Ygeman vill ge polisen utökade befogenheter att komma åt krypterad information

men skulle man inte ge med borgar skap till så många krigare från islamien så skulle inte killen med svärd chenna sig tvingad att göra jobbet som staten inte klarar av.

Nej, jag tycker inte polisen skall ha rätten att installera spionprogram. Förutom att bakdörrar ger polisen möjligheter att avlyssna så riskerar de även att missbrukas av tredje part som på egen hand lyckats identifiera polisens attack-vektorer.

Ännu så länge anses vanlig okränkbar. Inga politiker vågar ens viska om att polisen skall få ånga upp brev och tjuvläsa - det skulle ju motsvara gamla Östtyskland. Men så fort vi pratar om elektronisk kommunikation blir politikerna kaxiga och anser att de skall ha fulla rättigheter att lyssna på allt de bara kan. Och det sker hela tiden en glidning av skalan. Från att gälla grova terrorbrott till att börja gälla allt som har fängelse på straffskalan.

Vad jag skrev var att jag tolkar Ystermans uttalande som att han avser att ge polisen dessa befogenheter - inte att polisen förväntas klara av att dekryptera okända dataströmmar.

AES256 är - om det implementeras korrekt - fullständigt säkert! Ingen har någonsin knäckt det. Återigen är du inne på säkerhetshål, myndigheter som har hemliga avtal med Microsoft - om man kör Ubuntu då? Eller MacOS, eller en modern version av AmigaOS 4 från 2016? Ni pratar helt enkelt strunt. AES är inte knäckt och inte 3DES eller Twofish/Serpent heller så det spelar ingen roll vad "myndigheterna" samarbetar med. Det finns ingen att samarbeta med som kan knäcka AES. Även om myndigheterna flashar upp rövhålet och bönar och ber Microsoft, så är AES fullständigt säkert om man använder det på rätt sätt och Microsoft har inte möjlighet att knäcka AES lika lite som Kina eller CIA har det. Förstår du?

Fel av mig, jag tolkade ditt...

...som din personliga åsikt, inte hur du tolkade Ygemans uttalande och ämnet för diskussion. Min miss.

OM man har ett program. OM det vore fred på jorden. Men om det INTE ÄR SÅ DÅ? I de flesta fall har folk inte trojaner, det finns antivirus och anti-malware och vanligt folk använder sånt idag 2017.

"Ett program" - du hade kunnat skriva spyware, malware, trojan, eller något mer specifikt. Varför gör du inte det från början?


Det får stå för dig om du gillar Ygeman, jag tror inte att särskilt många håller med dig. Men kan du inte erkänna att du har fel här? GIVETVIS har de möjlighet att avlyssna krypterad information, men de har NOLL möjlighet att uttyda den! Varför argumenterar du för att information kan avlyssnas om du samtidigt är införstådd med att den är omöjlig att dekryptera? Vem som helst kan avlyssna vad som helst, det är fullständigt självklart. Hela debatten handlar väl om Ygeman har någon sanningshalt i sitt påstående? Men visst.. om han menar att de kan avlyssna allt men inte förstå ett skit så är det iofs helt korrekt. Nu tror jag inte att det var så du argumenterade från början.

Du skriver som om du tror AES-256 är en självstående algoritm.

Majoriteten av all kryptografisk trafik med AES skapar temporära nycklar som sedan via andra algoritmer överförs till motparten. Att vi numera måste köra med SSL 1, 2 och 3 avstängd och förlita oss på TLS är för att SSL inte klarade av att på ett tillräckligt bra sätt lösa detta problem.

Hela vitsen med certifikat för att kryptografiskt säkert veta att du anslutit till rätt server och gör nyckelutbyte mot rätt server bygger på förtroenden. Minsta lucka i förtroende-kedjan och det spelar ingen roll om TLS är bättre än SSL. Och det spelar ingen roll om AES är en säker algoritm eller ej. I en situation där stater per lagstiftning lyckas få in krav på att de skall ha access till rootcertifikat eller skall ha rätten att kunna beställa falska certfikat faller all användning av SSH, HTTPS, ... som inte bygger på egengenererade certifikat.

Sluta skriva "ni pratar strunt". Det får dig inte att verka mer trovärdig. Den generella regeln är att det normalt är de som pratar strunt som tror det är en bra idé att använda den typen av formuleringar. Vanligen för att de inte förstår tillräckligt mycket, och därför missförstår vad de debatterar.

