Tropiciel nieprawomyślności

Dyskusje dotyczące życia, społeczeństwa, polityki, filozofii itp.
Awatar użytkownika
Fyapowah
Stały bywalec
Posty: 191
Rejestracja: 01 maja 2012, 23:24
Płeć: mężczyzna
Enneagram: 5w4
MBTI: INTP
Kontakt:

Re: Tropiciel nieprawomyślności

Post autor: Fyapowah »

@Coldman nie nazywaj mnie tak, nie uważam, żeby ziemia była płaska.
Czucie i wiara silniej mówi do mnie
Niż mędrca szkiełko i oko.
Awatar użytkownika
Drim
Legenda Intro
Posty: 2121
Rejestracja: 07 mar 2013, 21:32
Płeć: mężczyzna

Re: Tropiciel nieprawomyślności

Post autor: Drim »

Stare - nowe osoby wypowiadają się w obecnym temacie. @Fyapowah @Patrycjusz nie słyną z dużej ilości rozbudowanych postów. Ja nie wypowiadam się. Nie mam czasu ani treści do przekazania.

Sekcja komentarzy YouTube > dużo lepsza od > starożytne Fora Dyskusyjne.

Awatar użytkownika
Fyapowah
Stały bywalec
Posty: 191
Rejestracja: 01 maja 2012, 23:24
Płeć: mężczyzna
Enneagram: 5w4
MBTI: INTP
Kontakt:

Re: Tropiciel nieprawomyślności

Post autor: Fyapowah »

Bardziej mnie ciekawi co @Percy ma do powiedzenia na temat szyfrowania i TPM skoro twierdzi że napisałem bzdury.
Czucie i wiara silniej mówi do mnie
Niż mędrca szkiełko i oko.
Awatar użytkownika
Drim
Legenda Intro
Posty: 2121
Rejestracja: 07 mar 2013, 21:32
Płeć: mężczyzna

Re: Tropiciel nieprawomyślności

Post autor: Drim »

@Fyapowah
Mnie również ciekawi. Nie lubię - haha nie znasz się - a potem znikania bez wejścia w polemikę.
intbrun
Intro-wyjadacz
Posty: 405
Rejestracja: 27 sty 2021, 8:37
Płeć: mężczyzna
Enneagram: 4w5
MBTI: INFP
Lokalizacja: Norwegia

Re: Tropiciel nieprawomyślności

Post autor: intbrun »

1. Wydaje Ci się. Również to że IT jest jedyne na świecie oferujące ciekawą i dobrze płatną pracę
2. Tym bardziej Ci się wydaje. Chociaż to już w stronę ignorancji. Typowa narracja osób które studiów nie skończyły i wydaje im się że nie potrzebują bo wszystko wiedzą.
3. G. prawda. Mówienie o wartościach, gdy w tle się oszukuje, kradnie i praktycznie oficjalnie drwi z tradycji, zasad i prawa to zwykła obłuda. Jest wiele krajów gdzie dużo dosłowniej i wierniej podchodzi się tych kwestii. A sąsiedzi są mniej inwazyjni, wścibscy i zazdrośni.
4. Buaaahahaha, co tutaj więcej napisać. Jeździsz samochodem w ogóle? Jeździłeś autem za granicą? Jeździłeś autem w USA kiedyś?
5. To nie musi być zaleta, a konflikty nie muszą przybierać od razu extremalnych form. Poza tym nadrabiamy wewnętrznymi konfliktami. Mamy rasę pisiorów, platformersow, korwinowców, elgiebetowców i kogo tam jeszcze. To sie niby czymś różni?
6. Nie mamy wysokich podatków. A traktowanie łatwości oszukiwania systemu (co świadczy tez o samym systemie, który pozwala ludziom budować ego na podkradaniu) jako zalety, jest chore.
7. jak wyżej. W innych systemach może systemy są lepiej zrobione i nie wymagają kombinowania? Utrzymywanie powalonego systemu, który sprzyja kombinowaniu, to hodowanie patologii.
8. Komfortowe? te papierowe ściany gdzie wszystko słychać? Mikro-pokoje? Jedyna zaleta to że tańsze niż inne.
9. nawet nie skomentuje. Świrom nie powinno się dawać broni do ręki. Bo potem będzie jak w USA strach wyjśc na ulicę czy dzieci do szkoły puścić.
10. Czyli moja racja najmojsza. Anarchia. A z przekraczaniem prędkości to się zdziwisz, państwo potrzebuje pieniędzy i od roku kroi obywateli za najmniejsze wykroczenie. Ratuje ich tylko to, że ciągle robi to nieudolnie i mało skutecznie. A jak kiedyś ktoś Cię wydyma na pieniądze prywatnie lub służbowo, to swój duch prawa będziesz mógł sobie wsadzić, a wtedy może się okazać, że litera prawa jest mało skuteczna bo wszyscy na to leją jak ty teraz. Czego ci nie życzę, ale jak się tak nudzisz to poczytaj sobie o przebiegu procesów i jak w "łatwo" walczy się w tym kraju o swoje.
11. Jak trafisz na upierdliwego sąsiada to będzie wołał straż miejską, że mu stukasz laczkami nad głową. To a propos sąsiadów.
12. Tutaj już chyba naprawdę nie wiedziałeś co napisać. Każdy kraj na swoje smakołyki. A rosół czy schabowy są równie jeśli nie bardziej popularne w nielubianych przez ciebie Niemcach czy sąsiadującej Austri, że można by się wręcz zastanawiać kto od kogo zerżnął.

Normalnie czuję jakby przeczytał jakieś wypociny 12 latka, który nigdy z domu nie wyszedł, o wyjazdach za granicę w rózne miejsca, żeby chociaż trochę wiedzieć o czym ma zamiar mówić, nie wspominając. Przecież to nawet śmieszne nie jest...
Polska najlepszym krajem do życia? USA najlepszym krajem do życia? Cóż, rankingi miast czy krajów gdzie ludziom żyje się najlepiej twierdzą coś innego. Ale to pewnie system nakręca i oszukuje rezultaty, ludzie głupie są i nie wiedzą gdzie im jest najlepiej.
Zapytam tutaj raz jeszcze - byłeś w USA? Wyszedłeś poza turystyczne zwiedzanie, żeby zobaczyć kawałek prawdziwej ameryki? Próbowałeś mieszkać i pracować w Niemczech lub jakimkolwiek innym Europejskim kraju? Bo mi to wygląda na gadanie ślepego o kolorach.
Fyapowah pisze: 11 lut 2023, 16:46 @Coldman nie nazywaj mnie tak, nie uważam, żeby ziemia była płaska.
Jakże typowe dla płaskoziemcy - udawanie, że się nie rozumie najbardziej oczywistych rzeczy. Więc specjalnie dla Ciebie. Pojęcie płaskoziemca to idiom, przypisywany osobom które promują teorie równie absurdalne jak teoria płaskiej ziemi, oraz stosują specyficzny sposób narracji, charakteryzujący się negacją nawet najbardziej oczywistych prawd i wybiórczymi informacjami dobranymi tak, żeby w ich mniemaniu udowodniać głoszone banialuki.
Tak wiem że boli. Ale im szybciej sobie uświadomisz jak jesteś postrzegany, tym masz więcej czasu żeby coś z tym jeszcze zrobić.
Drim pisze: 11 lut 2023, 16:56 @Fyapowah
Mnie również ciekawi. Nie lubię - haha nie znasz się - a potem znikania bez wejścia w polemikę.
Nikt pewnie nie lubi. Pozostaje granica, poza którą zaczynasz polemizować z bredniami, nad którymi nie warto się pochylać.
Patrycjusz pisze: 11 lut 2023, 16:05 Osoby nieco bardziej osadzone w realu nie wchodzą już na fora internetowe, a zwłaszcza nie na takie, więc może czas się ewakuować ;)
[...]
No i jeśli nabierasz tego swojego przekonania, i stwierdzasz, że jesteś bardziej osadzony w realu, to serio, ale forum, na którym zostają same leśne dziady nie jest dobrym pomysłem :D
Nie wszystkie fora tak wyglądają. Naprawdę. Mimo że są tam też przeróżne 'egzemplarze' (każdy trochę jest...)
Ale coś jest na rzeczy. Oczywiście że jestem osadzony w realu. Życie jest po to żeby czerpać z niego garściami, a nie się traumatyzować niestworzonymi teoriami spiskowymi.
Awatar użytkownika
Drim
Legenda Intro
Posty: 2121
Rejestracja: 07 mar 2013, 21:32
Płeć: mężczyzna

Re: Tropiciel nieprawomyślności

Post autor: Drim »

intbrun pisze: 11 lut 2023, 18:19 Nikt pewnie nie lubi. Pozostaje granica, poza którą zaczynasz polemizować z bredniami, nad którymi nie warto się pochylać.
Kiedy jakaś hipoteza nie pasuje w ramy naszej tolerancji wówczas najzdrowiej jest przejść obojętnie, nie irytować się niepotrzebnie. Czas jest wartością ograniczoną. Nie ma sensu go rozdrabniać.
Jednakże gdy się powiedziało A, wypada dopowiedzieć B. Nie zgadzam się z powyższym i nawet krótki akapit dlaczego się nie zgadzam. Dyskusja i polemika tylko na tym skorzysta.
intbrun
Intro-wyjadacz
Posty: 405
Rejestracja: 27 sty 2021, 8:37
Płeć: mężczyzna
Enneagram: 4w5
MBTI: INFP
Lokalizacja: Norwegia

Re: Tropiciel nieprawomyślności

Post autor: intbrun »

Masz rację. Dlatego ja zazwyczaj zdanie czy dwa piszę i staram się nie pozostawić bez komentarza.
Z szyfrowaniem sam chętnie się dowiem. Nie mniej jako intensywny użytkownik internetu wolę mieć parę ważniejszych rzeczy zapinowaych sprzętowym kluczem. Jakoś widzę sporo większe szanse, że mi się włamie jakiś haker czy zwykły dzieciak mający pobrane z netu sprytne oprogramowanie. A nie że służby podwiną mi hardwarowy klucz do kodowania i zeskanują sobie krzemki, żeby odczytać zera i jedynki. Ktoś się za dużo Bonda naoglądał chyba...
Awatar użytkownika
Percy
Stały bywalec
Posty: 217
Rejestracja: 01 wrz 2019, 12:08
Płeć: mężczyzna

Re: Tropiciel nieprawomyślności

Post autor: Percy »

Fyapowah pisze: 11 lut 2023, 16:53 Bardziej mnie ciekawi co Percy ma do powiedzenia na temat szyfrowania i TPM skoro twierdzi że napisałem bzdury.
Drim pisze: 11 lut 2023, 16:56 Mnie również ciekawi. Nie lubię - haha nie znasz się - a potem znikania bez wejścia w polemikę.
intbrun pisze: 11 lut 2023, 22:11 Masz rację. Dlatego ja zazwyczaj zdanie czy dwa piszę i staram się nie pozostawić bez komentarza.
Z szyfrowaniem sam chętnie się dowiem. Nie mniej jako intensywny użytkownik internetu wolę mieć parę ważniejszych rzeczy zapinowaych sprzętowym kluczem. Jakoś widzę sporo większe szanse, że mi się włamie jakiś haker czy zwykły dzieciak mający pobrane z netu sprytne oprogramowanie. A nie że służby podwiną mi hardwarowy klucz do kodowania i zeskanują sobie krzemki, żeby odczytać zera i jedynki. Ktoś się za dużo Bonda naoglądał chyba...
Ojojoj, ale się porobiło. Błazen z końca sali wyrwany do odpowiedzi.

A mogłem sobie siedzieć cicho i poczytać różne mniej lub bardziej mądre dywagacje, zanim temat zostanie przeżarty wykopowym blackpillem i zamknięty przez admina. O poznaniu, o etyce, o wyższości dedukcji nad indukcją, która to jest bardzo zła - chyba, że trzeba akurat napisać paszkwil o płci pięknej.
No ale cóż. Człek nie pomyślał, rzucił opinią jak petem, a teraz publika woła - broń się! Wyczuli krew. Pora wystawić na próbę swoją wikipedyczną wiedzę i zaryzykować, że forumowy Percy okaże się samcem Zeta, czy jaka tam teraz jest modna grecka litera mężczyzn, co źle zaczynają, a jeszcze gorzej kończą.

Jaka jest moja opinia na temat TPM (który jest konkretnym standardem, oryginalnie pomyślanym pod DRM)?
W skali czterostopniowej, jakiej się używa w sondażach przedwyborczych, moje stanowisko brzmi "raczej nie". Nie będę się teraz rozpisywał konkretnie dlaczego. Jak to stwierdził klasyk, nie chce mi się odpowiadać ścianą tekstu na ścianę tekstu.

W każdym razie, moje uprzedzenia wobec TPM nie wynikają z tego, co twierdzi szanowny dżentelmen Fyapowah, który czepia się czegoś zupełnie innego, a mianowicie samej idei sprzętowego modułu przechowywania kluczy kryptograficznych (w postaci nieszyfrowanej).

Otóż moi drodzy parafianie. Dlaczego ktoś wpadł na pomysł sprzętowych modułów krypto? Ano dlatego, bo ludzka głowa niespecjalnie się nadaje do przechowywania kryptograficznych sekretów.
1) Nie umie zapamiętać hasła (klucza) o sensownym poziomie entropii (w uproszczeniu - losowości), co ułatwia jego odgadywanie (brute force)
2) Rzadko kiedy potrafi zapamiętać więcej niż jedno w miarę skomplikowane hasło, i ma tendencję do ich re-używania
3) Zdarza się jej po prostu zapomnieć
4) Poznanie hasła bez aktywnego udziału właściciela głowy jest problemem bardzo trudnym (lub wręcz niemożliwym, jeśli dysponujemy tylko samą głową). Zadbanie o ten udział już takim problemem nie jest.

Sprzętowe moduły kryptograficzne, takie jak HSMy używane w biznesie, jabłkowe Secure Enclave czy androidowy strongbox, mają (między innymi) pełnić rolę zamienników tejże głowy, które od tych problemów będą wolne.

Nie oznacza to, że nie cierpią na innego rodzaju problemy, lecz mnie osobiście to trochę rozbawiło przytoczenie decappingu jako najważniejszego przykładu. Jest pierdylion innych wektorów ataku którymi można próbować się dobrać do naszych przeszyfrowanych danych, a traktowanie scalaka kwasem i wydłubywanie z niego bitów klucza, to najbardziej inwazyjna metoda ostatniego rzutu - której koszt, skomplikowanie i ryzyko, często mocno przerastają potencjalne zyski. Zadanie można dodatkowo utrudnić stosując specjalną klasę scalaków wysokiej skali integracji (FPGA) oraz różnego rodzaju sposoby wykrywania ingerencji, określanych zbiorczo "tamper protection", których przykładów nie przytoczę, bo są tajemnicami handlowymi (ale kto się tematem bardziej zainteresuje to coś znajdzie, mnie bardziej ciekawią inne ataki).

Czy takie zabezpieczenia znajdziemy w sprzęcie konsumenckim? W pewnym zakresie może tak, ale nie liczyłbym na nie wiadomo co. Spisek i "wojna przeciwko szyfrowaniu"? Nie, po prostu za duże koszty wynikające z analizy ryzyka.

No dobrze, fajnie, ale czemu nie szyfrować tych kluczy w tym module? To chyba nas nie kosztuje? Mamy ten cholerny PIN w końcu.
Fyapowah pisze: 11 lut 2023, 16:53 Zwróćcie uwagę, że kiedy mówią o przechowywaniu sekretów w urządzeniach typu TPM albo klucze FIDO2 zawsze mówią oni że nasze sekrety są chronione PINem, nigdy szyfrowane PINem.
Przy założeniu, że sprawdzanie PIN i licznika prób odbywa się "bezpiecznie" (temat rzeka - powiem tylko, że to nie jest prosta instrukcja warunkowa) to jest on akceptowalny jako metoda autentykacji usera względem modułu - i na tym jego przydatność się kończy.

Wyobraźmy sobie scenariusz, w którym pewien Żyd-satanista z ABW próbuje się dobrać do naszej prywatnej kolekcji hentai kategorii gentle femdom. W tym celu zabrał nam zaszyfrowany dysk i nasz krypto moduł sprzętowy, na którym z powodzeniem wykonał decapping (bo rząd światowy ma nieskończony budżet, a że Polska wygrała z Arabią Saudyjską to dawno i nieprawda).

A to feler! Klucz nie pasuje, pewnie zaszyfrowany! I co teraz? Już się nasz globalista szykował śpiewać "Nagila Hava", a tu taki sprytny, szuriacki wymysł. Jak pokonać tę paskudną barierę?

Otóż wiedząc, że do przeszyfrowania sekretu składowanego w sprzęcie został użyty, jako klucz, kod PIN z czterech cyfr od 0 do 9, to wystarczy sprawdzić 10 000 kombinacji. Coś, co nie było wyzwaniem obliczeniowym dla byle kalkulatora sprzed kilkudziesięciu lat.
Kod PIN, nawet po sporym wydłużeniu, ma po prostu żenująco niską entropię i nie nadaje się do zastosowania jako klucz kryptograficzny. Jak zamienimy PIN na passfrazę, wiele się nie zmienia na plus, a na minus zaczynają się uwydatniać problemy wymienione przy uzasadnieniu, czemu ludzka głowa się nie nadaje do przechowywania sekretów kryptograficznych - co było przecież oryginalnym powodem, przez który zbudowano ten krypto sprzęt, goddamit. Spektakularny powrót do punktu wyjścia...

A co jeśli jestem autystycznym sawantem, i potrafię spokojnie zapamiętać ciąg 32 w pełni losowych bajtów, które z radością będę wklepywał przy każdym odszyfrowywaniu?

Gratulacje. Można się obyć bez trzymania kluczy w sprzęcie. Co nie znaczy, że nikt niepowołany tego klucza nigdy nie pozna. Ot, chociażby coś takiego jak keylogger. Używasz klawiatury ekranowej? Spoko, to gdzie myszką klikałeś też można przechwycić. A tak w ogóle to na Twój program deszyfrujący znaleziono jakąś podatność i twój klucz leci w świat, bo autor narzędzia zapomniał sprawdzić, czy indeks nie przekroczył zakresu tablicy w jakimś gówno kodzie używanym w zupełnie niezwiązanym z kryptografią miejscu.

Decapping, LMAO.

Mam nadzieję, że pomogłem, a jeśli nie, to trudno. Jestem tylko błaznem z końca sali. Mój trud skończon.
Awatar użytkownika
Fyapowah
Stały bywalec
Posty: 191
Rejestracja: 01 maja 2012, 23:24
Płeć: mężczyzna
Enneagram: 5w4
MBTI: INTP
Kontakt:

Re: Tropiciel nieprawomyślności

Post autor: Fyapowah »

Percy pisze: 12 lut 2023, 2:54 W każdym razie, moje uprzedzenia wobec TPM nie wynikają z tego, co twierdzi szanowny dżentelmen Fyapowah, który czepia się czegoś zupełnie innego, a mianowicie samej idei sprzętowego modułu przechowywania kluczy kryptograficznych (w postaci nieszyfrowanej).
Tobie pewnie przeszkadza zastosowanie w DRMach.
Ja nie czepiam się samej idei sprzętowego schowka na klucze. Schowek na klucze jest dobrym wynalazkiem pod warunkiem, że jest on dodatkiem do szyfrowania, a nie zastępstwem. Klucze przechowywane w takim schowku powinny być szyfrowane hasłem dostępu do tego schowka.
Apple jako jedyne twierdzi, że wprowadzili to szyfrowanie do ich bezpiecznej enklawy. Jeśli to prawda (obecnie nie mam jak zweryfikować), to ich mogę pochwalić.
Percy pisze: 12 lut 2023, 2:54Otóż moi drodzy parafianie. Dlaczego ktoś wpadł na pomysł sprzętowych modułów krypto? Ano dlatego, bo ludzka głowa niespecjalnie się nadaje do przechowywania kryptograficznych sekretów.
1) Nie umie zapamiętać hasła (klucza) o sensownym poziomie entropii (w uproszczeniu - losowości), co ułatwia jego odgadywanie (brute force)
Jest na to inne rozwiązanie niż tylko TPM, napiszę o nim niżej w odpowiedzi na inny cytat.
Percy pisze: 12 lut 2023, 2:54 2) Rzadko kiedy potrafi zapamiętać więcej niż jedno w miarę skomplikowane hasło, i ma tendencję do ich re-używania
Do szyfrowania komputera wystarczy akurat jedno skomplikowane hasło. Jeśli mamy wiele komputerów, ale synchronizujemy je między sobą i przechowujemy na nich te same dane, nie ma tragedii jeśli używamy na nich tego samego hasła.
Do logowania się do różnych serwisów w internecie należy używać zawsze innego hasła dla każdego serwisu, ale ten problem rozwiązują menadżery haseł takie jak KeePassXC. Jako drugi czynnik logowania można używać kodów TOTP. Ze sprzętowych kluczy, według tego, co znalazłem, jedynie Nitrokey Start szyfruje klucze do challengy PINem/hasłem użytkownika, więc jego też nie będę szkalował. W Nitrokey Pro niestety usunęli tę funkcję, ponieważ wprowadzili lepsze "tamper protection", i są tego tak pewni, że myślą, że dodatkowe szyfrowanie nie jest potrzebne.
Ciekawe ile da ich "tamper protection" kiedy klucz jakiegoś terrorysty wpadnie do rąk służb USA lub Izraela.
Percy pisze: 12 lut 2023, 2:54 Nie oznacza to, że nie cierpią na innego rodzaju problemy, lecz mnie osobiście to trochę rozbawiło przytoczenie decappingu jako najważniejszego przykładu. Jest pierdylion innych wektorów ataku którymi można próbować się dobrać do naszych przeszyfrowanych danych, a traktowanie scalaka kwasem i wydłubywanie z niego bitów klucza, to najbardziej inwazyjna metoda ostatniego rzutu - której koszt, skomplikowanie i ryzyko, często mocno przerastają potencjalne zyski.
Przed pozostałymi wektorami ataku jestem w stanie się obronić. Przed decappingiem nie.
Percy pisze: 12 lut 2023, 2:54 Zadanie można dodatkowo utrudnić stosując specjalną klasę scalaków wysokiej skali integracji (FPGA) oraz różnego rodzaju sposoby wykrywania ingerencji, określanych zbiorczo "tamper protection"
https://en.wikipedia.org/wiki/FIPS_140-2#Level_2
Większość TPMów na rynku spełnia jedynie poziom 2 w standardzie FIPS 140-2. Posiadają "tamper evidence", nie "tamper protection".
Percy pisze: 12 lut 2023, 2:54 Przy założeniu, że sprawdzanie PIN i licznika prób odbywa się "bezpiecznie" (temat rzeka - powiem tylko, że to nie jest prosta instrukcja warunkowa

Kod: Zaznacz cały

if (!(pw1.isValidated() && pw1_modes[PW1_MODE_NO81]))
    ISOException.throwIt(SW_SECURITY_STATUS_NOT_SATISFIED);
https://github.com/Yubico/ykneo-openpgp ... pplet.java :troll:
Wiem, że to nie TPM tylko Yubikey NEO, ale nie mam dostępu do kodu firmware żadnego TPM, a prawdopodobnie działa na podobnej zasadzie.
Błąd w postaci brakujących nawiasów w tej instrukcji warunkowej w starszej wersji kodu spowodował, że część operacji tego klucza działała przed wpisaniem PINu. Gdyby zawartość klucza była szyfrowana PINem, nie byłoby to możliwe nawet gdyby zapomnieli o tych nawiasach. https://developers.yubico.com/ykneo-ope ... 04-14.html

Swoją drogą @Coldman dlaczego to forum nie wspiera uwierzytelniania dwuskładnikowego? Istnieje przecież wtyczka do phpbb https://www.phpbb.com/customise/db/exte ... ntication/
Percy pisze: 12 lut 2023, 2:54 Otóż wiedząc, że do przeszyfrowania sekretu składowanego w sprzęcie został użyty, jako klucz, kod PIN z czterech cyfr od 0 do 9, to wystarczy sprawdzić 10 000 kombinacji. Coś, co nie było wyzwaniem obliczeniowym dla byle kalkulatora sprzed kilkudziesięciu lat.
Kod PIN, nawet po sporym wydłużeniu, ma po prostu żenująco niską entropię i nie nadaje się do zastosowania jako klucz kryptograficzny. Jak zamienimy PIN na passfrazę, wiele się nie zmienia na plus, a na minus zaczynają się uwydatniać problemy wymienione przy uzasadnieniu, czemu ludzka głowa się nie nadaje do przechowywania sekretów kryptograficznych - co było przecież oryginalnym powodem, przez który zbudowano ten krypto sprzęt, goddamit. Spektakularny powrót do punktu wyjścia...

A co jeśli jestem autystycznym sawantem, i potrafię spokojnie zapamiętać ciąg 32 w pełni losowych bajtów, które z radością będę wklepywał przy każdym odszyfrowywaniu?

Gratulacje. Można się obyć bez trzymania kluczy w sprzęcie
Nie trzeba zapamiętywać ciągu 32 w pełni losowych bajtów.
Rozwiązaniem są passfrazy złożone z 8+ losowo wybranych słów. Nie rozumiem dlaczego według ciebie niewiele zmienia się na plus. Może przez ograniczenia Bitlockera (a może to sam TPM ogranicza, nie jestem pewny) długości passfrazy do maksymalnie 20 znaków? To kolejny powód żeby ich nie używać, ale szyfrować dysk czymś, co wspiera dłuższe passfrazy (np. Veracrypt, Luks).
https://www.eff.org/dice
https://www.eff.org/files/2016/07/18/ef ... rdlist.txt
Polska wersja: https://github.com/nineinchnick/dicewar ... l.wordlist
Rzucamy kostką 5 razy aby wylosować 5 cyfr i wybieramy z listy słowo odpowiadające tym cyfrom. Powtarzamy ruch aby losowo dobrać kolejne słowo. I tak powtarzamy aby stworzyć hasło złożone przynajmniej z 6 losowych słów z naszego języka.
Przy założeniu, że nasz przeciwnik potrafi sprawdzać 10^12 haseł na sekundę (tak kazał zakładać Snowden), złamanie hasła złożonego tylko z 6 losowych słów zajmie około 3500 lat.
Przy 8 słowach zajmie to już 15*wiek wszechświata. Każdy może dobrać długość hasła według swoich potrzeb i swojej analizy ryzyka. Zakładając wzrost mocy obliczeniowej zgodny z prawem Moore'a, hasła złożone z 20 słów powinny pozostać nie do złamania co najmniej do 2050 roku.

Jako dodatkowe zabezpieczenie nadal warto byłoby używać sprzętowego schowka na klucze w połączeniu z tak długim hasłem, ale pod warunkiem, że ten schowek szyfrowałby zawartość tym hasłem. Dopóki TPM tego nie będzie wspierał, nie będę go używał.

Nadal nie widzę dlaczego według ciebie napisałem bzdury. Wyśmiewasz decapping tak jakby był niemożliwy do przeprowadzenia. Oczywiście, że zakładam, że rząd światowy ma z naszej perspektywy nieograniczone środki finansowe.

Czy napisałem według ciebie bzdury, bo napisałem nieprawdę, czy dlatego, że napisałem prawdę, ale jest to zbyt drogi atak do przeprowadzenia?
Czucie i wiara silniej mówi do mnie
Niż mędrca szkiełko i oko.
Awatar użytkownika
Percy
Stały bywalec
Posty: 217
Rejestracja: 01 wrz 2019, 12:08
Płeć: mężczyzna

Re: Tropiciel nieprawomyślności

Post autor: Percy »

Nie zrozumiałeś. Nieważne. Co chciałem napisać, to napisałem.

Powodzenia na froncie wojny przeciw szyfrowaniu.
intbrun
Intro-wyjadacz
Posty: 405
Rejestracja: 27 sty 2021, 8:37
Płeć: mężczyzna
Enneagram: 4w5
MBTI: INFP
Lokalizacja: Norwegia

Re: Tropiciel nieprawomyślności

Post autor: intbrun »

@Pecry Dobrze napisane.
Chociaż coś temacie słabości kluczy sprzętowych jest na rzeczy. Sam dostęp i owszem, jest broniony pinem, 3 pomyłki i do piachu, jeśli więc ktoś nie będzie nas przypalał żelazkiem, to możemy przyjąć, że nasze dane, bitcoiny czy hentai'e sa bezpieczne. Tyle że klucz sprzętowy potrafi się zepsuć. Albo sami zapomnimy naszego tajnego pina, albo dziecko się dorwie przypadkiem i zacznie wklepywać cyferki, bo fajna zabawa. W części rozwiązań ratuje nas tajemna 'fraza', która - tadaaam - jest randomowym ciągiem znaków czy wyrazów. To nasza jedna nadzieja na odzyskanie danych. Co robimy? (tutaj cytaty z postu wyżej o słabej pamięci itp). Otóż spisujemy ten magiczne frazy na karteczce, którą wkładamy do barku, szuflady z gaciami, lub innego bardzo tajnego miejsca. Złodziej z nieograniczonymi możliwościami nie musi nas dekapitować, wystarczy że oprócz klucza zabierze nam tę że karteczkę, którą przypadkiem pewnie łatwo znajdzie, wiedząc jakież to tajne miejsca przychodzą przeciętnemu człowiekowi do głowy.
Więc ani sprzętu specjalistycznego nie trzeba, ani rocket science żeby się do tych danych dorwać, jeśli ktoś będzie miał parcie.
Tyle, że to dalej nijak się ma do światowego spisku przeciwko kryptografii. I tym bardziej zaprzecza teoriom na temat prześwietlania scalaków.
Patrycjusz pisze: 11 lut 2023, 16:05
intbrun pisze: 11 lut 2023, 15:45Co to wszystko powyższe ma wspólnego z byciem introwertykiem, to nawet forumowi psychiatrzy nie potrafią dokładnie wyjaśnić. Bo fakt, że ktoś siedzi w norze i zamiast wyjść na zewnątrz realizuje się nad teoriami, które podsuwa mu wyobraźnia lub czeluście internetu, dalej nie implikują, że dana osoba jest introwertykiem, a nie zwykłym odrzutkiem społeczności z zaburzeniami naprawdę nadającymi się do leczenia.
No to ja Ci powiem, że praca badawcza na uczelni wygląda dokładnie tak samo, tylko że trzeba podpierać się artykułami naukowymi, ale reszta zostaje. Czy tacy pracownicy są odrzutkami społeczności z zaburzeniami nadającymi się do leczenia? Oprócz tego, że zazwyczaj tak?
Akurat się składa, że wiem. I właśnie napisałbym że zazwyczaj tak. A że mam pewne porównanie do środowiska naukowego z krajów bardziej uległych spiskom światowym, stąd takie niemiłe wrażenie, że u nas jest jak zawsze "lepiej".
Awatar użytkownika
Fyapowah
Stały bywalec
Posty: 191
Rejestracja: 01 maja 2012, 23:24
Płeć: mężczyzna
Enneagram: 5w4
MBTI: INTP
Kontakt:

Re: Tropiciel nieprawomyślności

Post autor: Fyapowah »

intbrun pisze: 12 lut 2023, 10:55Tyle że klucz sprzętowy potrafi się zepsuć. Albo sami zapomnimy naszego tajnego pina, albo dziecko się dorwie przypadkiem i zacznie wklepywać cyferki, bo fajna zabawa. W części rozwiązań ratuje nas tajemna 'fraza', która - tadaaam - jest randomowym ciągiem znaków czy wyrazów. To nasza jedna nadzieja na odzyskanie danych. Co robimy? (tutaj cytaty z postu wyżej o słabej pamięci itp). Otóż spisujemy ten magiczne frazy na karteczce, którą wkładamy do barku, szuflady z gaciami, lub innego bardzo tajnego miejsca.
Rozwiązaniem jest nie zapisywać nigdzie recovery key. Kompletnie zapomnieć o funkcji odzyskiwania, nie używać jej. Zamiast tego robić backup nie żadnego klucza, lecz samych danych z dysku i przechowywać je również na drugim zaszyfrowanym urządzeniu. Mało prawdopodobne aby TPMy w obydwu komputerach zablokowały się jednocześnie.
Czucie i wiara silniej mówi do mnie
Niż mędrca szkiełko i oko.
intbrun
Intro-wyjadacz
Posty: 405
Rejestracja: 27 sty 2021, 8:37
Płeć: mężczyzna
Enneagram: 4w5
MBTI: INFP
Lokalizacja: Norwegia

Re: Tropiciel nieprawomyślności

Post autor: intbrun »

Rozpatrujesz zawężony przypadek przechowywania danych. A często chodzi o aktywny dostęp do nich i bieżące modyfikacje. W teren jeździ się z laptopem i może właśnie sprzętowym kluczykiem w kieszeni, a nie skrzynką kodowanych dysków zapasowych. To w podróży jest większa szansa, że mi ktoś laptopa zawinie, a nie w domu. Albo że będę łaczył się do neta przez dziwne dostępy i moje dane są bardziej narażone na wyciek.
Klucze sprzętowe to też np tzw portfele elektroniczne do krypto (bo technicznie to żadne portfele przecież). Jesteś pewien, że chcesz zapomnieć o funkcji odzyskiwania? Jakież to dane z dysku chciałbyś przechowywać na zapasowym zaszyfrowanym urządzeniu w takim przypadku?

Każda metoda ma jakieś ryzyko, chodzi chyba o to, żeby to ryzyko było adekwatnie małe do wartości naszych danych _dla_nas_ i realnego niebezpieczeństwa ich utraty/przejęcia, i związanych z tym strat. Nie w skali absolutnej, tylko dla każdego indywidualnie. Taka drobna różnica między teorią a praktyką.
Awatar użytkownika
Fyapowah
Stały bywalec
Posty: 191
Rejestracja: 01 maja 2012, 23:24
Płeć: mężczyzna
Enneagram: 5w4
MBTI: INTP
Kontakt:

Re: Tropiciel nieprawomyślności

Post autor: Fyapowah »

Wszystko jest lepsze niż kartka z zapisanym kluczem odzyskiwania, zabierana w podróż wraz z komputerem. Wtedy równie dobrze można nie szyfrować dysku wcale.
Ja jak gdzieś wyjeżdżam z laptopem to zawsze biorę ze sobą dysk zewnętrzny z danymi i programami oraz pendrive z systemem i mi to nie przeszkadza. A zawsze jestem w stanie postawić system od zera w dowolnym miejscu.
A jak ktoś chce mieć wszystko zabezpieczone TPMem to nie ma innego wyjścia jak drugi komputer i na nim albo przechowywać kopię wszystkiego, czego nie chce się utracić, albo chociaż klucz odzyskiwania przechowywać w pliku w zapasowym komputerze. Ale TPM to nie jedyne co może się zepsuć, więc ktoś, kto polega tylko na kluczu odzyskiwania to przeżyje kiedyś bolesną lekcję. Jak to mówią, ludzie dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Do ochrony przed wyciekami przez dziwne sieci (np. hotelowe) do których musisz się łączyć służy VPN, ale ten problem nie ma żadnego związku z szyfrowaniem dysku.
Co do odzyskiwania portfeli do krypto to nie znam się (w przypadku kluczy do FIDO2 powinno się kupić co najmniej 2 klucze), ale jak ktoś musi mieć klucz odzyskiwania to też można go przechowywać na zaszyfrowanym dysku. Jeśli coś da się przechowywać na kartce, da się też przechowywać na dysku.
Od biedy nawet w telefonie lepiej go przechowywać niż na kartce.
Czucie i wiara silniej mówi do mnie
Niż mędrca szkiełko i oko.
intbrun
Intro-wyjadacz
Posty: 405
Rejestracja: 27 sty 2021, 8:37
Płeć: mężczyzna
Enneagram: 4w5
MBTI: INFP
Lokalizacja: Norwegia

Re: Tropiciel nieprawomyślności

Post autor: intbrun »

Przecież nie wożę kartki ze sobą, ona jest schowana w sejfie czy gdziekolwiek jej dobrze.
Z kartką chodzi o to, żeby te dane nie były przechowywane w żadnej cyfrowej formie - fizyczna separacja od komputera i internetów. Brniemy w kombinowanie straszne, ale jeśli będę przechowywał dane na dodatkowym dysku, czy w telefonie, a nie na kartce, to prędzej czy później muszę ten dysk podłączyć pod system, rozkodować, żeby zapisać kolejne dane, a wtedy ktoś mi się do nich dobierze. Kartkę mogę zamurować w ścianie, zakopać w skrzynce w lesie i bez względu na to co będę podpinał do czego, żaden haker czy wirus mi jej nie podkradnie. Przykłady oczywiście z gatunku śmiesznych, ale chodzi o ideę. Chodzi również o pokazanie, że sama teoria rozmija się z praktyką, czy raczej z praktycznością rozwiązań. Jeśli mi komputer padnie (a już tym bardziej jeśli służbowy) to będę miał więcej czasu na wyjście na piwo. A prywatne maile czy popisanie na forum wykonam z komórki. Dane można przechowywać w chmurze, podobnie jak łączyć się do zdalnie do desktopów. Mając pen'a z działającym linuksem niczego nie potrzebuję instalować. itd, itd. To ciągle jest balans miedzy tym co można, a tym co jest naprawdę konieczne i potrzebne. Żeby nie strzelać do muchy z armaty.
ODPOWIEDZ