Zobrazit příspěvky

Ja i PanPV kryptografii celkem rozumime

V tom případě to velmi dovedně maskujete.

Nicmene uzivatel Filip Jirsak absolutne nechape psany text, citovany text umyslne prekrucuje a mozna je to i placeny troll.

Tohle vaše tvrzení by mělo větší váhu, kdybyste uvedl jediný příklad toho, kdy jsem něco překroutil nebo nepochopil. Mimochodem, je od vás hezké, že takhle od stolu víte, že je to domnělé překrucování úmyslné a že jsem dokonce placený troll.

Podle mne to spíš potvrzuje vaši zálibu v ničím nepodložených tvrzeních.

Takze jeste jednou, utocnik bude nejspis skouzet velmi kratke heslo z nahodnych alfa-numerickych znaku, a nebo kombinaci nahodne vybranych slov.

Už jsem vám vysvětloval, že bezpečnost se nestaví na toho nejméně schopného útočníka, kterého si dovedete představit, ale na toho nejschopnějšího. Vy jste se ohrazoval, že to přece neděláte – a teď jste to udělal znova. Nejspíš se zase budete vymlouvat, že nehcápu význam psaného textu. Tak co jste tedy tímhle popisem slabého útočníka chtěl sdělit? Proč píšete o slabém útočníkovi? Je to nějak důležité pro naši diskusi?

To ze pri male zmene vstupu se totalne zmeni hash, to jsem jaksi neobevil, ale pouze konstatoval.

A konstatoval jste to proč? Je to všeobecně známá věc a s tématem nijak nesouvisí.

Ale pro vygenerovani nahodneho retezce - to je fotka a nasledne jeji hash velmi dobry nastroj.

V čem je to lepší než samotná fotka uložená v souboru?

Jenze i ta nepatrna odlisnos fotek stejneho zaberu diky sumu predstavuje nepredstavitelne mnozstvi variaci, stale vic nez 10^10^3.

Výborně, konkrétně jste od dojmů přešel ke konkrétním číslům. Takže jak přesně jste toto číslo vypočítal?

Mensi nez puvodni mnozina vsech obrazku, ale stale mnohem vice nez pocet moznych hashu.

Počet možných hashů je nekonečný. To, že neznáte takovou hashovací funkci, která by měla tak velký obor hodnot, neznamená, že neexistuje.

Heslo se hrubou silou opravdu resit moc neda. Utocnik se musi ten prostor moznosti snazit nejak zredukovat

To, že se prostor možností zredukuje, a pak se na ten redukovaný prostor útočí hrubou silou, je naprosto běžná věc. Např. databáze ';--have i been pwned? má přes 11 miliard uniklých přihlašovacích údajů, z nichž většina byla zahashovaná, tudíž byla hesla získána hrubou silou.

To by tam musel dat kameru nebo mikrofon, nebo stat pobliz. To je ale docela napadne.

Jo jo, u členů domácnosti je hrozně nápadné, když jsou doma.

Pomuze k heslu pridat keyfile, ale utocnik muze vyzouset hrubou silou vsechny soubory na disku.

Ano, kdybyste to zabezpečoval vy. Normálně uvažující člověk jako keyfile používá soubory z externího média, aby právě nebyly neustále dostupné. Navíc použije klíčových souborů víc.

A u 5 slov jsem se omezoval za predpokladu vyberu nahodnych slov.

V tom případě nechápu, proč jste tvrdil, že žádný program nebude umět poskládat 5 náhodně vybraných slov ze slovníku za sebe. Program by tosamozřejmě uměl, akorát to nikdo nebude zkoušet spustit nad plným slovníkem českých slov.

Ale znovu - u vety nebo souveti pocet peti slov nepredpokladam, naopak rozvinuti souveti musi byt co nejvetsi.

To je zase jenom nějaký váš pocit – vůbec netušíte, jak moc to doopravdy zvyšuje komplexitu hesla.

A ano samozrejme. Heslo si musi uzivatel pamatovat presne ve tvaru. To je samozrejmost.

Bohužel pro lidský mozek to zdaleka taková samozřejmost není.

Citace: PanVP 25. 07. 2021, 07:00:42

I kdyz bude heslo psat kazdy den, souveti je lepsi nez 12 nahodnych znaku.

Až to heslo budete psát kvůli překlepu po desáté, nejspíš na to změníte názor.

Má smysl se s ním dohadovat?
Stejně si to překroutí a nepochopí.

To je vtipná poznámka od někoho, kdo komentáře ani nečte. Máte pravdu, vám se nemůže stát, že komentář překroutíte a nepochopíte, když ho raději vůbec nečtete.

1082

/dev/null / Re:Naprosto šílené vkládání hledaného textu když "Homepage = Firefox Home"

« kdy: 24. 07. 2021, 19:38:51 »

Citace: hawran diskuse 24. 07. 2021, 19:01:26

Já to samozřejmě dál používat nebudu, na začátku jsem psal, že chci jen vyzkoušet, zda jsou ve ff pořád taková géniové ve vymýšlení pitomostí a nepoužitelných fíčur...

To, že ta funkce nevyhovuje vám, neznamená, že nevyhovuje nikomu.

1083

/dev/null / Re:COVID očkovací certifikát

« kdy: 23. 07. 2021, 23:01:06 »

Citace: martyd -f 23. 07. 2021, 22:46:07

A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?

Můžete zkusit přesvědčit veřejnost, že má u státních projektů preferovat něco jiného, než nejnižší cenu.

A pak, zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů. Takže tam není potřeba hledat alternativu.

1084

Software / Re:Zapamatovatelné zaheslování souboru

« kdy: 23. 07. 2021, 20:30:37 »

Citace: Gtor 23. 07. 2021, 18:59:42

Priklad podobneho obrazku s malou zmenou - vyjde uplne jiny hash.

Stejně mi to nedá. Vy jste psal o vytvoření hesla, PanVP si vzpomněl na svůj geniální generátor náhody. V obou případech tedy šlo o generování entropie. A vy jste k tomu přilepil svůj objev, že kryptografické hashovací funkce jsou záměrně konstruovány tak, aby změna jediného bitu na vstupu vedla na úplně jiný výstup.

K čemu přesně chtěl této vlastnosti kryptografických hashovacích funkcí použít při generování náhody? Nepíšu o dalším využití, kdy potřebujete třeba změnit hustotu entropie. Ptám se na samotné generování, o kterém je celou dobu řeč.

(Chápu, že neodpovíte, protože na rozdíl od PanaVP máte o kryptografii alespoň nějaké mlhavé představy a tak tušíte, že správná odpověď je v tomto případě „k ničemu“.)

1085

Software / Re:Zapamatovatelné zaheslování souboru

« kdy: 23. 07. 2021, 19:38:29 »

Citace: Gtor 23. 07. 2021, 18:33:46

Ja jsem vubec nepsal, ze utocnik nebude zkouset cela slova, naopak jsem psal, ze to zkouset bude.

Aha, a tohle tedy psal kdo, když ne vy?

Tezko bude nejaky Brtute-Force cracker umet tvorit souveti a hadat.

Ovsem se sebe-vykonejsim notebookem nezvadne vice jak kombinaci dvou nahodne vybranych slov

Fakt? Že by nezvládl tři náhodně vybraná slova ze slovníku 10 slov? Mně to vychází na 1000 možných kombinací, to útočník zvládne i s málo výkonným notebookem.

A moznosti je opet extremni mnozstvi.

Používáte pozoruhodný argumentační postup. Nejprve určíte velikost nějaké množiny. Pak zvolíte jinou, řádově menší množinu. Pak ji nějak nafouknete – ale už nezkoumáte jak. A na závěr prohlásíte, že výsledná množina je extrémně velká. Bez jakéhokoli důkazu.

Takže pro vaši informaci – ne každá kombinace českých slov tvoří českou větu. Takže když jste přešel od „pět náhodně zvolených slov“ k „pěti slovům ve větě“, množinu možností jste obrovsky zredukoval. Nevíte jak moc, takže veškerá další práce s touhle množinou je jenom vaření z vody, o množství možností už nevíte nic.

Také byste neměl zapomínat na to, že když se někdo chce spoléhat na to, že si heslo bude pamatovat, musí si to heslo za prvé opravdu a přesně pamatovat, a za druhé musí být schopen to heslo také bezchybně napsat. Pokud tazatel to heslo bude psát každý týden, za souvětí vám pěkně poděkuje. A pokud ho bude psát jendou za několik let, pravděpodobně si vzpomene, o čem to souvětí bylo, v čem spočíval ten vtip – ale pak zjistí, že to pořád dává příliš mnoho kombinací.

Stale ale je tech moznosti vic nez 10^1000.

Jo, a na to jste přišel jak?

Vy jste zase zapomněl na jednu takovou drobnost. Bavíme se tu o generátoru entropie. To znamená, že foťák někam postavíte na stativ, a budete dálkově mačkat spoušť. Můžete ho dát i na servomotory a tím foťákem různě hýbat, ale pořád budete fotit jen obrázky dostupné z jednoho místa. Nebo-li budete fotit pořád to samé. Budou tam sice nějaké odchylky, v závislosti na tom, kam ten foťák bude namířen – ale entropie tam bude nersovnatelně méně, než je počet možných fotek.

A ano, staci mala zmena ve fotce, a hash se totalne zmeni, ne ze ne.

Já jsem také nepsal, že se hash nezmění. Hash se zamozřejmě změní, ale z hlediska entropie je to úplně jedno – entropie tam máte pořád jen tolik, kolik jí bylo na vstupu. Hashování entropii nepřidává.

Entropie fotky a hashovani stejne s puvodnim dotazem nesouvisi.

To vysvětlujte PanuVP, já jsem mu to marně psal už asi třikrát.

Ano, kdyz je heslo slozene ze slov a utocnik pri psani uzivatele pozoruje, odposlechne, nebo natoci na kameru, tak skutecne se ty slova dohadaji lip, nez heslo z nahodnych pismen-cislic. Ale to uz neni o hadani hrubou silou, nybrz dizkuze o tom, jak odchytit heslo jinym zpusobem. A navic je to nadramec dizkuze. Hesla se opravdu hrubou silou nehadaji, nebot to nema smysl.

Jenže je potřeba uvažovat dál. Když nemá smysl hádat kvalitní heslo z plného slovníku hrubou silou, bude se útočník samozřejmě snažit nějak množinu možných hesel omezit. Vzhledem k tomu, že tazatel nepočítá s triviální variantou vygenerovat velmi složité heslo, vytisknout ho na papír a ten schovat, předpokládá útočníka ve svém okolí, který by to schované vytištěné heslo mohl najít. Jenže takový útočník má nejspíš také možnost odposlechnout klapot kláves na klávesnici při zadávání hesla. Když bude mít to heslo nahrané jen jednou a k tomu nějaké další texty, asi by netrefil všechny klávesy správně. Ale když bude vědět tu informaci, že heslo je věta složená z českých slov, může to množství vět, které bude procházet, redukovat třeba na stovky nebo tisíce vět. A z takového slovníku už se hrubou silou hádá velice dobře.

Takže se opět mýlíte – kvalitní hesla se nehádají hrubou silou ze všech možných kombinací hesla, ale nejprve se výrazně zmenší slovník možných slov a pak se hádá hrubou silou z něj. Ostatně dělá se to tak odjakživa – první pravidla pro tvorbu hesel byla „nepoužívejte jako heslo své jméno a jména blízkých“, další pravidlo bylo „nepoužívejte existující slova“. Protože první útok hrubou silou byl vytvořit si slovník jmen spojených s danou osobou. Další útok hrubou silou byl použít slovník slov nějakého jazyka.

Citace: Gtor 23. 07. 2021, 18:59:42

Pro zvetseni entropie hesla a vetsi ochranu pred odcizenim. Krome retezce z 5 slov nebo souveti mit nekde ulozene a dobre schovany retezec z rekneme 12-20 nahodych alfa-numerickych znaku, ktery pak vlozit do pole pomoci copy-paste, pak jeste pouzit keyfile.

Místo vymýšlení svých geniálních šifrovacích postupů se zaměřte na to, co už je vymyšlené a hlavně ověřené. Vera Crypt podporuje keyfile, což je skutečná další vrstva zabezpečení. Takže ji neuvádějete jako jakýsi apendix k vašim čarodějným metodám, ale uvádějte ji na začátku jako velmi dobrý způsob zvýšení bezpečnosti, na rozdíl od těch vašich pokusů.

Priklad podobneho obrazku s malou zmenou - vyjde uplne jiny hash.

Gratuluju k objevu. Víte o tom, že tohle je jeden ze základních požadavků na kryptografické funkce? Takže to, co jste objevil, bohužel není váš objev. Ty funkce byly záměrně navrženy tak, aby se chovaly takhle.

Což ale pořád neznamená, že by kryptografické hashovací funkce generovaly náhodu. Negenerují, bohužel. Když budete mít na vstupu čtyřmístný PIN, můžete ho zahashovat, ale stejně zase dostanete jenom 10 000 různých hashů. Takže když na to někdo bude útočit, zase mu stačí vyzkoušet jenom 10 000 variant. Takže pokoušet se zlepšovat heslo nebo klíč tím, že vstup zahashujete, je zbytečné.

Citace: hawran diskuse 23. 07. 2021, 08:50:49

Je to prave naopak, uzivatel Filip Jirsak dokazal, ze vubec nerozumi bezpecnosti

Škoda, že jste tohle své tvrzení nepodpořil ani jediným důkazem toho, že jsem napsal něco o bezpečnosti špatně.

1086

/dev/null / Re:posilani uzivatelskych dat (ip adresa, gps souradnice) v sazkovych aplikacich

« kdy: 23. 07. 2021, 14:58:48 »

Bez zaslání IP adresy nemůžete s žádným serverem komunikovat.

1087

/dev/null / Re:Naprosto šílené vkládání hledaného textu když "Homepage = Firefox Home"

« kdy: 23. 07. 2021, 14:58:04 »

Nedělá.
(viz výše)

Výše jste dvakrát popsal, že psaní do toho políčka vás přepne do adresního řádku. Takže napsání textu do toho políčka dělá přesně to samé, jako napsání textu do adresního řádku, protože je to napsání textu do adresního řádku.

Jinak pro vás mám radu. (Škoda, že jste se nad tím nezamyslel sám, mohlo by vás to napadnou.) Když vám chování toho vstupního políčka nevyhovuje, nepoužívejte ho. Když chcete psát rovnou do adresního řádku, pište rovnou do adresního řádku. Když nechcete psát nikam, nepište nikam. Když chcete jako úvodní stránku prázdnou stránku, nastavte si jako domovskou stránku prázdnou stránku.

Zatím jste akorát důkazem toho, že genderově nekorektní vtip, že žena neví co chce a nedá pokoj, dokud to nemá, je založen na předsudku a zjevně se netýká jen žen.

1088

Odkladiště / Re:Omezení pokusů pro přístup

« kdy: 23. 07. 2021, 14:49:43 »

Výpočet ani pravidlo není. Musí se to brát podle toho, co je účelem. Účelem omezení pokusů o přístup je to, aby nešlo přístupové údaje uhodnout hrubou silou, a zároveň aby se oprávněný uživatel dokázal přihlásit, když potřebuje. Takže záleží na spoustě okolností, třeba na tom, jak silná se používají hesla. Pokud to bude 4místný PIN, stačí těch pokusů hrozně málo a i omezení 3 chybné pokusy → blokace na 5 minut znamená, že útočník nejpozději za dva týdny PIN získá. Nebo-li s tím nevystačíte. Naopak pokud s jistotou víte, že uživatelé mohou mít jenom silná hesla, nemusíte blokování dělat vůbec.
Nebo-li počítejte s tím, jak máte silná hesla, jaké má oprávněný uživatel alternativy přihlášení (PUK, zaslání obnovovacího kódu e-mailem), jaké jsou jiné možnosti automatického hádání (např. po 2. špatném pokusu zapnout pro uživatele CAPTCHA). Na straně útočníka naopak počítejte s tím, že může hesla zkoušet z mnoha míst zároveň a také že po blokaci nezačíná znova od začátku, ale pokračuje tam, kde skončil.

1089

/dev/null / Re:Naprosto šílené vkládání hledaného textu když "Homepage = Firefox Home"

« kdy: 22. 07. 2021, 17:26:41 »

Citace: hawran diskuse 22. 07. 2021, 17:17:26

Šmarjá.
A jaký je teda význam / účel / pointa toho textového pole uprostřed té stránky?
Proč ho tam dali?

Na to, aby na úvodní stránce byl uprostřed velký prvek, který má tu funkcionalitu, která je na dané stránce zdaleka nejdůležitější. Úvodní stránka by mohla být zcela bílá, ale pak by jaksi byla úplně stejná, jako prázdná úvodní stránka. Když ale uživatel na úvodní stránce vidí velké vstupní políčko, od kterého očekává, že bude vyhledávat nebo se do něj dá zadat adresa, nemusí po ničem pátrat, hledat malý adresní řádek – prostě klikne do toho velkého vstupního políčka uprostřed. Pochopí to i člověk, který nikdy před tím žádný prohlížeč neviděl. Takže když už úvodní stránka nemá být zcela prázdná, to nejlogičtější, co tam může být, je právě vstupní políčko, které dělá přesně to samé, jako adresní řádek.

Mám pro vás takový tip. Když máte ve svém dotazu dva body, které jsou to jediné, co lze z textu chápat jako něco jako otázku, a když někdo na tyhle dva body odpoví, zkuste si nejprve ty odpovědi přečíst, než na komentář zareagujete. Je trochu divné, když se ve svém prvním komentáři zeptáte přesně na to, co je v odpovědi k prvnímu bodu, a ve svém druhém komentáři přesně na to, co je v odpovědi k druhému bodu.

1090

/dev/null / Re:Naprosto šílené vkládání hledaného textu když "Homepage = Firefox Home"

« kdy: 22. 07. 2021, 16:23:04 »

Citace: hawran diskuse 22. 07. 2021, 16:09:13

Citace: Filip Jirsák 22. 07. 2021, 15:07:01
Citace: hawran diskuse 22. 07. 2021, 14:57:41
1. Je to otravné (a působí to trapně).
Ale technologicky je to mnohem snazší, než zduplikovat plnou funkcionalitu adresního řádku v pravděpodobně běžné webové stránce.

Citace: hawran diskuse 22. 07. 2021, 14:57:41
2. Jeden se zamyslí, na co teda to vstupní pole v té ff stránce je.
Na to, aby na úvodní stránce byl uprostřed velký prvek, který má tu funkcionalitu, která je na dané stránce zdaleka nejdůležitější.

Měl jsem za to, že je to jasné, tak já se rozepíšu:
to "tak fokus přeskočí na to hypersuperinteližentní hledačo-adresní vstupní pole firefoxu a tam se děje, to co vždycky" znamená, že:

0. Vstupní pole (uprostřed) Firefox Home stránky má fokus, bliká v něm kurzor.
1. Po vložení prvního znaku fokus přeskočí do adresního řádku ff nahoře.
2. Veškerá následná činnost při zadávání dalších znaků - nášepty z historie url a hledání, gůglí nášepty - se děje v tom adresním řádku nahoře.

Tak co teď, nechceš se nad tím víc zamyslet a změnit svou reakci?

Z prvního popisu jsem to pochopil tak, jak jste to teď podrobněji popsal znovu. Zamyslel jsem se nad tím znovu, svou reakci změnit nechci. Možná se spíš vy zamyslete nad mou odpovědí k vašemu prvnímu bodu. Pro jistotu vám ji také rozepíšu:
Našeptávání z historie URL, hledání, našeptávání Google – to vše už je v adresním řádku prohlížeče naimplementované. Takže když prohlížeč zařídí, aby uživatel psal do toho řádku, všechno tohle automaticky funguje.
Kdyby však uživatel psal do vstupního políčka v domovské stránce (což je obyčejná webová stránka), nic z tohohle by tam nefungovalo, nebylo by tam žádné našeptávní. A kdyby tomělo fungovat, musela by se ta funkcionalita z adresního řádku zduplikovat do té domovské stránky. Nemluvě o tom, že v adresním řádku možná můžete mít nějaká rozšíření, která byste do té domovské stránky nedostal už vůbec.

1091

Software / Re:Zapamatovatelné zaheslování souboru

« kdy: 22. 07. 2021, 15:46:44 »

Nezlob se, ale už to ani nečtu.

To je vaše chyba. Já toho o bezpečnosti moc nevím, ale pořád je to o parník víc, než víte vy.

Jednak byla diskuze z mého pohledu zcela vyčerpána.

Ony jsou t uv jendom vlákně dvě věci – jednak k diskuze k tématu, a pak vaše nesmysly, které navíc s původním dotazem nijak nesouvisí.

A jednak na to nemám ani chuť ani náladu se přít.

Taky se nemáte přít, ale máte si nastudovat základy.

Děkuji autorům postů za ty lávové lampy

Rádo se stalo.

Citace: hawran diskuse 22. 07. 2021, 14:57:41

potěšilo mě, že jsem přišel na stejnou věc, na kterou přišel i někdo jiný

Přišel jste na něco úplně jiného.

1092

/dev/null / Re:Naprosto šílené vkládání hledaného textu když "Homepage = Firefox Home"

« kdy: 22. 07. 2021, 15:07:01 »

1. Je to otravné (a působí to trapně).

Ale technologicky je to mnohem snazší, než zduplikovat plnou funkcionalitu adresního řádku v pravděpodobně běžné webové stránce.

Citace: hawran diskuse 22. 07. 2021, 14:57:41

2. Jeden se zamyslí, na co teda to vstupní pole v té ff stránce je.

Na to, aby na úvodní stránce byl uprostřed velký prvek, který má tu funkcionalitu, která je na dané stránce zdaleka nejdůležitější.

1093

Software / Re:Zapamatovatelné zaheslování souboru

« kdy: 22. 07. 2021, 14:58:10 »

Ad 1 - pleteš se.

Ad 2 - zdroj je obrázek, pokud selže fotoaparát, pořád můžeš generoval klíče, sic oslabené.

Zdorj entropie je v tom případě to 64bitové číslo? Takže něco jako 11znakové heslo z malých a velkých písmen a číslic? To je tedy terno.

Evidentně nerozumíš sha2.

Ne, prokazatelně mu nerozumíte vy.

Mixování je důležité, protože 64bitové číslo je "kupodivu" tak malé, že by se na něj dalo útočit hrubou silou.

Nenáhodným mixováním entropie nevzniká. Opište to stokrát – pochopit to je evidentně nad vaše síly, tak si to prostě zapamatujte jako fakt. Ano, na 64bitové číslo se dá útočit hrubou silou, a mixováním 64bitového čísla zase získáte jen 64bitové číslo.

Buď v tom máte sám zmatek a problematice nerozumíte, nebo nerozumíte mému popisu. V každém případě to už pro nikoho nemá smysl, ať si to autor udělá podle svého.

Problematice nerozumíte vy. Pro autora vaše příspěvky nemají smysl dávno – autor potřeboval vytvořit silné zapamatovatelné heslo, ne strašně složitě vyrábět 64bitový klíč.

Doplním, že jsem si nakonec přečetl několik dokumentů o implementaci fotografie jako zdroji entropie a potěšilo mě, že to mnoho lidí dělá podobně, jak jsem chtěl dělat já.

Ne, nedělají to podobně, jako vy. Jenže vy nechápete, co je podstatné a co jsou nepodstatné detaily nebo dokonce zbytečnosti. Takže nemůžete posoudit, zda v tom podstatném dělají věci stejně nebo jinak.

většina bez mixování

Samozřejmě, protože vaše mixování je zhola zbytečné.