mboost-dp1
huawei
ToFFo (1) skrev:Pris med bagdøre: $$$
Pris uden bagdøre: $$$$
Elektronik kan slet ikke fås uden bagdøre nu om dage, fordi ingen har noget at skjule(TM) :)
som minimum er USA, Rusland og Kina jo nød til at følge med i hvad du foretager dig på dit udstyr
NSA's udtalelse om at de har droppet masseovervågning tvivler jeg meget på
#0
Sagen involverer telefonudstyr i vesten og Huawei.
Men derudover har den vel ikke noget med eventuel sikkerhedsrisiko ved brug af Huawei at gøre.
Der synes at være enighed om at de nævnte problemer ikke er et tegn på spionage fra den kinesiske efterretningstjeneste men bare et tegn på almindelig dårlig software kvalitet.
Se også den her:
https://newz.dk/storbritannien-finder-store-sikker...
Sagen involverer telefonudstyr i vesten og Huawei.
Men derudover har den vel ikke noget med eventuel sikkerhedsrisiko ved brug af Huawei at gøre.
Der synes at være enighed om at de nævnte problemer ikke er et tegn på spionage fra den kinesiske efterretningstjeneste men bare et tegn på almindelig dårlig software kvalitet.
Se også den her:
https://newz.dk/storbritannien-finder-store-sikker...
Cirka fremgangsmetode for fejlfinding af bagdøre..
1 - Programmør laver program og gennemlæser det for fejl og udgiver det.
2 - Hacker leder efter, og finder, bagdør i program, fortæller det til x venner som fortæller det til X venner osv..
3 - Fejl bliver påpeget af hackers vens, vens, ven
4 - Programmør lukker bagvej
Gentag pkt. 2-4 i det uendelige, eller indtil ingen hackere kan se mening i at forsøge at berige sig ved hjælp af programmet produceret i pkt. 1. (udskift selv ordet hacker med NSA, staten eller hvilken organisation der nu trigger din sølvpapirshat)
1 - Programmør laver program og gennemlæser det for fejl og udgiver det.
2 - Hacker leder efter, og finder, bagdør i program, fortæller det til x venner som fortæller det til X venner osv..
3 - Fejl bliver påpeget af hackers vens, vens, ven
4 - Programmør lukker bagvej
Gentag pkt. 2-4 i det uendelige, eller indtil ingen hackere kan se mening i at forsøge at berige sig ved hjælp af programmet produceret i pkt. 1. (udskift selv ordet hacker med NSA, staten eller hvilken organisation der nu trigger din sølvpapirshat)
#7: ja men modsat hackere så har NSA og andre statsorganer magt til at beordre bagdøre i software plus
NSA er blevet fanget i at de bevidst har smadret open source biblioteker til kryptering (dvs indsat sårbarheder)
Det er ikke utænkeligt at forestille sig at samtlige amerikanske virksomheder og alle virksomheder i allierede lande der har en vis størrelse
Er beordret til at give NSA en data snabel
Se bare de krav der nu er kommet til danske virksomheder fra CFCS
Sølvpapirs hatten skal slet ikke frem, virkeligheden overgår som altid fantasien
NSA er blevet fanget i at de bevidst har smadret open source biblioteker til kryptering (dvs indsat sårbarheder)
Det er ikke utænkeligt at forestille sig at samtlige amerikanske virksomheder og alle virksomheder i allierede lande der har en vis størrelse
Er beordret til at give NSA en data snabel
Se bare de krav der nu er kommet til danske virksomheder fra CFCS
Sølvpapirs hatten skal slet ikke frem, virkeligheden overgår som altid fantasien
CBM (2) skrev:
NSA's udtalelse om at de har droppet masseovervågning tvivler jeg meget på
NSA har ikke udtalt at de har droppet masseovervågning generelt.
NSA har udtalt at de har/vil droppe analyse af data fra de amerikanske telfonselskaber omkring amerikanernes telefon brug (data svarende til det der findes på detaljerede telefonregninger: startid + nummer + minutter).
Og det er ikke af hensyn til amerikanernes privaliv, men fordi at det er for dyrt i forhold til udbyttet.
arne_v (9) skrev:CBM (8) skrev:
NSA er blevet fanget i at de bevidst har smadret open source biblioteker til kryptering (dvs indsat sårbarheder)
Hvilke?
Fx OpenSSL
https://www.glaver.org/blog/?p=853
https://groups.google.com/forum/#!topic/comp.os.li...
https://www.nytimes.com/2013/09/06/us/nsa-foils-mu...
https://www.computerworlduk.com/it-business/nsas-c...
Https://arstechnica.com/information-technology/201...
#11
Nogen gange kan man godt undre sig over den totale mangel på kritisk sans, når folk skal forsvare deres kæpheste.
Er blog poster som hævder det samme som dig.
Men påstande i blogs beviser kun at påstanden har været fremført ikke at den er sand.
