Když se nad tím zamyslíš, tohle nemusí být problém.
Řekněme, že máš 80b ale tvoje potřeby uspokojí jen 256b AES. Tak musíš z těch 80b udělat 256. Když při tom splníš pár požadavků...
- odvození je hodně pomalé
- není upočítatelná charakterizace oboru hodnot
- výsledky nejde nacacheovat (solení může být možnost)
- neděláš moc kolizí
-...
(Co přesně dělají nevím. Jen poznámka na téma, že 80b možná blbě vypadá ale sám o sobě to problém být nemusí. Ostatně i bruteforce na 80b není ani dnes záležitost pro pár kalkulaček.)
Štouravé kolego v nás vyskakuje a nedá se umlčelo:
Měl jsem napsat že znak je spíš 6 než 8 bitů "náhody" (nechtěl jsem bejt přílišnej pedant; chtěl jsem nadhodit že mi to přijde málo, ne se zbytečně nimrat v detailech) - a "faktoriál pozpátku" stejně rychle klesá.
S rozšiřováním klíče bych příliš nepočítal, to by se vytahovali skutečnou délkou klíče a ne délkou hesla ze kterého klíč odvodili.
Jo, neni to na kalkulačky ani real-time crackování, ale stejně. Pokud se někdo snaží jen zašifrovat SMSky od milenky před manželkou, 80b je ok (pokud stará nedělá u NSA ;-).
Když jde o léta ve vězení, život nebo veký peníze, sáhnu po nejsilnější variantě algoritmu který měl dostatečný peer-review, a budu se "modlit" aby někdo nevěděl (to že to není veřejně známo ...) jak výrazně omezit prohledávaný prostor.
Pokud vyvážíte/zveřejňujete z/v USA, je to stále docela problém.Limit je 64 bitů, pak už se musí vyplňovat formulář na DoC BIS. Před pár lety jsem zanechal nějaké kódy ohledně AES256 na file exchange serveru v USA. Podle logu tam byl robot xxx.nsa.gov asi po šesti hodinách. Správce webu kódy stáhl a po cca týdenní korespondenci já - správce - jeho právník - úřad byla vyřešena situace tak, že kódy se definitivně smazaly.
"Tak musíš z těch 80b udělat 256" -- No a drobný problém je, že tohle nejde udělat. Pokud mám na vstupu 80 bitů entropie, tak z toho žádným deterministickým postupem víc než 80 bitů neudělám. Mohl bych z toho udělat méně, to ano.
Prakticky: 80 bitů není zrovna málo. Dnes to podle mě je za hranicí upočitatelnosti hrubou silou i pro NSA. Problémy to má dva:
1) "Dnes" -> Zítra (nebo za rok) už to upočitatelné být může. Bezpečnostní rezerva je příliš malá.
2) "Hrubou silou" -> Nevíme, jestli NSA nemá nic lepšího než hrubou sílu. Pokud má něco lepšího, tak opět začne vstupovat do hry bezpečnostní rezerva - pokud mám 256bitový klíč a nějaký chytrý útok například kvadraticky zmenší složitost (na 128 bitů), tak jsem pořád v pohodě, protože ve 128 bitech je strašně moc možností; u 80 bitového klíče už bych měl problém, protože 40 bitů skutečně prolomí každé PC.
Ani KDF nepřidá novou entropii. Pouze zpomalí (lineárně!) výpočet, to je celé.
A mezi námi, pokud předpokládáme*), že NSA má pro promalování běžných šifer chytřejší algoritmy než hrubou sílu, proč bychom měli očekávat, že pro rychlý výpočet hashovacích funkcí je nemá?
*) Pokud to nepředpokládáme, tak je 80 bitů *dnes* dostatečně silných.
Řízení přístupu děravého GSM modemu k mikrofonu nebo do paměti? Hardwarový odpojovač mikrofonu, hardwarový odpojovač napájení (pohodlnější než vyndání baterie), hardwarový odpojovač rádií? Honeypot? Kompilace systému bez blobů třetích stran? Automatické měnění MAC adresy a reportovaného hostname? Lock na zvolenou BTS? Webové stránky výrobce použitelné bez JavaScriptu?
V SGP Technologies pro Blackphone vytvořili údajně bezpečnější fork systému Android 4.4 KitKat zvaný PrivatOS. Měl by podporovat naprostou většinu aplikací vytvořených pro Android. PrivatOS ovšem nabízí vlastní správu jejich oprávnění a datového provozu.
Takze vlastne takove App Ops, ktere mame v Androidu od verze 4.3.
Dalším střípkem do bezpečnostní mozaiky je šifrování obsahu interního úložiště mobilu.
To je snad dnes jiz zakladni funkcionalita.
Recenze prumerna, vlastne ani nejde o recenzi jenom o vycuc informaci posbiranych nekde po netu, coz by ani nevadilo, ale ocekaval bych zamereni vice na bezpecnost. Pokud bezpecnost stoupa a pada s pouzivanim proprietnich aplikaci, tak to lze resit i zcela jinak.
Tak nevim... SpiderOak (skoro spokojene) pouzivam uz dyl, ale pres web. rozhrani se mi nikdy nepovedlo k souborum pristoupit. Z cehoz soudim, ze to asi nejde.
A podporovala by to i nasledujici myslenkova uvaha - kdyz jsou (de)sifrovaci klice ulozeny az v koncovych zarizenich, jak by mi mohl SpiderOak neco naservirovat pres web (bez pluginu)?
Kdyby nekoho zajimalo proc jen skoro spokojene pouzivam, tak to je kvuli obstrukcim, ktere je treba udelat, kdyz clovek omylem do sdilene slozky prskne nekolikagigovou vec a ta se hned zacne uploadovat, ale tim se prekroci limit uloziste. Veskere prikazy na "odsdileni" se totiz pouze zaradi do fronty, ktera ceka, az se nahraje ten nekolikagigovy blob, coz ale uloziste odmita.
SpiderOak na svém webu praví, že jeho Zero-Knowledge funguje jen pokud člověk nepřistoupí ke svým souborům u něj přes jeho webové rozhraní. Což jsem bohužel jednou udělal, protože mi nefungovala synchronizace (už 2,5 roku to s nimi řeším formou bug reportů) a já se nutně potřeboval dostat ke konkrétnímu souboru.
Teď by mě zajímalo, jestli už mě mají na lopatě, když jsem jim to heslo vytelil přes web, nebo jestli si můžu heslo změnit a tím se znovu zachránit. A nechci se jich ptát, protože tuším, že by mi odpověděli tak, aby mě uklidnili. Leda tak prostudovat zdrojáky Android klienta, ale nejsem šifrograf, abych pochopil, jestli změna hesla mění nějak ten šifrovací klíč nebo co.
Ano, tak to tam psali. Aby člověk viděl své soubory na webu, musí je odšifrovat oni, a na to asi použijí ten account password, a v tu chvíli tedy padá celé zero-knowledge.
Jo, vím, že to zní divně, když account password znají od prvního dne, kdy si člověk zřídil účet.
Možná jsem něco nepochopil? Ale tak si to pamatuju z jejich webu.
Tak tady o tom něco píšou. Přijde mi ten protokol zbytečně komplikovaný a je podle mě špatné mixovat heslo, kterým šifruju, s heslem, kterým se přihlašuju ke službě (nedej bože z děravého browseru).
Keby len NSA, staci druzica co ma dostatocne velku antenu a dokaze odpocuvat nasich mobilnych operatorov. (Americania mali este v 60 rokoch tanier 40m v priemere) A ked Rusi alebo Cinania vycmuchaju ze mam milenku a pracujem na niecom pre Slovensku armadu maju ma cim vydierat.
Ani by som sa moc necudoval keby diskusie na roote cital nejaky mlady prislusnik Ruskej rozviedky co vie po cesky v ramci monitoringu inteligencie nepriatela. Tymto ho zdravim :-) A mozno aj z vasej BIS zasa v ramci sledovania pocitacovych extremistov typu anonymous. Toho tiez zdravim.
Je poměrně zajímavé v kolika různých špatných variantách se autorovi povedlo napsat špatně název služby disconnect.me ;).
(Což považuji za chybu toho, kdo ten článek pustil na web, nikoli autora...)