| 1.1, N (?), 00:01, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Спецслужбам по карману даже сделать для этого ASIC и щелкать SHA1 как орешки.
| | |
| |
| 2.33, Аноним (-), 10:56, 08/01/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
Как показали майнеры коинов - это по карману даже мелким стартапам.
| | |
|
| |
| 2.4, Аноним (4), 00:23, 08/01/2020 [^] [^^] [^^^] [ответить]
| +8 +/– |
Направляю лазерный луч на твоё окно, слушаю принтер по отражению и распознаю распечатанный текст.
| | |
| |
| |
| 4.18, Аноним84701 (ok), 01:22, 08/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Ухожу печатать на печатной машинке, под звук душа в ванной
https://www.schneier.com/blog/archives/2005/09/snooping_on_tex.html
> Li Zhuang, Feng Zhou, and Doug Tygar have an interesting new paper showing that if you have an audio recording of somebody typing on an ordinary computer keyboard for fifteen minutes or so, you can figure out everything they typed.
(причем, определять текст по звуку компьютерной клавиатуры как бы не посложнее будет, чем по звуку старой доброй механической машинки ;) )
| | |
| |
| 5.35, Аноним (-), 10:57, 08/01/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Айда мышкой на наэкранке печатать :). Будет клик 1 кнопки всегда.
| | |
| 5.54, scorry (ok), 14:55, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Хочу посмотреть на результаты распознавания звука на фоне помехи, ага. Особенно не на фоне душа, а на фоне записанной трескотни из смешанных звуков от той же самой клавиатуры.
| | |
| |
| 6.66, Аноним (-), 02:34, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
А вот это кстати не особая проблема. Даже если вероятность будет не 100%, для многих случаев сойдет. Например, достаточно угадать 70% букв твоего пароля. Остальное, так и быть, можно брутфорсом взять.
| | |
| |
| 7.72, scorry (ok), 17:48, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
> А вот это кстати не особая проблема. Даже если вероятность будет не
> 100%, для многих случаев сойдет. Например, достаточно угадать 70% букв твоего
> пароля. Остальное, так и быть, можно брутфорсом взять.
Ещё раз, для вас, поэтому внимательно читайте: на фоне записи хаотической трескотни от той же клавиатуры. И не тыкайте незнакомым, ради бога.
| | |
|
|
|
|
| 3.44, Аноним (44), 12:00, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Он может направить кучу лазерных лучей на своё же окно, промодулировав их шумом.
| | |
| 3.57, Аноним (57), 15:59, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
У меня принтер лазерный, но чтобы тебе было не скучно слушать - направляю колонки на стёкла в окне и включаю погромче что-нибудь вроде Deicide или Burzum.
| | |
| |
| 4.58, Аноним (58), 16:19, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Есть кстати колонки в виде присосок на окно (и любые другие гладкие поверхности).
| | |
| 4.67, Аноним (-), 02:36, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Deicide или Burzum.
А теперь товарищмайоры всех стран смогут это скачать и вычесть из записи.
| | |
|
| 3.71, Олег (??), 14:00, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Все переговоры теперь только в чистом поле, в окопе глубиной метр.
| | |
|
|
| 1.5, user90 (?), 00:25, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Паяльник-то проще будет)) Как оторваны от реальности эти товарисчи..
| | |
| |
| |
| 3.9, user90 (?), 00:39, 08/01/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Пояснить чтоле развернуто? Это не_чисто_математическая_проблема!Иди выйди бл* на улицу, посчитай, сколько тут натыкано камер, сцуко! Законы там почитай до кучи.. И потом будешь думать не о "кому", а о том, как бы не сделать, чтобы не тебе. Мозгов просто не хватает, увы..
| | |
| |
| 4.19, Аноним (19), 01:25, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Тут вопрос в цене. Если взломать дешевле, то зачем вставлять. Ломануть и читать спокойно сообщения.
| | |
| |
| 5.22, Грусть (?), 02:15, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Перед тем, как вставлять, надо достоверно установить связь между конкретной последовательностью байт и конкретной жопой.
| | |
| |
| 6.30, Аноним (30), 10:41, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
А это уже пусть конкретная жо доказывает, что у нее нет связи с этим набором байтов.
| | |
| |
| 7.39, InuYasha (?), 11:48, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А ты не из прав-ва, случаем, или не из Appllee? )
Потому что идея "каждой жопе по паяльнику" откуда-то оттуда произрастает... (т.е. "будем жечь всех - нужный субъект сам себя выдаст или сгорит").
| | |
| 7.68, Аноним (-), 02:37, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> А это уже пусть конкретная жо доказывает, что у нее нет связи с этим набором байтов.
Так это в таком случае рандомно выбранная жо, а не...
| | |
|
| 6.31, Аноним (31), 10:44, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это в загнивающей презумпция невиновности действует. А тут вам не это!
| | |
| |
| 7.76, Грусть (?), 02:24, 10/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вина и невиновность тут не при чём. Главное - знает жопа код или нет. Если не знает, то никакой паяльник не поможет.
| | |
|
|
|
| 4.37, drTrue (?), 11:14, 08/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Проблема возможности установления цели которой следует встявлять паяльник решается просто. Зашифрованная инфа рассылается всем кому только можно всё равно прочитать её сможет только тот кто владеет включём. В таком случае всему населению вставлять паяльник?
| | |
| |
| 5.40, InuYasha (?), 11:50, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если ты не заметил, с всунутыми паяльниками ходят уже большинство быдла (яблочники-то точно). Просто они всё ещё думают что это - лишь зонды )
| | |
| |
| 6.48, drTrue (?), 12:58, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Деточка, я говорил про настоящий электрический паяльник.
Яблочники и прочие отдают метаданные, а тело сообщений шифруется, а следовательно эти метаданные нужно обесценить. Если рассылать шифрованные сообщения всем то смысла в метаданных (адрес получателя и т.п.) не будет никакого.
| | |
| |
| 7.53, InuYasha (?), 14:32, 08/01/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Опять ты не понял - угроза отключить от матрицы (100грамм, фсбук, вкака, гулаг-сервисис и т.д.) или удалённо окирпичить гейфон для современного хипстремиста может похуже быть настоящего паяльника.
| | |
|
|
|
|
|
|
| 1.8, Аноним (58), 00:38, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ] | –10 +/– | Ну наконец-то А то всякие г и утверждали, что использование keyidов не sh... большой текст свёрнут, показать | | |
| |
| 2.14, Аноним (14), 00:59, 08/01/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
Столько буков и непонятных вумных слов, непонятно толи бред, толи правда, по большей части, в этом потоке сознания нехватает пруфов и бОльшего количества связности и контекста.
Но старайтесь ещё, а то получается скорее как у митрофаныча, нежели как у человека в теме.
| | |
| |
| |
| 4.42, InuYasha (?), 11:52, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Такое впечатление уже, что на проприетарщиках половина ТЭЦ работает... )
| | |
|
|
| 2.34, Аноним (34), 10:57, 08/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Че ты свалил все йяйца в одну корзину? Причем тут GPL и реализации всяких там алгоритмов? Любишь различать фломастеры на вкус и цвет? Во видишь сколько твой словесный понос вызвал вопросов.
Узбагойся уже, выпей пиона уклоняющегося, и идди уже писать свою реализацию по своей теории и под своей лицензией. Когда вывалишь своё "добро", сюда не пиши. Пожалуйста!
| | |
| |
| 3.59, Аноним (58), 16:24, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>Че ты свалил все яйца в одну корзину? Причем тут GPL и реализации всяких там алгоритмов?
Притом, что мы живём в реальном мире и решаем практические проблемы. И если ни одна библиотека, реализующая стандарт, в реальном мире неприменима, то и сам стандарт не нужен.
| | |
| |
| 4.61, Аноним (34), 17:14, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
В вашем Мире все может быть по другому. Пожалуйста создавайте свой Мир без фанатизма! Может кому и понравится. Удачи!
| | |
|
|
| 2.70, КО (?), 09:42, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Надо однако заметить, что возможность выпустить два документа с одинаковым hash это не то же самое, что выпустить документ с тем же hash, что и у любого наперед заданного документа.
| | |
|
| |
| 2.15, Аноним (15), 01:02, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>ну и фигли не перешли еще на sha3?
бюрократия-с
мало того, есть ещё наркоманы, которые с md5 не перешли, а тут даже не как в поговорке про пока жаренный петух не клюнет, тут клюёт уже по полной, прямо отбойником дупло пробивает, а они всё пользуют и пользуют, видать нравится когда в жо$у что-то клюёт.
| | |
| |
| 3.17, Аноним (19), 01:21, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>с md5 не перешли
Ты это говоришь так, будто md5 используется только в криптографии.
| | |
| |
| 4.69, Аноним (-), 02:38, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
А где еще? Как быстрый хэш без требований криптостойкости он ни о чем - потому что ни разу не быстрый.
| | |
|
|
| 2.24, Аноним (24), 04:26, 08/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Sha3 имеет надежность примерно соответствующую sha2. Его сделали не потому, что в sha2 нашли существенные проблемы безопасности, а чтобы подготовить альтернативу на случай, если/когда найдут.
Учитывая это, а также то, что у sha2 послужной список получше, нет пока что смысла переходить на sha3, который пока еще "темная лошадка" и вполне может оказаться, что при дальнейших исследованиях его поломают еще раньше, чем sha2.
| | |
| |
| 3.65, Аноним (13), 21:15, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>нет пока что смысла переходить на sha3
да конечно! sha3 принят как стандарт. точка. все уже протестировано и это стандарт. кто использует что-то кроме sha3 сам себе злобный буратино!
| | |
|
|
| 1.23, Имя (?), 03:45, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Уже давно существует SHA-3 а кто-то всё ещё пытается взломать SHA-1
Давайте ещё уязвимости в Windows98 поищите
| | |
| 1.27, ползкрокодил (?), 09:17, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это чего, теперь окончательно TLS на мобильнике отвалится? Он сертификаты выше SHA1 не умеет, с SHA256 и выше не устанавливаются.
| | |
| |
| 2.36, Аноним (-), 10:59, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну, ставь себе прокси, чтоли, какой, выписав себе любимому сертификат. Придется через прокси ходить, делая SSL bumping.
| | |
| |
| 3.80, ползкрокодил (?), 14:53, 15/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, ставь себе прокси, чтоли, какой, выписав себе любимому сертификат. Придется через
> прокси ходить, делая SSL bumping.
Пробовал ещё пару лет назад Squid поставить и на него мобильник натравить, чот не работает. Не знаю, чего ему не хватает. С MidpSSH решилось включением устаревших шифров на сервере, а тут без понятия даже, куда копать.
| | |
|
| 2.47, Аноним (47), 12:53, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ещё годика два подождите и сможете с чистой душой пользоваться вместо TLS обычным http. Незачем железку зря греть.
| | |
| |
| 3.81, ползкрокодил (?), 14:53, 15/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ещё годика два подождите и сможете с чистой душой пользоваться вместо TLS
> обычным http. Незачем железку зря греть.
Так в том и беда, что нешифрованные соединения тоже отключают.
| | |
|
|
| 1.32, timur.davletshin (ok), 10:53, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 SHA256 вроде у меня в GPG и подпиши такие же в дефолтных настройках Evolution. Судя по отправленным письмам, то очень давно. В S/MIME тоже SHA256.
| | |
| 1.38, dep346 (ok), 11:26, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Заметьте, здесь речь о подделке двух документов друг под друга. В жизни же обычно один из документов фиксирован, как следствие фиксирован его хеш, и злоумышленнику требуется подделать другой документ, чтобы его хеш сошёлся с оригиналом. А для этой ситуации описанная атака не пригодна.
Пример в статье: сгенерировать пару ключей-сертификатов в PGP, подсунуть один ключ кому-то для подписи, а затем, пользуясь этой подписью делать подписи с доверием другим ключом. Весьма экзотический сценарий.
Конечно, от SHA1 надо отказываться, и описанное — важный шаг на пути к его краху. Но всё же не такое страшное событие, как его малюют.
| | |
| 1.41, Аноним (41), 11:50, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Специалисты, объясните, почему не подписывать документы сразу несколькими алгоритмами, в идеале - максимально отличающимися по техникам и разработчикам. Ведь это сильно усложнит атаки по поиску коллизий. А использование стандартных алгоритмы конкурирующих стран, например, США, Китая и РФ, уменьшит вероятность наступить в бэкдор.
Мой дилетантский взгляд видит только одну проблему - утечку информации о ключе через слабые хеши в наборе, но это решается длиной ключа или разными ключами для каждой хеш-функции.
| | |
| |
| 2.43, InuYasha (?), 11:56, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
+1
на практике не знаю, но а) это больше ЦПУ, б) формат сообщений мб придётся менять
Правда, не спасёт если все алгоритмы ломаемы.
| | |
| |
| 3.45, Аноним (41), 12:28, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Пусть даже для каждого алгоритма в отдельности можно легко найти / сенерировать коллизию, но нужно-то будет получить общую коллизию, которая для всех алгоритмов из набора хешей давала нужный результат. Мне это видится задачей гораздо более сложной и менее изученной
| | |
| |
| 4.46, InuYasha (?), 12:44, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Действительно, исходные данные для разных хешей скорее будут различаться, чем совпадать. В результате это изменит задачу с поиска первого подходящего хэша на поиск первой пары совпадений в таблицах разных хэш-функций. Т.е. может усложнить задачу НА время от ОДНОЙ итерации подбора коллизии ОДНОГО хэша до ВСЕХ коллизий ВСЕХ хэшей.
| | |
|
|
| |
| 3.50, Аноним (41), 13:36, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это разве не про случай с HASH1(HASH2(HASH3(payload)))?
А я говорю о подписи, которая содержит в самом простом случае HASH1(payload) + HASH2(payload) + HASH3(payload), то есть на выходе у нас 3 независимых хэша от исходных данных, для проверки подписи мы проверяем их все
| | |
| |
| 4.62, Аноним (58), 17:28, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Извиняюсь, я забыл название, а искать было влом. Вот она: 10.1007/978-3-540-28628-8_19. Смотри §4, "On the security of cascaded hash functions".
| | |
|
|
| 2.51, Аноним (51), 13:50, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Специалисты, объясните, почему не подписывать документы сразу несколькими алгоритмами,
> в идеале - максимально отличающимися по техникам и разработчикам. Ведь это
> сильно усложнит атаки по поиску коллизий. А использование стандартных алгоритмы конкурирующих
> стран, например, США, Китая и РФ, уменьшит вероятность наступить в бэкдор.
Потому что это не про безопасность. Это бизнес, ничего личного. Целью наблюдаемого повсеместного внедрения стандартов одной страны является доминирование. Из него обыватель делает вывод, что криптография США "лучше", соответственно и остальную продукцию следует покупать у компаний под управлением американского капитала.
| | |
| |
| 3.63, Аноним (58), 17:30, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну как бы это не США поймали на наличии скрытой структуры в предписанных к использованию хэш-функциях и шифрах.
| | |
| |
| 4.64, Аноним (51), 17:41, 08/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
И как это опровергает исходную посылку "это не про безопасность"?
| | |
| |
| 5.74, Аноним (58), 20:12, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
это в рф россиян обязывают пользоваться российской криптой. В сша же не обязывают, просто анб выпускает набор шифров, а доверчивые ура-патриоты, не верящие в то, что от анб могут быть подлянки и верящие в то, что анб о них печётся, им пользуются.
| | |
| |
| 6.75, Сейд (ok), 23:56, 09/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
 В США не обязывают государственный и коммерческий секторы использовать стандарты, разработанные NIST?
| | |
|
|
|
|
|
| 1.78, Тыгра (?), 18:50, 12/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>При этом благодаря подбору коллизии идентифицирующий ключи сертификат, включающий ключ и изображение атакующего, имел тот же SHA-1 хэш, что и идентификационный сертификат, включающий ключ и имя жертвы.
Ну и? Разный хэш позволит что? Поддельный документ с ЧУЖОЙ подписью? И что, доверия к этому ЧУЖОМУ сертификату всё равно нет, так как у меня в доверенных прописан ИСХОДНЫЙ сертификат, а поддельный - нет.
Эта схема в PKI фатальна, да, если привязки сертификатов нет, а только доверие к выдавшему CA.
Ну и да, идентифицировать сертификат ТОЛЬКО по его хэшу - лютый трешняк от программистов-недучек.
| | |
|