Ligner en fejl copy paste. Jeg kan ikke se noget om NSA.
Dem her omtaler så det som jeg også formodede at du henviste til.
CSPRNG'en Dual_EC_DRBG.
Men prøv og dyk lidt ned i sagen.
Læs https://en.wikipedia.org/wiki/Dual_EC_DRBG og læs nogle af de tekniske links (ikke links til populær jounalistikken).
Det er kendsgerninger at:
* algoritmen er kryptografisk dårlig af flere årsager
* der er en mulighed for at man for givne parametre (hvis de er konstrueret på en bestemt måde) kan forudsige genererede data (og dermed bryde kryptering baseret på disse værdier)
* standard parameterne kom fra NSA, så hvis der er nogen som kan forudsige genererede data så er det NSA
Men der er ikke nogen i offentligheden som ved om NSA kan forudsige genererede data for standardparameterne.
Udfra muligheden og nogle generelle oplysninger fra Snowden omkring hvad NSA gerne ville så er der gættet på at NSA kan.
Og det er fair nok at gætte på det.
Men at fremføre det som en kendsgerning er ren fake news.
Og NSA har ikke indført algoritmen i OpenSSL. OpenSSL besluttede at implementere algoritmen inklusive standardparametrene selvom de godt viste at der kunne være et problem fordi det var standarden og man ønskede at følge standarden.
Og man ved at ingen har brugt algoritmen i OpenSSL, da der var en fejl i implementeringen. Et af de meget få tilfælde hvor en software fejl er en god ting!!
Det eneste kryptografiske bibliotek hvor algoritmen har været brugt er formentligt et closed source library BSAFE fra RSA Inc hvor algoritmen var standard.
Da RSA Inc laver forretninger med NSA, så er der også blevet gættet på at RSA Inc gjorde den til standard efter ønske fra NSA. RSA Inc benægter.
Men igen et gæt.
Nogen gange kan man godt undre sig over den totale mangel på kritisk sans, når folk skal forsvare deres kæpheste.
CBM (11) skrev:
https://www.glaver.org/blog/?p=853
https://www.computerworlduk.com/it-business/nsas-c...
Er blog poster som hævder det samme som dig.
Men påstande i blogs beviser kun at påstanden har været fremført ikke at den er sand.
CBM (11) skrev:
https://groups.google.com/forum/#!topic/comp.os.li...
Ligner en fejl copy paste. Jeg kan ikke se noget om NSA.
CBM (11) skrev:
https://www.nytimes.com/2013/09/06/us/nsa-foils-mu...
Https://arstechnica.com/information-technology/201...
Dem her omtaler så det som jeg også formodede at du henviste til.
CSPRNG'en Dual_EC_DRBG.
Men prøv og dyk lidt ned i sagen.
Læs https://en.wikipedia.org/wiki/Dual_EC_DRBG og læs nogle af de tekniske links (ikke links til populær jounalistikken).
Det er kendsgerninger at:
* algoritmen er kryptografisk dårlig af flere årsager
* der er en mulighed for at man for givne parametre (hvis de er konstrueret på en bestemt måde) kan forudsige genererede data (og dermed bryde kryptering baseret på disse værdier)
* standard parameterne kom fra NSA, så hvis der er nogen som kan forudsige genererede data så er det NSA
Men der er ikke nogen i offentligheden som ved om NSA kan forudsige genererede data for standardparameterne.
Udfra muligheden og nogle generelle oplysninger fra Snowden omkring hvad NSA gerne ville så er der gættet på at NSA kan.
Og det er fair nok at gætte på det.
Men at fremføre det som en kendsgerning er ren fake news.
Og NSA har ikke indført algoritmen i OpenSSL. OpenSSL besluttede at implementere algoritmen inklusive standardparametrene selvom de godt viste at der kunne være et problem fordi det var standarden og man ønskede at følge standarden.
Og man ved at ingen har brugt algoritmen i OpenSSL, da der var en fejl i implementeringen. Et af de meget få tilfælde hvor en software fejl er en god ting!!
Det eneste kryptografiske bibliotek hvor algoritmen har været brugt er formentligt et closed source library BSAFE fra RSA Inc hvor algoritmen var standard.
Da RSA Inc laver forretninger med NSA, så er der også blevet gættet på at RSA Inc gjorde den til standard efter ønske fra NSA. RSA Inc benægter.
Men igen et gæt.
#0 Men på CCC blev der for nole år siden fremvist et hack, som gjorde, at de kunne aflytte en hvilken som helst samtale i tyskland, dvs. ikke Huawei. (jeg kan ikke helt huske detaljerne)
Derudover, hvis de lapper et hul, når de bliver bekendt med det, så er det vel ikke anderledes end ved alle andre leverandører.
Derudover, hvis de lapper et hul, når de bliver bekendt med det, så er det vel ikke anderledes end ved alle andre leverandører.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund