|
| |
| |
| |
| 4.8, demimurych (ok), 11:25, 02/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Последняя шумная история с айфоном террориста, где долго просили Апл дать возможность расшифровать данные. После чего деньги были заплачены одной полухакерской конторе которая успешно предоставила все зашифрованные данные
| | |
| |
| 5.9, ghost (??), 11:29, 02/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
тут два момента, во-первых нет доказательств того что устройство было взломано на самом деле, во-вторых tpm-модуль начали ставить с iphone 5s, в сабжевом устройстве его еще не было.
| | |
| |
| |
| 7.30, Аноном (?), 11:51, 04/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> параноикам не нужны доказательства!
Параноики по определению не верят мутной проприетарной дряни навроде проприетарной прошивки модуля TPM.
| | |
|
| 6.29, Аноним (-), 11:49, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
И, конечно же, мы поверим на честное слово какому-то мутному проприетарному TPM модулю. И тому что в него не вставили бэкдор, ой, простите, инженерный логин, это сейчас так называется.
| | |
|
| 5.27, й (?), 00:38, 04/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
man bruteforce. для пароля из четырёх цифр тривиальная задача.
| | |
|
| 4.10, Аноним (-), 11:30, 02/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Март этого года:
- Яббл отказался предоставить ФБР инструменты для взлома прошивки.
- ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.
http://www.3dnews.ru/930284
| | |
| |
| 5.12, Аноним (-), 11:56, 02/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Дак это брачные игры и пиар для общественности. Или кто-то сомневается?
| | |
| 5.17, XXXasd (ok), 16:08, 02/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.
а интересно, вот если бы Apple бы согласилась бы помоч ФБР...
...то после этого они ведь наверное так и заявили бы -- "мы помогли ФБР и наши отношения теперь как ни когда крепкие!" ... да?
и ведь не стала бы Apple+ФБР придумывать какую-то там левую фирму.. да?
| | |
| |
| 6.38, _ (??), 17:06, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Блажен кто верует! :(
5 лет назад, когда производитель Blackberry имел 70*10^9 наличкой в банке, их прогнула вонючая Индия - как миленькие ключи отдали.
А тут ФБР ... просто вам скормили пьесу пиф-паф, яббло мол хорошее, продолжайте покупать :)
| | |
|
| 5.35, anonymous (??), 14:42, 04/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Яббл отказался предоставить ФБР
Не может организация или физлицо "отказать" силовой структуре страны.
| | |
| |
| 6.36, Аноним (-), 15:12, 04/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Может и делает. И физлицо (что существенно труднее), и частная корпорация (что существенно проще). Вопрос только в том есть ли у тебя смелость идти до конца и деньги на адвокатов. Из громких — Lavabit и, ныне покойный, Аарон, например. Трусы, конечно, сливаются по первому свистку хозяина и потом долго еще виляют хвостом, как бы чего не вышло.
| | |
| |
| 7.39, _ (??), 17:13, 04/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
У бизнесмена в таком случае - оку***ый выбор!
Либо "идти до конца" и остаться ни с чем (где там твоя лава и аарон?)
Либо произнести сакральное "nothing personal - just a business" и торговать потрохами.
На моей личной планете Земля, первый вариант я никогда не видел. Напомню - мы о коммерсах.
Не коммерческий TrueCrypt предпочёл сдохнуть, но остаться целкой.
Коммерсу если заплатят - значит по любви. Жёстко - но правда.
| | |
| 7.42, anonymous (??), 10:48, 05/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Может и делает. И физлицо (что существенно труднее), и частная корпорация ...
> Трусы, конечно, сливаются по первому свистку ...
Содействуя преступнику, ты становишься соучастником.
А с Вашим подходом - тюрьмы полны победителей
| | |
|
|
|
|
|
|
| 1.3, Аноним (-), 10:10, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
Столлман пророк всего этого. Представьте, что доступно спецслужбам, какие бэкдоры: прямо в железе.
| | |
| |
| |
| 3.7, Аноним (-), 11:14, 02/07/2016 [^] [^^] [^^^] [ответить]
| +16 +/– |
те кто смеялся, так и смеются. им скрывать "нечего". обычно это либо тролли, либо простые идиоты
| | |
|
|
| 1.11, federix (ok), 11:40, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Если хочешь защиты своих данных помини длинный пароль... А привязка к железу, скорее очередной фэйл при проектировании, а не уязвимость.
| | |
| |
| 2.19, XXXasd (ok), 16:18, 02/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Если хочешь защиты своих данных помини длинный пароль... А привязка к железу,
> скорее очередной фэйл при проектировании, а не уязвимость.
к железу привязывается лишь KDF-функция.
то есть функция которая превращает "простую человеческую парольную фразу" в пригодный к применению (сложный, длинный) бинарный ключ.
KDF-функция, которая НЕ присязана к железу, например PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.
привязка KDF-функции к железу, даже при условии что это железо есть маленький (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности, чем когда этой привязки *сразу* нет
| | |
| |
| 3.24, Анонимный Алкоголик (??), 05:36, 03/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> привязка KDF-функции к железу, даже при условии что это железо есть маленький
> (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности,
> чем когда этой привязки *сразу* нет
"Предустановленный в железе и как следует к нему привареный наш супер мастер-ключ даёт вам гораздо более высокий уровень безопасности. Мы гарантируем."
? :-)
| | |
| 3.25, freehck (ok), 09:47, 03/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.
Ага. PBKDF2. Не защищает от брутфорса. Закроем глаза на то, что брутфорс -- штука вообще говоря почти бесполезная в случае любого нетривиального пароля. Но PBKDF2 как раз и разрабатывался для того, чтобы максимально замедлить скорость перебора.
Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10 цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.
Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы построили кластер, который перебирает до миллиона таких паролей в секунду, у вас уйдёт более тридцати лет, чтобы перебрать их все. Такое тяжело сделать для PBKDF2, самые лучшие железки специально для этого спроектированные, могут перебирать до тысячи в секунду.
И это только для случая, когда вам известно, что длина пароля строго 8 символов. Если там 7 или 9 - смело прибавляйте ещё и брутфорс этих вариантов.
Про привязку KDF-функции к железу спорить не стану. Это штука по-моему в принципе бесполезная. В принципе, если она идёт по умолчанию, то ей можно воспользоваться, но только *в дополнение* к нормальным методам защиты.
Иными словами: если хотите, можете аппаратно зашифровать винчестер, но LUKS всё равно ставить надо.
| | |
| |
| 4.28, Легион (?), 01:01, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
У кого вы видели на телефоне пароли с полностью задействованным алфавитом ? Его приходится весьма часто вводить, причем с наэкранной клавиатуры, что само по себе уже неудобно. В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
| | |
| 4.32, Аноним (-), 12:09, 04/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Пароль из всего восьми символов даёт вам 10^15 вариантов.
Это в теории. А на практике - не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить. И прогон по вордлисту, датам рождения и прочих именах собак снимает половину паролей. А если знать что там именно 8 букв, вариантов еще убавляется. Не надо пробовать слова из 9 букв. И из 7 тоже. И слов на 8 букв не так уж много.
| | |
| 4.44, Анонимный Алкоголик (ok), 01:40, 06/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10
> цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.
> Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы
> построили кластер, который перебирает до миллиона таких паролей в секунду, у
> вас уйдёт более тридцати лет, чтобы перебрать их все.
Только вы не поняли. Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем". Коротким и легко запоминающимся человеком. Зачем там и заготовлена вся эта муть со сложными мастер-ключами...
Только в итоге шило таки как-то вылазит - вся сложность взлома сводится к взлому этого самого "простого пароля" (со всей дурью мощи имеющихся у кого-то средств). А может и к нему даже не сводится, а проще...
| | |
| |
| 5.45, freehck (ok), 08:07, 06/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
> не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить.
> Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем".
Отвечу всем троим разом.
Всех взламывать брутфорсом - это идея, конечно, любопытная, но едва ли осуществимая, и уж точно вряд ли нужная. 99.9% людей спецслужбам не нужны и не поднадобятся почти наверняка. А нужны им как раз те 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят себе хорошие длинные пароли.
| | |
| |
| 6.46, AdVv (ok), 19:14, 06/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >
> и не поднадобятся почти наверняка. А нужны им как раз те
> 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят
> себе хорошие длинные пароли.
Те, кто понимают что к чему, гоняют с Nokia 3310. А то и вообще без телефона.
Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем. Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю вас, это не так. Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.
| | |
| |
| 7.47, freehck (ok), 11:18, 07/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем.
Фигасе "выясняется". Брутфорс и перебор по словарю, о котором граждане выше размышляли, доказывая свою позицию - несколько разные вещи.
> Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю
> вас, это не так.
Не надо быть криптопанком, чтобы сообразить, что длинный пароль из случайных символов обезопасит вас сильнее, чем дата рождения или любимый цвет.
> Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.
Это не означает, что для поимки преступников необходимо жертвовать возможностью пользователей сохранить свою приватность, если они того захотят.
| | |
|
|
|
|
|
|
| 1.18, XXXasd (ok), 16:11, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> вместо полной аппаратной изоляции доступа к ключам, обработчик KeyMaster извлекает ключи из SHK и использует их внутри TrustZone
нет ни какой разницы -- "полностью аппаратно" или же "алгоритм работает внутри TrustZone".
TrustZone критикуется потому что там нашлись дыры.
но ведь и "полностью аппаратно" тоже может иметь дыры, не говоря уже о том что размыта граница того что такое на сегодняшний день может называться "аппаратно".
| | |
| |
| 2.33, Аноним (-), 12:11, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Полностью аппаратно обычно подразумевает лишь то что работу сделает какая-то еще более глубоко зарытая еще более проприетарная прошивка, и не более того.
| | |
|
| |
| 2.34, Аноним (-), 12:14, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Неверно. TrustZone не подразумевает отдельный процессор.
Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет и загрузить проц с гуем на линуксе. Если захочет. О том что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко всему - понятно и ежу.
| | |
| |
| 3.40, Аноним (-), 21:32, 04/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Неверно. TrustZone не подразумевает отдельный процессор.
> Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет
> и загрузить проц с гуем на линуксе. Если захочет. О том
> что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко
> всему - понятно и ежу.
ага, у них прямо в чипе - линух свой микроядерный елозит ) так что с бэдорами - проблем нету у АНБ ни к сотовым сетям(не только к абоненских устрйоств чипам), ни к роутерам, ни к бытовухе прочей )
| | |
|
|
| 1.23, Sabakwaka (ok), 20:00, 02/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Через специально подготовленный DRM медиафайл, как всегда.
100% DRM блоатвера — на сегодня суперуспешно взломано.
В основном, до рута.
| | |
| 1.37, Kodir (ok), 15:54, 04/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Да чёрт с ним, с этими зашифрованными селфиками губищщ и задниц! ПОЛЬЗУ какую-то можно из этого извлечь? Например, дешифровать раздел, вырезать с него дрова и запилить собственную прошивку?
| | |
| 1.43, Анонимный Алкоголик (ok), 01:17, 06/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Подобный метод также может быть применим спецслужбами, которые могут потребовать у
> Qualcomm сформировать подписанный код для TrustZone, копирующий ключ на внешний носитель.
А Qualcomm откажется предоставить код. Ага. И всё это будет расписано и распиарено по телевизорам. Прямо будут герои по защите приватности от ФБР. Apple и Qualcomm :-)
Между тем как. Фактически всё что они делают - это попросту суют свой мастер-ключ в устройства. Ещё раз: специально суют известный им мастер-ключ на котором вся (якобы) "приватность" фактически и держится. И всячески с пеной у рта и совмстно с ФБР рекламируют якобы защищённость этих своих заведомо прошитых известными им ключами так сказать устройств.
Собственно злоумышленники отнюдь не будут даже требовать подписанные для TrustZone приложения. Они сразу берут мастер-ключ. Заботливо вшитый лоху во всученное ему поделие... Для "безопасности". (С Траст Зонами и прочим, к чему лох, которому поделие всучивается, не должен иметь доступа...)
| | |
|