Någonstans på vägen verkar du ha fått den förfärligt märkliga idén att denna tråd bara kan handla om knäckning av AES-256, och att eftersom det är "omöjligt" så ser du alla säkerhetsdiskussioner i detta ämne som strunt. Det finns inte friska människor här som tror myndigheterna planerar att knäcka AES bara för att polisen är nyfikna. Men finns åtskilliga som tror att myndigheterna planerar att arbeta sig runt befintliga krypton. Och att kalla detta för strunt är att stoppa huvudet i sanden.

Det är nog knappast så heller att myndigheterna tror att de kommer att lyckas hitta attackvägar för samliga varianter av hårdvara eller OS etc. Har du en grupp på fem terrorister räcker det om de kan hacka sig runt säkerheten för en av användarna för att plötsligt ha tillgång till hela gruppens planer.

I slutändan har stater bättre möjligheter än vanliga privatpersoner att utföra man-in-the-middle-attacker och liknande. Framför allt eftersom man via domstolar och lagstiftning kan få infrastrukturföretag att hjälpa till. Och infrastrukturföretagen har inte särskilt stort intresse att publikt berätta om den hjälp de beordras bistå med. Dels för att de då riskerar att tappa marknadsandelar, och dels för att det ökar fokus på work-arounds. Titta på mängden dokument du hittar på nätet där Telia upplyser världen om exakt de lagkrav som de lyder under vad gäller att bistå med teknik för avlyssning av telefonsamtal.

Expert eller inte, det är inte så lätt som du tror att läsa av starkt krypterad data.

Det är din tolkning. Jag vet vad AES är och även Twofish/Serpent vilket du inte ens har nämnt i sammanhanget.
Numera.. ja sedan 1997 så är saker och ting annorlunda, varför drar du upp gamla efterblivna inkarnationer som nu i modern tid 2017 är den TLS/SSL som normalt folk använder?
Det är sant. OM förtroendekedjan bryts, och OM "terroristen" godtar det fejkade certifikatet. Men OM HAN INTE GÖR DET DÅ?

Nu verkar du svara för Regentia som jag ursprungligen skrev till, men oavsett detta så har Ynkeman ingen som helst täckning för sitt snicksnack. Som jag fortfarande hävdar - och som ingen av er kan motbevisa - AES256 är inte knäckt. Och inte heller Twofish/Serpent med t.ex. Whirlpool. Eller har jag fel menar du?
Jag tycker att ni pratar strunt, eller rättare sagt snackar skit. Den generella regeln är att om något inte kan motbevisas så är det det som gäller. Om Svenne Banan laddar ner en trojan, då är det stor chans att han blir blåst som fan. Men om någon är medveten och använder exempelvis TC eller VC, eller PGP, och inte är uppkopplad, kanske inte ens kör ett "normalt" OS. Då är det OMÖJLIGT att någon kan knäcka det.

Det är ingen märklig idé. Det är ett fullständigt adekvat exempel eftersom det är ett av de vanligaste kryptoalgoritmerna som existerar. Det vet du också.

För att citera TS: "Det ger möjligheter för polis och säkerhetspolis att kunna avlyssna även krypterad information."

JA MEN AVLYSSNA HAR MAN MÖJLIGHET ATT GÖRA REDAN NU! Att FÖRSTÅ och tolka vad man avlyssnar är det jag pratar om. Och den möjligheten har man inte. För den finns inte ännu. Ingen på jordens yta kan knäcka de krypton jag pratar om.


Vem i helvete har emotsagt att stater inte har bättre förutsättningar att utföra kvalificerade attacker? Det är ju självklart att en underrättelsetjänst eller försvarsmakt är mer kvalificerad än en 14-årig scriptkid från Löddeköpinge?!

Jag håller med om att det förekommer avlyssning och även wikileaks har publicerat bakdörrar och tekniska möjligheter att kringgå säkerheten i vanliga mobiltelefoner.

Men vad saken handlar om här: YNKEMAN hävdar att myndigheter ska få möjlighet att AVLYSSNA krypterad information. Jag hävdar att det är fullständigt dödsnack. Varken svenska eller utländska myndigheter eller säkerhetsorganisationer har möjlighet att knäcka de krypton som existerar idag, exempelvis AES-256, Twofish/Serpent eller E2E som t.ex Signal använder.

Förstår du? Det är ocknäckbart, om man inte är hjärndöd och lämnar sin dator öppen för vem som helst på centralstationen eller låter folk på stan läsa över axeln. Är man lite säkerhetsmedveten och kör vpn, låter den huvudsakliga arbetsdatorn vara ouppkopplad, förflyttar data via USBminne eller SDkort, så har myndigheterna inga som helst möjligheter att utläsa datan.

Exakt!

http://www.aftonbladet.se/senastenyt...cle24624309.ab

Du har nämnt AES. Och jag har inte en blekaste aning om varför du ser behov av att jag skulle nämna t ex Twofish. Precis som man normalt inte bryter sig in i hus genom betongväggar utan väljer balkondörr, fönster eller liknande så är vanligaste metoden att försöka gå runt krypton genom att t ex angripa nyckelöverföringen, protokollförhandlingen, slumpgenereringen eller likande. Bara du som verkar sitta fast i att det måste vara just det krypterade datat man specifikt skall jaga.

Intressant formulering. Du skriver 1997. Du inser att det inte finns en protokollversion för SSL utan flera? Även om SSL version 1 varit bannlyst i en massa år så gäller helt andra tidsaspekter för SSL v2 och v3. Finns fortfarande en massa webservrar som kör en eller båda av dem. Vidare skriver du att det är TLS/SSL som normalt folk använder - folk skall inte köra TLS/SSL utan enbart TLS.

Vad betyder egentligen ordet om? Om terroriten inte skriver någonting alls så finns ingenting att lyssna på. Se där, så meningslöst ordet "om" kan vara. Du har fortfarande snöat in på att denna tråd måste vara våra politiskers påstående att polisen skall försöka knäcka all kryptografi. Fel fokus från dig och uppenbarligen omöjligt att få dig att förstå att det är en orimlig insnävning av problemområdet.

Vidare - om myndigheter får rätt att beställa ut falska certifikat så behöver "terroristen" aldrig godkänna någonting alls. När din dator kopplar sig till en https-server så kommer den glatt och tyst koppla upp sig om den servern har ett certifikat som via kedja är korrekt signerat av ett rootcertifikat din dator accepterar. Har jag t ex en kopia på t ex Swedbanks gällande certifikat så kommer din dator att glatt acceptera utan att du får någon kontrollfråga. Kör godtyckligt program i din dator och det programmet kommer inte hitta någonting manipulerat i datorn eftersom ingenting då behövde manipuleras.

Ja, jag påstår att du har fel. Du har bestämt dig för att lägga in en specifik tolkning i Ynkemans uttalande. Och du har bestämt dig för att alla andra tolkningar av uttalandet måste vara felaktigt och måste bryta mot intentionen av denna tråd. Det är att sitta med skygglappar.

Du får gärna tycka att vi pratar strunt. Åsikter är fria. Betyder inte att du däremot behöver upplevas som särskilt trovärdig i din åsikt. Du har inte lyckats särskilt bra att motivera dina åsikter.

Att person X via kunnande kan säkra upp sin förbindelse invaliderar inte politikers möjlighet att besluta om lagändringar för att ge polisen rätt att använda verktyg för att försöka ta sig runt kryptografi. För du är väl ändå inte så bokstavsfixerad att du tror du skall läsa Ynkemans uttalande som ett påstående att polisen hädanefter kommer att kunna ha möjlighet att ta sig igenom 100% av all krypterad kommunikation? Eller förlåt - var retorisk fråga. Du har ganska tydligt indikerat att du valt att tro att tråden rör just detta.


Ytterlare fokusförlust där.

Du lyckas nu bl a missa skillnaden mellan att ha teknisk möjlighet att lyssna på din kommunikation respektive att ha laglig rätt att göra det. Vi pratar här om en lagändring för att ge polisen ytterligare rättigheter. Inte att polisen får begära ut loggar mm från tjänsteoperatörer utan att de tillåts bugga datakommunikation på motsvarande vis som de tillåts bugga telefoni. Även du och jag kan ha möjlighet att bugga både data- och telefoni om vi bara får lämplig access - innebär dock inte att vi även har laglig rätt att göra det. Att börja SKRIKA förstärker däremot inte ditt resonemang.

Och du sitter nu ytterligare fast i att du snöat in på om polisen kan knäcka några krypto. Hur svårt är det nu att inse att om man buggar en förväntat krypterad förbindelse så försöker man ge fan i att jaga kommunikationen där den är som svårast att förstå?



Börja återigen med att försöka förstå koncept. Börja tänk. Börja läsa de argument som finns. Skaka om dammet i hjärnkontoret och släpp sargen en liten stund. Du envisas återigen med att tro att detta skulle betyda att de förväntas knäcka krypton. Eftersom politikers uttalanden i princip aldrig kan tas ordagrant så borde du sedan länge inse att du inte kan ta detta uttalande ordagrant utan att du i stället behöver fundera själv på vilken rimlig betydelse du skall tolka in. Andra har lyckats. Ge det lite tid kanske du själv också lyckas.

Nej, kryptografi går knäcka utan att användaren måste vara hjärndöd och lämnat datorn öppen för vem som helst. Företag betalar regelbundet stora summor pengar för Pem-tester, just för att de hela tiden behöver hjälp att försöka hitta alla de olika vägar som deras system kan läcka ut information.

Ett av iPhones mer populära program är en add blocker - folk tycker den är lysande. Problemet är att den gör sitt jobb via ett extra root-cert som gör att den kan dekryptera https och alltså spärra reklam även i krypterad kommunikation. Tror du verkligen alla som kör appen är hjärndöda? Exakt hur många tror du ens förstått hur appen kan vara så effektiv att filtrera bort reklam?

Jag kan med 100% säkerhet säga att om du skulle få 3 dagars besök av professionell Pem-testare så skulle du få veta en hel del hemligheter om hur ditt säkra fort hemma läcker. Att du tror du är smartare än resten av världen och därför inte kan hackas betyder inte automagiskt att du verkligen är säker.

Tror du det var för att folk är hjärnsvaga som Debian t ex ett tag lyckades producera svaga kryptonycklar? Var det för att folk varit hjärnsvaga som SSL v1, v2 och v3 samtliga numera räknas som osäkra?

Den tolkning som åtskilliga gjort av Ynkemans uttalanden är just att polisen bland annat skall få rätt att aktivt försöka ta sig runt krypton. Trots att detta varit uppe ett större antal gånger i tråden har du inte en enda gång lyckats producera ett argument som motsäger detta påstående - allt för att du är så fokuserad på att t ex AES-256 inte kan knäckas.

Hur ställer sig ditt antivirus och antimalware mot 0-day exploits som jag talade om i mitt andra inlägg, mitt första svar till dig?


Just för att människor lägger olika tolkningar i orden malware och trojan. Det var först till mitt andra inlägg jag hittade det mer lämpliga ordet spyware. Program är allmängällande och fungerar bra, för alla utom dig - som inte bara missförstod utan dessutom försökte dra en rövare om att du förstod men att jag menade fel. Nu vet du i alla fall vad jag menade och kan läsa saken utifrån sitt rätta kontext. Kan vi gå vidare från den biten nu?


Jag har inget för Ygeman, åter igen hittar du på saker som jag inte sagt något om.

Jag har argumenterat för att klartexten kan synas genom andra metoder än dekryptering, till skillnad från vad större delen av trådens författare har varit inne på. Detta är synligt i alla mina inlägg.
Du kanske tycker debatten handlar om huruvida Ygeman har någon sanningshalt i sitt påstående. Jag har från mitt första inlägg hävdat att Ygeman yrar i nattmössan och inte vet vad han har pratat om och samtidigt hävdat att debatten egentligen åsyftat statstrojaner. Jag är öppen för att han har blivit felciterad/missförstådd av journalister också.

Du kan tro vad du vill, men vad jag argumenterade från början står i mina inlägg och om du läser om dem ska du se att det var just så jag uttryckte mig, oavsett resten av trådens missförstånd utifrån hur Ygeman uttryckt sig.

Jag ger mig in i din och cellplasts diskussion också för att vidare belysa vad jag menat, så kanske vi kan undvika vidare missförstånd:


PGP tog jag tidigt upp som exempel angående övervakning av clipboarden som ett möjligt sätt att komma åt information utan att knäcka krypteringen.
Jag vet inte vad du räknar som ett "onormalt" O/S men så vill vida du inte sitter med ett hemmaprogrammerat system kan jag lova dig att så väl Sveriges som andra länders underrättelsetjänster har folk som är bättre på operativsystemet än dig och har tänkt ut fler attackytor än vad du har skyddat dig mot.


Är du bekant med de bakdörrar som avslöjats hos brandväggstillverkare som Fortinet de senaste åren eller om de 0-days i brandväggar som möjliggjort extrahering av kryptonycklar som kom ut i samband med Snowden-läckorna? Har du läst om hur Stuxnet tog sig in i Natanz, trots air-gappat nätverk och där tekniker använde sig av infekterade USB-nycklar?

Slutligen kan du läsa jongaris inlägg och länkning som nu dykt upp i tråden, som tar upp just precis de sakerna jag från början syftade till: