što želi, recimo prevariti te nekim trojancem-praćenjem-backdoorom.. što se recimo u openu lakše otkirje jer tad svi imaju pristup i mogu tesitrati tj primjetiti-otkriti ''propust'' koji nikad nije greška-slučajnost-propust nego namjera-design-programirano ali u svakom sustavu je ipak potrebno, jer uvjek se može desiti ''nešto'' npr gubitak ključa i potreba za baypasom.

 

-upravo to se tad čuva kao najvažnija tajna, tj ako 'pogrešne' osobe (recimo lopov) dođu do tih podataka tad im je sama krađa lakša nego normalnom korisniku dok je jedini problem osigurati da ostane tajna tj da netko to ne proda drugoj strani, dok su same greške-slučajnosti 99% isprike-pokriće ili priče o hakerima i virusima.

 

-nekome moraš vjerovati, pa i to kad je neki kod open, tj ne provjeravaš sve i može u openu nešto biti maliciozno ili backdoor, tj često se tako i radi skrivanje na otvorenom u masi.. app metoda.

-da slažem se da je povratna info o predugoj-prekratkoj lozinci greška.. i da to ne ovisi o open-closedu, nego namjeri ili (ne)znanju programera a pošto takve stvari ne mogu biti iz neznanja ostaje namjera tj design koji je takav kako je dev i zamislio a tad je open-closed manje važan tj to se mora osigurati, kao što npr sad želimo imati sigurno-testirano cjepivo protiv covida.. želimo-moramo, no to ne znači da će tako i biti. Samo izuzetno jak programer može kontrolirati neki specifični kod, npr primijetiti višak.. i tad open ne znači sigurnost, čak naprotiv, često se s open samo skida odgovornost sa sebe, namjera-predumišljaj, jer ono što netko atesitra-potpiše tad i pravno odgovara, npr elektičar za sturuju ili liječnik za liječenje..

 

-open je dobar npr za drivere, appse, ostalo.. ali ne za sve, jer tad daješ svima na uvid i time olakšaš proboj. No ne moramo se složiti.. legitimno je misliti drugačije ili vjerovati u open kao čarobni štapić.. :)) problem su nakraju konkretni ljudi, mane, korupcija itd..

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
12 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

Istina je da zatvoreni sustav lakše skriva propuste, ali onog trenutka kad se u to počneš pouzdati kao feature, to postaje bug.

 

I kod open sustava mogu postojati podaci koji su kritični i ne smiju se objaviti, ali to su podaci, a ne informacije o sustavu (algoritam). To nije sporno. Nećeš neki tajni seed, privatni ključ certifikata objaviti ni ako daš u open source.

 

Gdje je sad nestao onaj red veličine.

 

 

Da se dodatno vratimo na temu - ovakav proizvod ne bi smio biti tajan - radi se o sastavnom dijelu računala, stroja opće namjene s kojim korisnik može raditi što god želi (dok ne krši zakon). Takav sklop ne smije onemogućiti instalaciju third party softa. 

Privatne poruke su za privatne razgovore. Ne odgovaram na općenita pitanja vezana uz neku temu.
11 godina
online
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...

Da se dodatno vratimo na temu - ovakav proizvod ne bi smio biti tajan - radi se o sastavnom dijelu računala, stroja opće namjene s kojim korisnik može raditi što god želi (dok ne krši zakon). Takav sklop ne smije onemogućiti instalaciju third party softa. 

 

Apsolutno se slazem.

 

No tu se onda vracamo do samih korisnika.

 

Nekoliko puta sam pa cak i uovoj temi spomenuo PSP i IME i nitko od sudionika se nije osvrnuo na to.

 

Ljude jednostavno to ne zanima, ma koliko ih se to ticalo indirektno.

With the anonymity of the internet where one can be anything they want, it constantly amazes me how many choose to be assholes.
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
MrBlc kaže...

Istina je da zatvoreni sustav lakše skriva propuste, ali onog trenutka kad se u to počneš pouzdati kao feature, to postaje bug.

 

I kod open sustava mogu postojati podaci koji su kritični i ne smiju se objaviti, ali to su podaci, a ne informacije o sustavu (algoritam). To nije sporno. Nećeš neki tajni seed, privatni ključ certifikata objaviti ni ako daš u open source.

 

Gdje je sad nestao onaj red veličine.

 

 

Da se dodatno vratimo na temu - ovakav proizvod ne bi smio biti tajan - radi se o sastavnom dijelu računala, stroja opće namjene s kojim korisnik može raditi što god želi (dok ne krši zakon). Takav sklop ne smije onemogućiti instalaciju third party softa. 

 ok, prvi dio gledam ukupno.. (boldano) i ovo je točno, slažem se.

 

-kraj, računalo, soft treće strane .. da, tako bi trebalo biti. Što ako-kad nije? Tek sad s ovom temom to komentiraš, a realno to već postoji kao ograničenje biosa i izbor osa koji tad nemaš npr ogrnaičeno na uefi-gdp vs legacy-mbr boota mada je sve isti soft+hw x86 platforma tj kompatibilno.. no rezultat da na npr novi laptop ne možeš instalirati (stariji) kompatibilan os, jer naprosto bios umjetno ograničava. Jedina razlika što je prije ms to radio protiv linuxa i plaćao kazne a sad nema kazni jer nema druge strane (tužitelja) jer onemogući npr xp.. dok linux ili macos-hackintosh može, jer je ista platforma x86 i sve uvjete kompatibilnosti zadovoljava, time mora raditi. (npr asr je imao usb patch za w7, nakon čega čudotvorno može boot i install s usba koji bez pathca ne može, mada je identično bootabilan medij, hw, sw.. sve razlika samo u patchu i installeru + boot koji u simbiozi služe tome da onemoguće inače normalno korištenje po izboru korisnika-vlasnika što osim hw uključuje i sw-os koji netko ima i ima ga pravo instalirati-koristiti odnosno jedini uvjet je x86 kompatibilnost koje uz pomoć OEMa-biosa wintel onemogući. Ista stvar, samo sad kao ms-čip.. možda, zar ne?

-odnosno, ako je to neki sigurnosni čip, recimo pandan antivirusa.. jel to tad soft-antivirus u čipu ili nije, ima li korisnik licencu ili ne, smije li taj chip ograničavati korisnika tj onemogućiti neki treći soft, koji može biti i virus-malware.. po meni ne smije, tj ako to korisnik traži, želi, tad on to upali-koristi.. ne ako ne želi a soft-čip to ipak radi, tj što kad ga korisnik ne želi a ms ga kroz oema gurne na mbo-bois.. odnosno hoće li tad na tržištu biti dvije verzije računala-hw kao oem-retail s tom razlikom čipa-biosa koji se npr ako je nalik antivirusu koji blokira sav malware može ponašati tako da blokira i falsepozitivne ili bilo koje normalno korištenje što ms nema pravo nad hw-om jer je kupac-vlansik tj nestaje granica između soft-vlasništva jer je na kraju sve soft pa i kad je u chipu-romu-epromu ili se učita s nekog trećeg medija i izvrši.. tj to će dovesti do pitanja jel npr kupac auta s kočnicama vlasnik kočnica jer ih kontrolira neki chip a time i neki soft dok znamo da se soft ne kupuje u klasično vlasništvo nego ograničeno korištenje + licenca + za sve treba licenca čak i kad je nešto free koja će reći da taj korisnik ima pravo korisititi taj soft, jer bez tog je praktički pirat.. itd.

 

-ms radi pravno opasne stvari, ali ne slučajno.. to je agenda-roadmap u kojem je ms samo jedan dio mehanizma unutar it-industrije naslonjen na soft pa ga više dopadnu takvi poslovi.

 

-slobodno tržište, ograničavanje prav akorisnika, vezanje itd su sve inače zabranjene stvari u uređenom tržištu, no vidimo trgovački rat usa-ostali kao eu a to je dio toga, jer usa-ujkosem sve potrebne poluge ima u svojim rukama, internet, patenti-licence, usa+uk imaju sve i time mogu sve. To je daleko gore od open-closed priče tj to je najcrnji closed velikog šefa i to će biti problem, ne pin-sigurnost jer ih ne zanima to da ja-ti-korisnik ima neku svoju sigurnost, kao što cia-fbi želi pristup npr ajfonu dok ih pravno malo sputava sitnica kao ustav-zakon i sl. no prema tome sve vodi.. a ovo je jedan od oblika kako to možda naprave, jer drugog smisla za ms u tome nema, bez wintela besmisleno bez oema jednako tj da je to neko ms-računalo kao xbox tad bi bila i odgovornost msa za sve, ovako je ms čist, jer računalo (mbo-bios) radi netko treći, mada wintel tom trećem uvjetuje upravo takve stvari kao licenca-bios-boot i umjetna nekompatibilnost x86 platforme.. možda zbog appleovog čipa, možda zbog andorida-huaweija.. no bit će loše-crno-zatvoreno a izbora neće biti, najmanje FOSSa ili open osim za tetris što je ekšli nevažno..

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
syncmaster245b kaže...
..

 

Nekoliko puta sam pa cak i uovoj temi spomenuo PSP i IME i nitko od sudionika se nije osvrnuo na to.

 

Ljude jednostavno to ne zanima...

Zanima, ali prevedi da te svi razumiju. Čitati gomiletine teksta o nepoznatim kraticama nije baš zabavno, i troši gomiletinu vremena kojeg nemamo.

 

Idi i radi nešto korisno!
11 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu

Pročitao sam. PSP je mogući backdoor u sustav (AMD ne želi objaviti kod), a IME je omiljena meta hackera jer izvršava kod i kad je komp ugašen (svaki korisnik bi to sigurno htio da mju netko vrti nepoznati kod dok je komp ugašen).

Koja ironija da to uvaljuju pod proizvod koji "povećava sigurnost". Možda nečiju i povećava, ali korisnikovu - ne.

Idi i radi nešto korisno!
5 godina
offline
Re: Pluton je novi Microsoftov čip za sigurnost bu
Keso kaže...

Pročitao sam. PSP je mogući backdoor u sustav (AMD ne želi objaviti kod), a IME je omiljena meta hackera jer izvršava kod i kad je komp ugašen (svaki korisnik bi to sigurno htio da mju netko vrti nepoznati kod dok je komp ugašen).

Koja ironija da to uvaljuju pod proizvod koji "povećava sigurnost". Možda nečiju i povećava, ali korisnikovu - ne.

 Ma da, dok je Intel pun sigurnosnih rupa kao svicarski sir + su izvukli tajne kljuceve za update microcoda.

https://arstechnica.com/gadgets/2020/10/in-a-first-researchers-extract-secret-key-used-to-encrypt-intel-cpu-code/

Inteloljubci su kao i Trumpovci, kult koji ne voli stvarnost.

1
Nova poruka
E-mail:
Lozinka:
 
vrh stranice