Příspěvky

5446

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 03. 02. 2014, 13:04:39 »

Teď už musíte vyřešit jenom jeden drobný problém – jak legálně získat tu rozmnoženinu. Microsoft vám jí neprodá, ten vám prodá jenom licenci. Nikdo jiný ji legálně prodat nemůže. Tak kde jí vezmete?

5447

Vývoj / Re:Šifrovací knihovnu s obtížným dešifrováním

« kdy: 03. 02. 2014, 12:28:40 »

Nejprve definujte, čemu říkáte „standardní šifrovací knihovna“ a co přesně jsou ty „výše uvedené postupy“. Pak byste také musel definovat, jaké vstupy a výstupy bude mít ten váš program a jak dlouho trvá jedno dešifrování. Kvůli 5000 Kč totiž ten váš program nikdo zkoumat nebude, takže by musel být použitelný už od vás.

Mimochodem, ten váš algoritmus prodlužující hesla funguje jenom pro čtyřznaková hesla? Nebo i pro hesla tříznaková, jednoznaková a 0znaková?

Jeden z algoritmů, který jste popsal, je doplnit heslo konstantním řetězcem, výsledek použít jako klíč a jím XORovat vstupní text. Takže zkusíme tomu algoritmu předhodit stejný vstup a tři různé hesla:

Kód: [Vybrat]

Hesla:
NBuser123
nbUSER789
aaaaaaaaa
Výstup:
pbcXiXWcXlbYWjZjZjSbYWjZjWYIbYWbjYWZCbYWjWbdiHjjiZYbbYbWbbYYWYWcjZjZbbbbdbYWZcdb
LbcXiXWcX1bYWjZjZjwbYWjZjWYubYWbjYWZgbYWjWbdi-jjiZYbbYZWbbYYWYWijZjZbbbbjbYWZcdb
0bcXiXWcX0bYWjZjZj0bYWjZjWY0bYWbjYWZ0bYWjWbdi0jjiZYbbY0WbbYYWYW0jZjZbbbb0bYWZcdb

Není vám na těch výstupech něco nápadné? Tak zkusíme jako vstup samé nuly:

Kód: [Vybrat]

Hesla:
XXXXXXXXX
xxxxxxxxx
Výstup:
X12585425X16497979X16497946X16419647X16494138X99876116X41166464X97971111X1647231
x12585425x16497979x16497946x16419647x16494138x99876116x41166464x97971111x1647231

Takže máme váš supertajný klíč, ve kterém se na místa X/x postupně doplňují znaky hesla. Hm, to bylo fakt těžké. Ještě že jste se o těch 5000 Kč nevsadil, že? Takže šifry známé a prolomené stovky let asi nebudou to pravé. Můžete zkusit váš algoritmus postupně vylepšovat, třeba se dostanete aspoň na úroveň 18. století. Jenže pokud chcete obstát dnes, budete muset použít nějakou moderní šifru, kterou si jen tak na koleně nesplácáte.

5448

Vývoj / Re:Šifrovací knihovnu s obtížným dešifrováním

« kdy: 03. 02. 2014, 07:17:25 »

například bruteforce funguje následujícím způsobem:
Vezmu zašifrovaný zdroj, odšifruju pomocí hesla A a pak se pokusím v dešifrovaném textu odhalit buď signaturu nebo třeba slova, nejčastěji pak výskyt asci znaků patřících do skupiny písmenek.

Já bych tedy vzal známý vstup, nechal ho použitým programem zašifrovat - a takhle bych to zopakoval pro různé vstupy a různá hesla. Po pár vstupech budu znát transformační tabulku i váš supertajný prodlužovací klíč a úloha se zredukovala na prostý útok hrubou silou na 4znakové heslo. Pokud bych tedy měl potřebu tu tabulku a nástavec na heslo znát - daleko jednodušší je prostě použít ten existující kód.

vygenerování prodloužení hesla dramaticky zvyšuje nároky na výpočetní výkon.

Přičemž "dramaticky" má přesnou hodnotu 1, neboli nároky na výpočetní výkon jsou stále stejné.

Ano, můžete na to útočit pomocí brute force útoku, ale bez studia kódu, který prodloužení generuje, zjistíte úplný prd.

Není potřeba ten kód studovat, prostě ho použiju.

Navíc to není běžná sůl

Není to vůbec žádná sůl. Sůl se používá při hashování hesel. Tady se bavíme o šifrování, protože je potřeba získat původní nezašifrovaný vstup.

Děkujeme, že jste potvrdil známé pravidlo, že čím více nadávek příspěvek obsahuje, tím větší je to nesmysl. Plést si hashování a šifrování je pak už jen poslední kapka pro ty, kteří by si třeba stále nebyli jistí.

5449

Vývoj / Re:Šifrovací knihovnu s obtížným dešifrováním

« kdy: 02. 02. 2014, 23:58:29 »

Myslim, ze takymto predlzenim hesla sa nic nepokazi. Samozrejme je treba aj tak pouzit este nieco, co by normalne pouzival na plaintext.

Pokazí. Najde se dost lidí, kteří věří, že tímhle zvýší bezpečnost - a vykašlou se pak na skutečná bezpečnostní opatření. Ten, kdo ví nebo věří, že to bezpečnost nezvyšuje, to do svého systému ani nebude implementovat.

5450

Vývoj / Re:Raspberry Pi a Java

« kdy: 02. 02. 2014, 18:04:35 »

Myslíš, že třeba C++ s Qt na tom bude výrazně lépe? Já bych na to nesázel. Podle mne je tomu RPi potřeba přizpůsobit celou aplikaci -- tedy třeba i to, jak košaté to GUI bude. No a pak se třeba ukáže, že jeden formulář s pár tlačítky zvládne jakýkoli GUI toolkit. Nebo se ukáže, že na to je potřeba nějaká minimalistická knihovna, která třeba vykresluje přímo přes OpenGL. Pak zase bude záležet na tom, pro jaké jazyky a platformy bude mít ta knihovna rozhraní.

Větší problém bych viděl v tom GUI tvořeném přes nějaký klikací designer. To si tam člověk natahá spoustu komponent, protože je to snadné, a pak se to nedá pořádně používat ani na superrychlém počítači, protože než uživatel zjistí, jak se to má vlastně celé ovládat...

5451

Vývoj / Re:Raspberry pi a Java

« kdy: 02. 02. 2014, 12:28:41 »

Doporučení je naprogramovat to pořádně. Pak se nemusíte bát, že vám VM zhltne většinu výkonu. Ani u Javy ani u žádného jiného jazyka.

5452

Vývoj / Re:Šifrovací knihovnu s obtížným dešifrováním

« kdy: 02. 02. 2014, 10:01:36 »

Vycházíte z předpokladu, že útočník nemá k dispozici ten šifrovací a dešifrovací kód - tedy že jde o uzavřenou aplikaci, která běží někde na serveru, který je dostatečně zabezpečený. Pak je ale zbytečné dělat ty vaše opičárny, stačí uživatelovo heslo spojit s třeba 40 znakovým heslem "ukrytým" ve zdrojáku a to celé použít jako vstup třeba pro AES. Na rozdíl od vašeho postupu to bude i bezpečné. Váš postup je totiž možné rozlousknout se znalostí několika dvojic vstupní text - šifrovaný text. Stačí tedy, aby se útočník stal uživatelem toho programu a pár svých klíčů tím zašifroval. Analytická práce člověka na tom není potřeba žádná, rozlousknutí substituční šifry zvládne automat.

Pokud útočník ten kód má k dispozici, třeba protože je to program, který běží u uživatele, může mu jednoduše předhazovat jedno heslo za druhým. Protože jste použil čtyřznakové heslo ze slovníku, bude ho mít hrubou silou prolomené za chvilinku. To vaše prokládání hesla jiným známým heslem nemá na výsledek žádný vliv. Heslo nejde automatizovaně prodloužit, pro sílu hesla je podstatné jenom to, kolik bitů neznámého vstupu tam je.

Jediné, co se z vašeho příspěvku dá použít, je to, že ten software může být nezajímavý. Což už si myslelo několik bitcoinových institucí a někdo si na tom pěkně přivydělal. Pak ale stačí ten klíč ukládat třeba pozpátku, aby to nebylo nápadné na první pohled, bude to nesrovnatelně jednodušší, než váš postup, a bezpečnost bude stejná.

5453

Vývoj / Re:Šifrovací knihovnu s obtížným dešifrováním

« kdy: 01. 02. 2014, 13:55:25 »

Nejprve byste měl hledat algoritmus, teprve pak jeho implementaci. Abyste nenašel knihovnu, která implementuje nějaký autorem knihovny vynalezený algoritmus, při zadání správného hesla a použití dané knihovny trvá dešifrování dlouho, ale algoritmus je velmi slabý a snadno rozlousknutelný.

Váš problém se spíš řeší tak, aby útoční po pokusu o rozšifrování nemohl rychle poznat, zda byl úspěšný. Jak ty privátní klíče vypadají? Opravdu jde ode sebe rychle rozeznat, co je privátní klíč a co náhodné číslo?

Jinak pozor na opakované šifrování, je potřeba prověřit, zda se opakovaným šifrováním neoslabuje bezpečnost. Triviální příklad -- XOR s klíčem stejné délky, jako je zpráva, je velice dobrá šifra. Ale pokud jej budete aplikovat opakovaně, budete při lichém počtu opakování dostávat stále stejný výstup, při sudém počtu opakování dokonce původní nešifrovaný vstup.

5454

Server / Re:Co když ztratím SSH klíč?

« kdy: 31. 01. 2014, 15:15:00 »

Koukám, že tady už se vysílá noční proud a řeší se, co kdyby to zakopání klíče bylo myšleno doslova…

5455

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 31. 01. 2014, 13:16:51 »

Ještě co se podmínky u používání týče.Prakticky nestačí mít na dokladu/smlouvě napsáno OEM s tím, že jde o jasný termín. U odborných firem ano, protože na to pamatuje živnostenský zákon, ale aby platila podmínka u veřejnosti, musí být termín vysvětlen na dokumentu (všeobecných podmínkách) prodejce. Protože s ním uzavíráte smlouvu (pravda, může mít termín ošetřen odkazem na výrobce).

OEM není jasný termín, říká jen to, že software je dodáván už výrobcem počítače. Jinak ale ty podmínky jsou vždy přesně specifikovány v licenční smlouvě. Třeba podmínky pro OEM Windows se mění s každou verzí – měnily se třeba podmínky používání ve virtuálním počítači.

5456

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 30. 01. 2014, 21:58:24 »

Když už jste tak objektivní a říkáte jenom samou pravdu, tak byste před tímto výrokem měl vědět, že prodávají rozmnoženiny počítačového programu na hmotných DVD u kterých došlo k výše uvedenému vyčerpání autorského práva na rozšiřování.

Aha, a proto mají web plný slova "licence". Jinak na DVD zpravidla bývá instalační program k Windows, nikoli Windows samotné.

Jak vidím slowthinker to už s vámi také vzdal, doufám, že za to od Microsoftu máte aspoň na pivo.

Mně je jedno, co říká Microsoft. Zajímá mne, co je pravda. Já netvrdím, že to nemůže být tak, jak tvrdíte vy. Ale vaše argumenty zatím stály jenom na tom, že jste si špatně přečetl zákon. Až přijdete s něčím, co nebude zjevně v rozporu se zněním zákona, třeba se posuneme dál.

5457

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 30. 01. 2014, 20:49:58 »

To "Filip Jirsák": Nelze souhlasit s vaším výkladem, užití počítačového programu je možné na základě smlouvy (licenční či podlicenční) anebo v případech výslovně stanovených zákonem. V případě rozmnoženin, u nichž došlo k vyčerpání práva na rozšiřování, připadá v úvahu pouze užití počítačového programu na základě zákona (autorského zákona).

V tom případě není co řešit a vyhodny-software.cz je jednoznačně nelegální. Protože oni prodávají licence, ale rozšiřování se týká výhradně vyjádření díla v hmotné podobě.

Jinak užití programu je možné na základě licence nebo na základě vlastnického práva k rozmnoženině programu (když si v obchodě koupíte knihu nebo DVD s programem, nahrazuje tohle získání vlastnického práva získání licence). Obojí (licenci^*) i vlastnické právo k rozmnoženině programu) je samozřejmě možné prodat třetí straně. Ale pokud od autora získáte licenci, a ta licence vás neopravňuje k rozmnožování a následnému šíření takových rozmnoženin, nemůžete dál prodat nic jiného, než tu licenci. Je to stejné jako u hudebního CD - když ho koupíte, můžete ho pak zase prodat někomu třetímu. Ale jen to původní koupené CD. Nemůžete ho rozkopírovat a kopie prodávat. Protože to právo na rozšiřování (které je vyčerpáno prvním prodejem) je vázáno na to jedno hmotné vyjádření díla.

*) U té licence je to sporné. V českém AZ je vyčerpání práva výslovně vázáno na rozšiřování kopie díla v hmotné podobě. Ty citované rozsudky to vztahují i na licence (což je podle mne logické, ale v českém AZ to nemá oporu). Nejproblematičtější je to dnes u e-knih, které podle toho striktního výkladu není možné prodávat (pokud to výslovně nepovoluje licence).

5458

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 29. 01. 2014, 21:27:21 »

Já nevím, proč do toho pořád tlačíte tu licenci.

Protože licence je jediný způsob, jak legálně užívat cizí program. Když tak rád odkazujete různá soudní rozhodnutí, proč neexistuje jediné soudní rozhodnutí, které by řešilo jiné užití cizího programu, než to na základě licence?

První nabyvatel získá rozmnoženinu a uzavře licenční smlouvu. Pak prodá jenom tu rozmnoženinu.

Proč by uzavíral nějakou licenční smlouvu, když by mu stačila ta rozmnoženina? Ne, první majitel získá rozmnoženinu a tím je uzavřena licenční smlouva. Když si v obchodě koupíte klávesnici, uzavřete tím kupní smlouvu, když DVD s programem, uzavřete licenční smlouvu. Klávesnici i DVD můžete prodat a prodejce vám v tom nemůže bránit. Prodejem o veškerá práva přijdete a získá je nový nabyvatel - ale nezíská nic navíc. Nově ty právní vztahy vypadají, jako by nový nabyvatel tu klávesnici nebo DVD koupil sám, i když on sám s prodejcem ani autorem neuzavřel kupní ani licenční smlouvu. Když bude nový nabyvatel požadovat záruční opravu klávesnice, nemůže jej prodejce vyhodit s tím, že on uzavřel smlouvu s někým jiným, ale musí přijmout reklamaci úplně stejně, jako byste ji uplatnil vy. Stejně tak je nový nabyvatel vázán licenční smlouvou, jakoby ji uzavřel on sám. Co je na tom tak těžkého k pochopení?

Tohle je v tom rozhodnutí klíčové: soud říká, že lze prodávat rozmnoženinu (a nový nabyvatel má práva "oprávněného nabyvatele"):
"... Soudní dvůr odpověděl, že každý následný nabyvatel rozmnoženiny, ve vztahu k níž je právo nositele autorského práva na rozšiřování vyčerpáno, je v tomto smyslu oprávněným nabyvatelem."

Dříve se někteří autoři pokoušeli v licenční smlouvě definovat nejenom oprávnění k užívání software, ale i oprávnění k nakládání s tou licencí. Jenže na to nemají právo - jakmile tu licenci jednou prodali, není jejich a záleží jen na novém majiteli, co s ní udělá. S tou licencí jako takovou, jako s jakýmsi žezlem, kterého k něčemu opravňuje - ne s obsahem té licence. Jako když máte směnku, tu také můžete prodat nebo darovat, ale nemůžete měnit její obsah.

Tohle tedy řešil soudní dvůr, a rozhodl přesně jak je to popsáno v předchozím odstavci: že autor nemůže v licenci zakázat prodej té licence, tudíž příslušné ustanovení licenční smlouvy je neplatné, tudíž prodej licence byl legální, tudíž kupec licence je oprávněným nabyvatelem rozmnoženiny. Když se to zkrátí, A koupil licenci, která mu dává nějaká práva, pak tu licenci prodal B, a teď má ta práva B. Nemohl získat žádná práva navíc, protože nebyl, kdo by mu je mohl poskytnout - A je neměl.

Ten první uživatel užíval program podle licence. Ne ten který od něj rozmnoženinu koupil.

V tom případě by ten druhý program používal nelegálně. Protože není jiný způsob, jak získat práva k užívání programu jiného autora, než získat licenci.

5459

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 29. 01. 2014, 16:43:39 »

právo na užívání počítačového programu nemůže být omezeno žádnou podmínkou výrobce, která jeho užívání nějak omezuje

To je nesmysl. Licence je právě udělení užívacího práva za nějakých podmínek. Kdyby ty podmínky nešlo stanovit, nemá smysl vůbec řešit nějaké licence.

Odstavec 77 toho soudního rozhodnutí neříká, že není možné omezit používání programu, ale není možné omezit nakládání s tou licencí. Někteří diskutující tady pořád pletou dohromady pravidla pro používání programu a pravidla pro nakládání s licencí. To jsou dvě různé věci, které je potřeba rozlišovat.

5460

Windows a jiné systémy / Re:Legalita a reálnost licence u vyhodny-software.cz

« kdy: 29. 01. 2014, 16:30:27 »

Takže vy říkáte, že "oprávněný nabyvatel rozmnoženiny" nemusí být nutně i "oprávněným uživatelem rozmnoženiny"?

Ne, neříkám. Říkám, že oprávněným nabyvatelem rozmnoženiny se nikdo nemůže stát tak, že někdo od autora získá licenci, a dál bude prodávat rozmnoženinu. To nejde, pokud od autora získám licenci, můžu dál prodat zase jenom tu licenci.

A co vy? Zjišťujete si poctivě licenční podmínky, když si koupíte z druhé ruky pračku, auto, televizi? Tam všude je dnes software a podle vaší interpretace byste se měl přesvědčit, jestli se na tu televizi vůbec smíte dívat.

Ta licence bude nanejvýš vázána na to zařízení. Takže pokud ji kupuju s tím zařízením, není v tom žádný problém.

Přečtěte si také na Lupě poznámku Aujezdského v odstavci "Tato situace je však do určité míry absurdní." o tříkrokovém testu.

Ano, interpretace autorů toho článku na Lupě je absurdní, v tom se shodneme. Je logické ptát se, zda ta absurdita je ve špatném zákoně, nebo v jejich špatné interpretaci. Já se přikláním ke druhé možnosti.

Už nevím, jak bych to mohl lépe vysvětlit. Přečtěte si prosím znovu poslední odstavec v mém minulém příspěvku:
"Na rozdíl od výlučného práva na rozšiřování se výlučné právo na rozmnožování prvním prodejem nevyčerpá"

Právo na rozmnožování nezbytné při oprávněném užívání programu je zakotvené v § 66 odst. 1 písm. a). Bez toho byste program ani nemohl spustit, protože už při spuštění se vytvoří rozmnoženina v paměti počítače.

Není pravda, že by se tam říkalo, že licence je ve všech bodech platná. Naopak se říká, že některé podmínky uvedené v licenci jsou neplatné.

Já jsem také nepsal nic o tom, že by licence byla ve všech bodech platná. Ale pokud jsou nějaké body v licenci neplatné, a je to podstatné pro rozhodování soudu, znamená to, že uživatel užíval program na základě licence. Tedy ne bez licence, jak tvrdíte vy.

Kde se podle vás v rozsudku říká, že nový nabyvatel nesmí mít více práv než má první nabyvatel?

V rozsudku se to neříká nikde. Vychází to jenom z logiky. Každý by to obcházel, prostě by to poprvé na oko koupil někdo jiný. Byl by to zásah do práv autora - on stanovil nějaké podmínky v rámci zákona, pak nabyvatel licenci prodá (autor mu v tom zabránit nemůže), a tím se práva autora omezí? První nabyvatel nemůže prodat víc, než sám má.

Kde se podle vás říká, že nový nabyvatel se musí řídit původní licencí, a nemůže rozmnoženimu užívat na základě jiného oprávnění?

V zákoně. K užití autorského díla je vždy potřeba získat oprávnění. To je možné získat buď licencí poskytnutou autorem, nebo v některých případech přímo ze zákona. Když má první nabyvatel oprávnění používat program na základě licenční smlouvy, nemůže nikomu dalšímu prodat nic jiného, než zase to oprávnění na základě licenční smlouvy. Pokud by první nabyvatel program užíval na základě jiného oprávnění, může (pokud to není v rozporu se zákonem a s případnou smlouvou) prodat to jiné oprávnění. Ale nemůže koupit licenci a prodat jinou licenci ani nic jiného.