Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Ministr(ant) kryptografie 26. 03. 2018, 09:52:16
-
Tož jsem si početl tento článek:
https://ekonomika.idnes.cz/jablotron-alarmy-vyvoj-softwaru-d45-/ekoakcie.aspx?c=A180308_387742_ekoakcie_are (https://ekonomika.idnes.cz/jablotron-alarmy-vyvoj-softwaru-d45-/ekoakcie.aspx?c=A180308_387742_ekoakcie_are)
A zaujalo mě tam toto:
Podařilo se jim už systém prolomit?
Naštěstí ne, dostáváme ale vždy souhrn doporučení, která následně aplikujeme. Příkladem je implementace vlastního komunikačního protokolu, který nevyužívá žádné veřejně známé šifrovací standardy.
Připadá Vám to chytré? Mi všichni krytoteoretici (ať čeští osobně ve škole, nebo světoví veřejně na internetu) sdělovali, že vlastní šifra je celkem vysoko v žebříčku hloupostí, co mohu na poli šifrování spáchat.
Stojí to za to? Odfiltrovat automatické útoky na případné známé chyby daného veřejného protokolu za to, že máte ve svém protokolu možná díru jako vrata, kterou vyrobil a následně neodhalil váš hádám 5členný tým lidí, kteří o kryptografii ví možná více, než průměrný SW inženýr? Váš kód má stejně polovina zaměstnanců doma a když podají výpověď, tak ho nevymažou, takže security by obscurity tady nebude valná.
Co za tím může být, že do toho nejenom šli, ale i se tím veřejně chlubí?
-
Lidska hloupost je nekonecna...
-
Spis bych rekl, ze tohle bylo straceno v prekladu nekde mezi jeho techniky, kteri tomu rozumeji, a jim, ve vrstvach managementu. Zadni whitehat hackeri by doporuceni v tomto smyslu nedavali.
-
U Eurohujerotronu si člověk nemůže bejt nikdy jistej. Hlavně jestli na to je dotace :D
-
Spis bych rekl, ze tohle bylo straceno v prekladu nekde mezi jeho techniky, kteri tomu rozumeji, a jim, ve vrstvach managementu. Zadni whitehat hackeri by doporuceni v tomto smyslu nedavali.
Jedna věc je, jak je to myšleno. Jestli ten jejich vlastní protokol s vlastní šifrou je důsledek doporučení nějakého externího whitehathacker týmu. Anebo, jestli jim to nikdo nedoporučil a a pán prostě informaci o vlastním protokolu a šifře jenom uvedl v nevhodném kontextu.
Každopádně se vydali cestou vlastního řešení - což IMHO nebude věc ztracená v překladu.
-
Vlastny protokol nemusi byt tragedia, horsie to byva pri vlastnom sifrovacom algoritme.
-
Je to přefiltrované přez iděs takže co tam doopravdy je - kdo ví. To "vlastní šifrování" v jazyce novinářů může být klidně jen anomálie v protokolu. Možná zjímavé téma na prozkoumání. Každopádně jejich 125khz rifd běžné čtečce odpoví ale identifikován je jako vadný což efektivně znemožnuje použít jejich čip na více systémů pokud nejsou všechny od nich. když je v dosahu s čipen na stejné frekvenci tak se pochopitelně ruší.
-
Vlastny protokol nemusi byt tragedia, horsie to byva pri vlastnom sifrovacom algoritme.
Tož to je otázka, co všechno mají vlastní, to se z toho jeho prohlášení odvozovat nedá. Ale v praxi je drtivá většina chyb (co vás ohrožují v kryptografii) stejně chyba implementace.
Takže pokud mají veřejný algoritmus a jeho vlastní implementaci, tak vyměnili riziko implementačních chyb za riziko svých vlastních implementačních chyb.
-
Pozn.: Urcite nie som zastancom vlastneho riesenia sifrovania. Myslim ze je popisane toho dost preco nie. Bohuzial sa ale asi spravnej odpovede nedockate. Ak sa aj spytate na nejakom ich supporte, predpokladam ze to budu len marketingove reci.
-
napr.: nemohli pouzit treba dostupny sifrovaci algoritmus, ale nejaky novejsi, ktery jeste neni treba bezne implementovan.
-
Co za tím může být, že do toho nejenom šli, ale i se tím veřejně chlubí?
Kerckhoffs's principle zná pouze těch pár lidí, co mají nějaké ponětí o kryptografii. Oproti tomu u neznalé veřejnosti tohle působí jako dobrý nápad, protože vůbec netuší, jak šifrování funguje, a že záleží (nebo by alespoň mělo :)) pouze na klíči. Pokud nevěříš, udělej si průzkum v okolí.
napr.: nemohli pouzit treba dostupny sifrovaci algoritmus, ale nejaky novejsi, ktery jeste neni treba bezne implementovan.
Je tam napsáno „žádný veřejně známý“.
-
U Eurohujerotronu si člověk nemůže bejt nikdy jistej. Hlavně jestli na to je dotace :D
Skoda ze zrovna Jablotron na dotacich vubec nejel....ale dobrej pokus.
-
https://echo24.cz/a/in9Yi/dotace-jsem-bral-ale-neuvedomil-jsem-si-to-priznal-dalibor-dedek
-
Tak vzhledem k tomu, že ty jejich moduly jedou na 868MHz, tak tam si vlastní protokol musíte definovat jaksi automaticky, to není žádné wifi atp.
Některé moduly pro tohle pásmo mají šifrování už dokonce v sobě.