mboost-dp1
Flickr - bongo vongo
Så må der jo bare blive lavet en liste over de virksomheder som har benyttet disse algoritmer, og så fravælger man simpelthen disse fremover.
Tal om at ødelægge sin egen forretning, men de er nok blevet presset til det af NSA på en eller anden måde.
Tal om at ødelægge sin egen forretning, men de er nok blevet presset til det af NSA på en eller anden måde.
#1 OniSael
Mest optimeret til hvad?
Siden den er baseret på elliptiske kurver, så kan det sagtens tænkes, at metoden har nogle fordele på visse platforme med begrænset plads og/eller regnekraft. Nøjagtig som kryptering baseret på elliptiske kurver i nogle tilfælde kan bruges med fordel i stedet for RSA-baseret.
Schneier har en god pointe - og det lyder absolut mistænkeligt; men grunden kan sagtens være ganske jordnær.
Mest optimeret til hvad?
Siden den er baseret på elliptiske kurver, så kan det sagtens tænkes, at metoden har nogle fordele på visse platforme med begrænset plads og/eller regnekraft. Nøjagtig som kryptering baseret på elliptiske kurver i nogle tilfælde kan bruges med fordel i stedet for RSA-baseret.
Schneier har en god pointe - og det lyder absolut mistænkeligt; men grunden kan sagtens være ganske jordnær.
Diverse reklamer der flot fortæller at de er sikkerhedgodkendt, får en lidt anden mening når man læser de pladder de plejer at skrive a la:
Firewall-1, Approved by DoD,DHS and now with NSA approved security features.
Firewall-1, Approved by DoD,DHS and now with NSA approved security features.
En af verdenens førende ekspeter inden for it-sikkerhed, Bruce Schneier, skriver på hans blog, hos Wired,
... undrer mig over at der ikke er en herinde der har kommenteret det fact at første linie i teksten fortæller at "En af verdenens førende ekspeter inden for it-sikkerhed" Har skrevet i en anden mands blog??
<OT>
Well.. forstår udemærket "bekymringen", tror ikke selv på at diverse agencies derovre har helt rent mel i posen...
#4
Hvis vi absolut skal gå over i konspirationsmode, så er det plausibelt at NSA har forsøgt at implentere en skjult bagdør, som kun de selv kender til. Herved har de mulighed for langt nemmere at bryde kryptering foretaget af mulige terrorister.
Eftersom NSA var med til at godkende algoritmen, så kan man sammenligne det lidt med at NCC (enterprise-firmaet) i al hemmelighed lige laver en ekstra nøgle til alle de lejligheder, som de har bygget. Bare i tilfælde af, at de skal ind i en lejlighed og kigge og ikke har tid til at brække døren ned...
Super metafor der.... ;)
Hvis vi absolut skal gå over i konspirationsmode, så er det plausibelt at NSA har forsøgt at implentere en skjult bagdør, som kun de selv kender til. Herved har de mulighed for langt nemmere at bryde kryptering foretaget af mulige terrorister.
Eftersom NSA var med til at godkende algoritmen, så kan man sammenligne det lidt med at NCC (enterprise-firmaet) i al hemmelighed lige laver en ekstra nøgle til alle de lejligheder, som de har bygget. Bare i tilfælde af, at de skal ind i en lejlighed og kigge og ikke har tid til at brække døren ned...
Super metafor der.... ;)
Ikke overraskende at NSA likes to have backdoors in every thing..
De er jo politi politi (i hvertfald følge dem selv.)
I følge andre en flok skyde gale konspirations teoretiker som har brugt lidt for lang tid på deres konspirationer, som brude have en celle med polstret væge og en lang ærmet skjorte med hænge lås på ryggen og ingen "Skeleton key" til denne lås..
Ps. Glemte den store røde boldt som de også skulle have i munden, for at mindske støj niveauet.
De er jo politi politi (i hvertfald følge dem selv.)
I følge andre en flok skyde gale konspirations teoretiker som har brugt lidt for lang tid på deres konspirationer, som brude have en celle med polstret væge og en lang ærmet skjorte med hænge lås på ryggen og ingen "Skeleton key" til denne lås..
Ps. Glemte den store røde boldt som de også skulle have i munden, for at mindske støj niveauet.
#20, ikke hvis de har kompromiteret maskinen mens diskene sad i ;-)
Appropos, hvis du bruger en nøgle der er generet via en kendt hashalgoritme, så er det jo ikke særligt brugbart, med mindre du i forvejen bruger nærmest tilfældige alfanumeriske karakterer - gør du det? I modsat fald kan man bare sende alle mekanisk fundne gæt gennem de kendte hashalgoritmer og finde samme nøgle, så bare det at bruge en hash algoritme er ikke nogen særlig beskyttelse hvis du blot bruger noget som f.eks. "Gud" som input.
Det bedste er nok at bruge en unik hashalgoritme, en kombination af hashalgoritmer eller en bare et helt tilfældigt genereret password (a-z,A-Z,0-9,etc) med tilpas mange tegn - gerne genereret udfra sande tilfældige tal - ikke pseudotilfældige tal via determiniske algoritmer. Problemet med det er at det bliver svært at huske lange tilfældige strenge og derfor bliver de ofte skrevet ned.
Appropos, hvis du bruger en nøgle der er generet via en kendt hashalgoritme, så er det jo ikke særligt brugbart, med mindre du i forvejen bruger nærmest tilfældige alfanumeriske karakterer - gør du det? I modsat fald kan man bare sende alle mekanisk fundne gæt gennem de kendte hashalgoritmer og finde samme nøgle, så bare det at bruge en hash algoritme er ikke nogen særlig beskyttelse hvis du blot bruger noget som f.eks. "Gud" som input.
Det bedste er nok at bruge en unik hashalgoritme, en kombination af hashalgoritmer eller en bare et helt tilfældigt genereret password (a-z,A-Z,0-9,etc) med tilpas mange tegn - gerne genereret udfra sande tilfældige tal - ikke pseudotilfældige tal via determiniske algoritmer. Problemet med det er at det bliver svært at huske lange tilfældige strenge og derfor bliver de ofte skrevet ned.
#21
Et fornuftigt implementeret [urk=http://en.wikipedia.org/wiki/Salt_%28cryptography%29]salt [/quote] kan nu også løse det.
Lad os sige at du ønsker et password på max 8 tegn, det der gemmes er et md5-hash, vi forudsætter at hashet ikke kan lagres sikkert. Lad os yderligere forudsætter at der er en database tilgængelig med reverse lookup på alle mulige strenge på op til 8 tegn.
Yep, så er det ikke meget værd.
Men du kan jo bruge et simpelt salt: Fx. kan dit system sætte "ldfmniboæisentoæsghie5y5463n45oit234tgf34g3" foran det du skriver. Så er den reverse lookup-database ikke meget værd.
At lave sine egne kryptering/hashing-algoritmer skal man passe på med. Det er endnu sværere end at implementere kendte algoritmer korrekt.
Et fornuftigt implementeret [urk=http://en.wikipedia.org/wiki/Salt_%28cryptography%29]salt [/quote] kan nu også løse det.
Lad os sige at du ønsker et password på max 8 tegn, det der gemmes er et md5-hash, vi forudsætter at hashet ikke kan lagres sikkert. Lad os yderligere forudsætter at der er en database tilgængelig med reverse lookup på alle mulige strenge på op til 8 tegn.
Yep, så er det ikke meget værd.
Men du kan jo bruge et simpelt salt: Fx. kan dit system sætte "ldfmniboæisentoæsghie5y5463n45oit234tgf34g3" foran det du skriver. Så er den reverse lookup-database ikke meget værd.
At lave sine egne kryptering/hashing-algoritmer skal man passe på med. Det er endnu sværere end at implementere kendte algoritmer korrekt.
#22 Hvis saltet lagres i krypteret form, ja så har du en pointe, så vil man kunne bruge eksisterende hashalgoritmer. Dog vil jeg stadig foretrække at bruge en af de stærkere algoritmer, selvom det kan virke overkill. Hvem ved hvad der er overkill om 10 år. Men det er nu heldigvis de færreste der har data de er så følsomme overfor at de træder til den slags.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund