Názory k článku Postřehy z bezpečnosti: Google implementuje post-quantum algoritmus

Ten android me vzdycky pobavi:o)
"Pokud máte Android zařízení s čipy od Qualcommu, tak urychleně aktualizujte opravené zranitelnosti CVE-2015–6639 a CVE-2016–2431." - by me zajimalo jak to maji lidi bez aktualizaci udelat?:o) Asi si koupit novy telefon .......
Telefon s qualcommem samozrejme mam, ale uz par let nejsem takovy hrdina, abych pouzival android .....

Co se tyce tech aut, tak tam je vskutku tristni, ze dnes jeste nekdo dokaze do auta dat android. Ja bych se tam bal pripojit android na nabijecku, natoz to mit nekde integrovane ..... chapu, ze vetsina lidi bezpecnost neresi a android jim staci, ale u automobilek tohle uprimne nechapu. No, ikdyz doposud nedokazali zabranit tomu, aby se stacet tachometry a vyrazovat imobilizery a krast auta kabelem za 5 dolaru, takze vlastne zas az tak moc se nedivim ......

Jinak me neprestava udivovat diletantstvi a naivita guglu s tim sifrovanim. Podivejte se jaky pokrok udelalo IT a mobilni sluzby za 20 let .... prakticky z nuly na vrchol .... boj s terorismem se bude tocit hlavne o odhalovani teroristu na siti, jelikoz takhle budou sve utoky poradat. Kdyz nebudou vypatratelni (coz je jiste prani vsech z nas) diky silnemu sifrovani, tak se proste tohle sifrovani zakaze a nebo se cely internet zrusi, zhrouti a vypne. Neni nerealne si dnes predstavit, ze skupina treba tisicovky islamistu by se v CR domlouvala tajne pres internet a delali teroristicke utoky den co den ... dodnes se chytaji, protoze se zpetne zjisti jejich vazby a to vse elektronicky (mobily, zpravy atd), ale kdyz tohle nebude, tak chytnou jednoho a zalsich 999 zbyva. Muzou delat utoky dronama, partyzanske utoky, zajistovat si logistiku a nikdo to nikdy nezjisti. Tak co se stane? Proste se vypne internet a GSM. Pripadne to nekomu ujete? Mi taky! Ale stat se to muze, neni na tom absolutne nic sloziteho a neproveditelneho. Internet je privilegium, neni na nej zadny narok. Proste jenom rikam, ze podobne kroky muzou velmi rychle vest k digitalni tme.

A jeste k tem kvantovym pocitacum, to uz fakt je? Jaky to ma vykon? Proc jsou tedy stale kdesi jeste vypocetni "superpocitace" zerouci stovky megawattu?

> Telefon s qualcommem samozrejme mam, ale uz par let nejsem takovy hrdina, abych pouzival android

Hmm, a co na něm používáš? Minimálně je podporováno Ubuntu Phone, které mi přišlo ještě zbastlenější než Android, ale na většině zařízení prostě nic jiného nefunguje. Nebo tím myslíš, že máš nějaký starý qualcomm dumbphone?

> A jeste k tem kvantovym pocitacum, to uz fakt je?

Není, kromě pár v praxi naprosto nepoužitelných prototypů.

> A jeste k tem kvantovym pocitacum, to uz fakt je?
Tak použitelné jsou, ale na omezenou množinu problémů, zda se někdy nahradí stávající superpočítače asi ne plně ale mohly by provádět partikulární výpočty. Nedíval bych se na to z hlediska použití jako na plnohodnotný počítač tak jak ho dnes chápeme, ale spíše na výpočetní jednotku specializovanou na některé typy problémů.
CPU dneska taky vše nerveme chcete počítat rychle s maticemi tak šup do GPU.

BTJ z DIIT?

> Psali jsme si o této společnosti ve spojení s tím, že kvantové počítače budou časem schopné prolomit dnešní šifrovací algoritmy pro bezpečný přenos dat (HTTPS, VPN, …)

To jsou protokoly, algoritmus je třeba RSA.

> či šifrování souborů

AFAIK ne, většina symetrických šifer se na kvantovém počítači prolomit neumí (nejlepší známé je tohle).

> Díky těmto chybám je možné exportovat ze zařízení klíče, kterým se šifruje celý systém

Já to pochopil tak, že se ty klíče přimixovávají k heslu. Takže to jenom umožňuje offline bruteforce -- což nevadí, pokud máte silné heslo.

> Nezapomeňte však, že pokud nemáte uzamčený bootloader (což nemá drtivá většina zařízení), tak útočník může nahrát starší verzi Androidu, který zmíněné chyby obsahuje, a poté exportovat klíč a všechna vaše data.

A to zamykání funguje tak, že když ten procesor přendám do vlastní desky, tak mi můj firmware nenabootuje? Podle mě to nijak kryptograficky neověřovali, jenom to znemožňuje přepisovat některé věci zvenku.

> Apple iOS zařízení k tomu používají bezpečnostní čip zvaný SEP (Secure Enclave Processor), kde tento problém nehrozí.

No… jako podobná chyba tam podle mě může v pohodě být taky.

Souhlasim, ale jako proof-of-concept dobry. Pokud si clovek uvedovi, jakym tempem jde miniaturizace, pak uz staci termokamerka v hodinkach na snimani te dominantni ruky, treba.

Soucasna technologie umi merit teplotu, puls, a dalsi, takze jako napr. levny detektor lzi to taky muze fungovat.

Fantazii se meze nekladou :-) A kdo ma prachy a fantazii..........

z odkazovaného článku usuzuju
"capturing accelerometer, gyroscope and magnetometer data from the devices"
že to jednoduše hlídá jak se pohnou hodinky v okamžiku kdy do nich ťuknete prstem. Miniaturní pohyby hodinek samotných pak zřejmě vyzradí kde na displej člověk ťukl. A řekl bych že tohle půjde nejenom u hodinek...

Riesenim je, ze softwarova dotykova klavesnica bude nahodne menit polohy jednotlivych klaves, takze dotyk na jedno miesto bude pri kazdom zadavani pinu znamenat ine cislo.
Podobne funguje aplikacia na pouzivanie elektronickeho podpisu v cipovom OP na Slovensku - PIN sa zadava na SW klavesnici mysou (takze klavesnicovy keylogger ho neodchyti) a poloha jednotlivych klaves na SW klavesnici je nahodna (takze bez aktualneho screenshotu nie je mozne PIN odchytit ani snimanim pohybov mysi).

ja napriklad pri zadavani PINu pouzivam viac prstov, nie len ukazovak, takze zapastie (aj keby som mal tie hodinky na pravej ruke) sa mi nehybe (ak tak len minimalne), takze tato metoda by bola nepouzitelna...