Skutečně si myslíte, že na nedůvěryhodném systému je možné provádět důvěryhodné šifrování? :D
Chyba v OpenSSL taky nebyla náhoda, tak blbý žádný programátor být nemůže. Poslat data a jejich délku a podle délky vrátit data... BEZ KONTROLY SHODY...
Napadá mne asi 1 000 možností, jak samotný systém může "odposlechnout" takto aplikací šifrovaná data, klíče, hesla...
Ne. Já osobně si myslím, že psát pokračovatele TrueCryptu či jakýkoli podobný SW pro Windows 8 a pozdější je ztráta času.
Někdo jistě namítne, že košile je bližší než kabát (někde jsem to tu četl), tedy že proti sousedovi či manželce to bude stačit. Já myslím že je to z principu špatný pohled.
Navíc, nešlo by to zneužít již dnes? Nevím jak ten SW dnes uvnitř stavěn...
Co se ale stane, když vy budete SW bezpečně používat na Linuxu (nebo prostě nějakém solidním, necracknutém systému) a pak někdo zkusí s daty pracovat v systému (řekněme třeba nová Windows, ale klidně to může být vlastní Linux či jin OS) který je mu plně otevřený a čitelný? Divím se že něco takového si tajné služby nezřídili kvůli TrueCryptu již dávno.
Nebo co se stane když jiný SW pro jiný a bezpečný systém půjde emulovat v takovém "speciálním" systému? Podle mne již počítače nikdy nebudou to co bývaly. Dnes to ještě řádně nefunguje, ale první kroky již byly uskutečněny. Respektive, asi to již funguje, ale lidé to ještě na vlastní oči neviděli a nevěří tomu.
Napsal jsem to poněkud nepřehledně a chaoticky (úvaha v úvaze).
V podstatě šlo o to, že dnes používáte šifrování na nějakém systému a připadá vám to bezpečné. V okamžiku, kdy tento SW použijete (protože je multi platformní a multisystémový) na systému který je útočníkovi otevřený (třeba proto že je tak navržený) dojde k získání šifrovaných dat obecně, nově pro jakýkoli systém.
Co se týká budoucnosti, možná ne až tak vzdálené (možná už to takhle lze lámat), systém který dokáže plně sledovat chování SW může najít řešení jak šifru rozlousknout. Záležet bude na výpočetním výkonu a na tom jak je daná aplikace napsaná (proto říkám že do TrueCryptu nevidím).
Jak tu někdo poznamenal - důvěřovat jakémukoli SW je pitomost. Počítače prostě nejsou a zejména nebudou určeny pro bezpečné uchovávání tajných informací. Uvidíte v budoucnu, pokud se něco provalí. Zatím nevím že by se veřejně ozval někdo komu byl prolomen například zmíněný BitLocker. A jsem si jist, že se tak děje, a jednou se najde obyčejnější člověk, který prostě nebude dostatečně zastrašen... nebo mu už bude vše u prdele, jako třeba mně dnešní svět a vlády, justice a podobné pičoviny všech zemí obecně. Až mne někdo bude vyhrožovat a rozlouskne mi moje soukromé věci, dám vám vědět kolik jim to dalo práce a čím mi vyhrožovali a možná i to zda to splnily. Všem kurvám pracujícím pro vládu i jinou mafii - zdechněte.
> V okamžiku, kdy tento SW použijete (protože je multi platformní a multisystémový) na systému který je útočníkovi otevřený (třeba proto že je tak navržený) dojde k získání šifrovaných dat obecně, nově pro jakýkoli systém.
Furt nechápu. Rozparsoval jsem to jako:
1) Spustím Truecrypt na Linuxu (považujme teď Linux za bezpečný, i když je to sporné) a zašifruju s ním nějaká data.
2) Spustím Truecrypt na Windows a zašifruju s ním úplně jiná data úplně jiným heslem.
3) ??? Útočník crackne ta data zašifrovaná na Linuxu ???
> Co se týká budoucnosti, možná ne až tak vzdálené (možná už to takhle lze lámat), systém který dokáže plně sledovat chování SW může najít řešení jak šifru rozlousknout.
Systém, který dokáže plně sledovat chování daného SW, především vidí, co píšu na klávesnici, a tak nemusí louskat žádnou šifru, ale prostě si odposlechne heslo.
> Záležet bude na výpočetním výkonu a na tom jak je daná aplikace napsaná
Pokud zadáváš heslo do kompromitovaného systému, je úplně jedno jak je aplikace napsaná a jaký máš výpočetní výkon.
> Až mne někdo bude vyhrožovat a rozlouskne mi moje soukromé věci, dám vám vědět kolik jim to dalo práce
To by bylo jistě zajímavé, s největší pravděpodobností ti ale pošlou mailem virus, budou ti koukat kamerou přes rameno při zadávání hesla nebo z tebe ten klíč prostě vymlátí. Tj. z hlediska bezpečnosti samotného šifrování celkem nezajímavé útoky :).
>" systém který dokáže plně sledovat chování SW může najít řešení jak šifru rozlousknout"
Ide o to ze ak pouziju AES alebo Twofish tak je jasne co SW robi je jedno ci je otvoreny alebo zatvoreny vysledne data budu pri rovnakom kluci rovnake pre kazdy SW. Dokonca algoritmus AES, Twofish, TripleDES je verejny.
Takym sposobom ako popisujete sa daju lustit sifry ktorych algoritmus nie je znamy, pri nich je nebezpecenstvo ze programatori alebo inzinieri co navrhovali hw nemaju dostatocne vedomosti a pouziju nieco co sa im javi ako zlozite, ale kryptologovia (keby poznali algoritmus) by to zavrhli lebo poznaju utok ktorym to oslabit.
> Skutečně si myslíte, že na nedůvěryhodném systému je možné provádět důvěryhodné šifrování? :D
Ne. Mohl bys mi doporučit nějaký důvěryhodný systém?
> Chyba v OpenSSL taky nebyla náhoda, tak blbý žádný programátor být nemůže. Poslat data a jejich délku a podle délky vrátit data... BEZ KONTROLY SHODY...
Tak zrovna tohle si dokážu představit, že udělám taky (omylem).
