Zákony, tajné služby a spol.

Started by Danoboss, October 05, 2009, 09:19:09 PM

Previous topic - Next topic

Danoboss

Quote from: pepakNebo možná nechtějí mít další problémy s antitrustovými zákony. Těžko říct. Každopádně za situace, kdy funguje BCVE, nemám moc chuť experimentovat s BitLockerem.


Neverím, že im ide o Antitrust, keby sa chceli brániť tomuto, tak by tam celý Bitlocker vôbec nebol... teraz tam je, takže žalovateľní (tým netvrdím, že právom) sú zaň rovnako ako za IE, WMP a podobne. Inak zaujímalo by ma, kedže v USA je ten divný zákon o zadných vrátkach pre NSA pri šifrovacích softwaroch, či je toto aplikované aj v Bitlockeri, alebo to urobili ako produkt "nevyvíjaný v USA". Teda celkom by som veril tomu, že v Bitlockeri nejaké sú. Best Crypt (Jetico) je vlastne z akého štátu? Tiež USA? A ešte ma udivuje, že taký expert na skúšanie šifrovacích softov (myslené v dobrom), ktorý skúša v našich končinách relatívne "neznáme" produkty, ešte nič nenapísal o PGP.

pepak

Quote from: DanobossInak zaujímalo by ma, kedže v USA je ten divný zákon o zadných vrátkach pre NSA pri šifrovacích softwaroch, či je toto aplikované aj v Bitlockeri, alebo to urobili ako produkt "nevyvíjaný v USA".
1) Neviděl jsem zatím ani jeden důvěryhodný zdroj, který by existenci takového zákona potvrdil.

2) I kdyby takový zákon existoval a i kdyby ho výrobci skutečně implementovali, jsem si naprosto jistý, že nikdy nebude použit proti běžnému člověku - bylo by naprosto neefektivní potvrdit, že NSA může číst "silné" šifry, kvůli málo významnému případu, protože všichni nebezpeční protivníci by docela jistě ihned přešli na jiné algoritmy (které zadní vrátka zřejmě nemají).

QuoteTeda celkom by som veril tomu, že v Bitlockeri nejaké sú.
Já tedy ne. Microsoft je příliš snadno žalovatelný než aby si něco takového dovolil.

QuoteBest Crypt (Jetico) je vlastne z akého štátu? Tiež USA?
Finsko.

QuoteA ešte ma udivuje, že taký expert na skúšanie šifrovacích softov (myslené v dobrom), ktorý skúša v našich končinách relatívne "neznáme" produkty, ešte nič nenapísal o PGP.
PGP je placené a za situace, kdy jsem spokojený s BCVE, nemám motivaci utrácet peníze za duplicitní funkčnost. Dokonce i kdyby mi to distributor chtěl dodat zdarma, nebyla by to záležitost pár dnů - mou snahou je nevyjadřovat se k něčemu, co nemám důkladně prozkoumané.

Danoboss

Quote from: pepak1) Neviděl jsem zatím ani jeden důvěryhodný zdroj, který by existenci takového zákona potvrdil.

2) I kdyby takový zákon existoval a i kdyby ho výrobci skutečně implementovali, jsem si naprosto jistý, že nikdy nebude použit proti běžnému člověku - bylo by naprosto neefektivní potvrdit, že NSA může číst "silné" šifry, kvůli málo významnému případu, protože všichni nebezpeční protivníci by docela jistě ihned přešli na jiné algoritmy (které zadní vrátka zřejmě nemají).

1) Tak neviem čo berieš ako dôveryhodný zdroj, ale článok s ešte bývalými vyjadreniami (keď to bolo aktuálne) PGP som čítal myslím že v súvislosti zo štandardizáciou AES (Rijndael vs Twofish vs Serpent vs Mars vs RC6) čo písal Klíma - sú to teda články z obdobia tesne predtým, než Rijndael vyhral.

2) Ja predsa nehovorím že ten backdoor musí byť v samotnej šifre, ale v šifrovacom nástroji - že do disku/kontajneru zašifrovanom povedzme skrz PGP by sa vedeli dostať (a tým nemyslím slovníkovým/brute force útokom, či niečim podobným).

pepak

Quote from: Danoboss1) ... sú to teda články z obdobia tesne predtým, než Rijndael vyhral.
To už je deset let, a za druhé - Klíma tuším není právník specializovaný na US právo...

Quote2) Ja predsa nehovorím že ten backdoor musí byť v samotnej šifre, ale v šifrovacom nástroji - že do disku/kontajneru zašifrovanom povedzme skrz PGP by sa vedeli dostať (a tým nemyslím slovníkovým/brute force útokom, či niečim podobným).
Možná, ale můj protiargument platí i proti této možnosti.

Danoboss

Quote from: pepakTo už je deset let, a za druhé - Klíma tuším není právník specializovaný na US právo...

S tým že to už je 10 rokov súhlasím, mohlo sa odvtedy niečo zmeniť a taký zákon mohol byť zrušený už len kvôli existencii Truecryptu (čiže kto chcel mohol šifrovať aj bezpečne) a teda PGP by bola v konkurenčnej nevýhode. S druhým ale nesúhlasím, znie to síce pekne takto odpísať niekoho, pretože nemá potrebné vzdelanie, ale povedz mi, máš ty vyštudovanú informatiku zo špeciálnym zameraním na počítačovú bezpečnosť? Predpokladám že nie, napriek tomu sa k týmto témam vyjadruješ a myslím si, že po prečítaní tvojich článkov ťa dosť ľudí môže považovať za bernú mincu, pretože je jasné že vieš o čom píšeš. Ten zákon sa priamo dotýkal hlavnej Klímovej pracovnej činnosti a preto si myslím, že by o ňom mal vedieť, aj keď neni právnik. Tak isto ja poznám niekoľko zákonov priamo súvisiacich s tým čo robím ja a tiež nie som právnik.

QuoteMožná, ale můj protiargument platí i proti této možnosti.

Ono keď si to spätne prečítaš, tak si nenapísal protiargument.
Ja: Podľa mňa má Bitlocker backdoor
Ty: Aj keby ho mal, tak by ho v bežnom prípade nepoužili

Ja som nikdy netvrdil že áno, ja s tebou súhlasím, že kvôli niekomu čo ilegálne sťahuje software a má disk s tým softwarom zašifrovaný by to NSA nerobila. Mne išlo o samotnú existenciu či neexistenciu backdooru.

pepak

Quote from: Danobossznie to síce pekne takto odpísať niekoho, pretože nemá potrebné vzdelanie,
Nejde o vzdělání, jde o znalosti.

Quoteale povedz mi, máš ty vyštudovanú informatiku zo špeciálnym zameraním na počítačovú bezpečnosť? Predpokladám že nie, napriek tomu sa k týmto témam vyjadruješ a myslím si, že po prečítaní tvojich článkov ťa dosť ľudí môže považovať za bernú mincu,
No já pevně doufám, že si od toho, co píšu, nechávají zdravý odstup a porovnávají si to s informacemi odjinud.

QuoteTen zákon sa priamo dotýkal hlavnej Klímovej pracovnej činnosti a preto si myslím, že by o ňom mal vedieť, aj keď neni právnik.
To právě vůbec není pravda. Ten zákon je pro Klímovu činnost naprosto irelevantní. Každopádně i kdyby relevantní byl, stejně bych vyžadoval nějaký doklad o tom, že vůbec existuje. Že to říká Klíma (a mám za to, že žádné takové vyjádření z posledních let neexistuje!) ještě není důkaz.

(Jsem taky ovlivněn tím, že před časem se na fóru TrueCryptu kdosi dotazoval na odkazy k tomu zákonu a nějak se žádné nepodařilo dohledat.)

QuoteTak isto ja poznám niekoľko zákonov priamo súvisiacich s tým čo robím ja a tiež nie som právnik.
Ano, ale když se (příklad) budeš s policajtem hádat, že na autě SPZ mít nemusíš, protože ti zákon dává výjimku, tak po tobě určitě bude chtít aspoň číslo zákona a paragraf, když už nic jiného - i kdyby to stokrát bylo v oblasti tvého profesionálního zájmu.

QuoteOno keď si to spätne prečítaš, tak si nenapísal protiargument.
Ja: Podľa mňa má Bitlocker backdoor
Ty: Aj keby ho mal, tak by ho v bežnom prípade nepoužili
Striktně vzato máš pravdu. Bral jsem to tak, že z praktického hlediska je úplně jedno, jestli ten zákon existuje nebo neexistuje, a v tomto ohledu se k němu mohu chovat, jako kdyby neexistoval.

QuoteJa som nikdy netvrdil že áno, ja s tebou súhlasím, že kvôli niekomu čo ilegálne sťahuje software a má disk s tým softwarom zašifrovaný by to NSA nerobila. Mne išlo o samotnú existenciu či neexistenciu backdooru.

Jinak mimochodem, napadla mě k tomu ještě jedna věc:
Quoteže do disku/kontajneru zašifrovanom povedzme skrz PGP by sa vedeli dostať (a tým nemyslím slovníkovým/brute force útokom, či niečim podobným).
Tohle je IMHO jeden z nejlepších důvodů, proč ten zákon vůbec nemít. Podle mě je pro tajné služby výhodnější, když jejich protivníci ani nepovažují za možné, že t.s. dokáže danou šifru prolomit. Kdyby byl zákon o povinnosti tajných dvířek, každý by musel přinejmenším připouštět možnost, že ta tajná dvířka existují. Daleko výhodnější by mi přišlo navrhnout protokol, který na povrchu vypadá velice rozumně, ale tomu, kdo od něj má klíče, dokáže pomoci narušit libovolnou šifru - něco jako ten generátor náhodných čísel (psal jsem v článku o backdoorech v open source) nebo třeba vhodně narušený šifrovací režim nebo algoritmus pro převod hesla na klíč.

Danoboss

Quote from: pepakNo já pevně doufám, že si od toho, co píšu, nechávají zdravý odstup a porovnávají si to s informacemi odjinud.

No veď práve to je to, že Klima nebol jediný od koho som to čítal (na druhej strane, oni to zas mohli vyčítať od neho). Takisto tam bol spomenutý ten americký zákaz vývozu silných šifier a k obom prípadom malo PGP výhrady a Klima to tam spomínal.

Quote from: pepakTo právě vůbec není pravda. Ten zákon je pro Klímovu činnost naprosto irelevantní. Každopádně i kdyby relevantní byl, stejně bych vyžadoval nějaký doklad o tom, že vůbec existuje. Že to říká Klíma (a mám za to, že žádné takové vyjádření z posledních let neexistuje!) ještě není důkaz.

(Jsem taky ovlivněn tím, že před časem se na fóru TrueCryptu kdosi dotazoval na odkazy k tomu zákonu a nějak se žádné nepodařilo dohledat.)

O irelevancii by sa dalo polemizovať, zákon sa venuje šifrovaniu, Klíma sa venuje šifrovaniu...
Inak ohľadne toho, že to neni "žiadny dôkaz" - je nerád chytám ľudí za slovíčka, tak dúfam že to blbo nevyznie, ale predtým sme namiesto slova "dôkaz", použili slovné spojenie "dôveryhodný zdroj" - pre mňa Klima je dôveryhodný zdroj, ale za dôkaz by som (podobne ako ty asi) považoval až samotný text zákonu na nejakej americkej .gov stránke. To s tým Truecryptom tvojej teórii nahráva to uznávam, je nepravdepodobné, že ak by ten zákon existoval, tak že by ani jeden s tých šifrovacích expertov o jeho existencii nevedeli.


Quote from: pepakStriktně vzato máš pravdu. Bral jsem to tak, že z praktického hlediska je úplně jedno, jestli ten zákon existuje nebo neexistuje, a v tomto ohledu se k němu mohu chovat, jako kdyby neexistoval.

To práve neviem, predstav si, čisto teoreticky, že ten spôsob nejako z NSA unikne. Sú dve možnosti:
a) NSA prizná, že to uniklo a že proste treba vymyslieť nový algoritmus či software
b) NSA bude mlčať a skoro nikto nebude o uniknutom algoritme vedieť - čo by bola v tomto prípade tá najnebezpečnejšia situácia (a myslím, že v prípade úniku by NSA radšej mlčala ako sa priznala).

Proste zo samotnej NSA strach skutočne nemám, ani pri veľkých fantáziach si neviem predstaviť, čo by u mňa mohli hľadať.

Quote from: pepakTohle je IMHO jeden z nejlepších důvodů, proč ten zákon vůbec nemít. Podle mě je pro tajné služby výhodnější, když jejich protivníci ani nepovažují za možné, že t.s. dokáže danou šifru prolomit. Kdyby byl zákon o povinnosti tajných dvířek, každý by musel přinejmenším připouštět možnost, že ta tajná dvířka existují. Daleko výhodnější by mi přišlo navrhnout protokol, který na povrchu vypadá velice rozumně, ale tomu, kdo od něj má klíče, dokáže pomoci narušit libovolnou šifru - něco jako ten generátor náhodných čísel (psal jsem v článku o backdoorech v open source) nebo třeba vhodně narušený šifrovací režim nebo algoritmus pro převod hesla na klíč.

O tomto už uvažujem dlhšie a je to dôvod, prečo nepoužívam všade ten protokol, povedzme že keď pre Bitlocker mám AES, tak do Keepassu zvolím Twofish a tak.

Quick Reply

Note: this post will not display until it has been approved by a moderator.

Name:
Email:
Verification:
Please leave this box empty:
Type the letters shown in the picture
Listen to the letters / Request another image

Type the letters shown in the picture:
Shortcuts: ALT+S post or ALT+P preview