Citat:
Ursprungligen postat av
Dekorima
Det är din tolkning. Jag vet vad AES är och även Twofish/Serpent vilket du inte ens har nämnt i sammanhanget.
Du har nämnt AES. Och jag har inte en blekaste aning om varför du ser behov av att jag skulle nämna t ex Twofish. Precis som man normalt inte bryter sig in i hus genom betongväggar utan väljer balkondörr, fönster eller liknande så är vanligaste metoden att försöka gå runt krypton genom att t ex angripa nyckelöverföringen, protokollförhandlingen, slumpgenereringen eller likande. Bara du som verkar sitta fast i att det måste vara just det krypterade datat man specifikt skall jaga.
Citat:
Numera.. ja sedan 1997 så är saker och ting annorlunda, varför drar du upp gamla efterblivna inkarnationer som nu i modern tid 2017 är den TLS/SSL som normalt folk använder?
Intressant formulering. Du skriver 1997. Du inser att det inte finns en protokollversion för SSL utan flera? Även om SSL version 1 varit bannlyst i en massa år så gäller helt andra tidsaspekter för SSL v2 och v3. Finns fortfarande en massa webservrar som kör en eller båda av dem. Vidare skriver du att det är TLS/SSL som normalt folk använder - folk skall inte köra TLS/SSL utan enbart TLS.
Citat:
Det är sant. OM förtroendekedjan bryts, och OM "terroristen" godtar det fejkade certifikatet. Men OM HAN INTE GÖR DET DÅ?
Vad betyder egentligen ordet om? Om terroriten inte skriver någonting alls så finns ingenting att lyssna på. Se där, så meningslöst ordet "om" kan vara. Du har fortfarande snöat in på att denna tråd måste vara våra politiskers påstående att polisen skall försöka knäcka all kryptografi. Fel fokus från dig och uppenbarligen omöjligt att få dig att förstå att det är en orimlig insnävning av problemområdet.
Vidare - om myndigheter får rätt att beställa ut falska certifikat så behöver "terroristen" aldrig godkänna någonting alls. När din dator kopplar sig till en https-server så kommer den glatt och tyst koppla upp sig om den servern har ett certifikat som via kedja är korrekt signerat av ett rootcertifikat din dator accepterar. Har jag t ex en kopia på t ex Swedbanks gällande certifikat så kommer din dator att glatt acceptera utan att du får någon kontrollfråga. Kör godtyckligt program i din dator och det programmet kommer inte hitta någonting manipulerat i datorn eftersom ingenting då behövde manipuleras.
Citat:
Nu verkar du svara för Regentia som jag ursprungligen skrev till, men oavsett detta så har Ynkeman ingen som helst täckning för sitt snicksnack. Som jag fortfarande hävdar - och som ingen av er kan motbevisa - AES256 är inte knäckt. Och inte heller Twofish/Serpent med t.ex. Whirlpool. Eller har jag fel menar du?
Ja, jag påstår att du har fel. Du har bestämt dig för att lägga in en specifik tolkning i Ynkemans uttalande. Och du har bestämt dig för att alla andra tolkningar av uttalandet måste vara felaktigt och måste bryta mot intentionen av denna tråd. Det är att sitta med skygglappar.
Citat:
Jag tycker att ni pratar strunt, eller rättare sagt snackar skit. Den generella regeln är att om något inte kan motbevisas så är det det som gäller. Om Svenne Banan laddar ner en trojan, då är det stor chans att han blir blåst som fan. Men om någon är medveten och använder exempelvis TC eller VC, eller PGP, och inte är uppkopplad, kanske inte ens kör ett "normalt" OS. Då är det OMÖJLIGT att någon kan knäcka det.
Du får gärna tycka att vi pratar strunt. Åsikter är fria. Betyder inte att du däremot behöver upplevas som särskilt trovärdig i din åsikt. Du har inte lyckats särskilt bra att motivera dina åsikter.
Att person X via kunnande kan säkra upp sin förbindelse invaliderar inte politikers möjlighet att besluta om lagändringar för att ge polisen rätt att använda verktyg för att försöka ta sig runt kryptografi. För du är väl ändå inte så bokstavsfixerad att du tror du skall läsa Ynkemans uttalande som ett påstående att polisen hädanefter kommer att kunna ha möjlighet att ta sig igenom 100% av all krypterad kommunikation? Eller förlåt - var retorisk fråga. Du har ganska tydligt indikerat att du valt att tro att tråden rör just detta.
Citat:
Det är ingen märklig idé. Det är ett fullständigt adekvat exempel eftersom det är ett av de vanligaste kryptoalgoritmerna som existerar. Det vet du också.
För att citera TS: "Det ger möjligheter för polis och säkerhetspolis att kunna avlyssna även krypterad information."
JA MEN AVLYSSNA HAR MAN MÖJLIGHET ATT GÖRA REDAN NU! Att FÖRSTÅ och tolka vad man avlyssnar är det jag pratar om. Och den möjligheten har man inte. För den finns inte ännu. Ingen på jordens yta kan knäcka de krypton jag pratar om.
Ytterlare fokusförlust där.
Du lyckas nu bl a missa skillnaden mellan att ha teknisk möjlighet att lyssna på din kommunikation respektive att ha laglig rätt att göra det. Vi pratar här om en lagändring för att ge polisen ytterligare rättigheter. Inte att polisen får begära ut loggar mm från tjänsteoperatörer utan att de tillåts bugga datakommunikation på motsvarande vis som de tillåts bugga telefoni. Även du och jag kan ha möjlighet att bugga både data- och telefoni om vi bara får lämplig access - innebär dock inte att vi även har laglig rätt att göra det. Att börja SKRIKA förstärker däremot inte ditt resonemang.
Och du sitter nu ytterligare fast i att du snöat in på om polisen kan knäcka några krypto. Hur svårt är det nu att inse att om man buggar en förväntat krypterad förbindelse så försöker man ge fan i att jaga kommunikationen där den är som svårast att förstå?
Citat:
Vem i helvete har emotsagt att stater inte har bättre förutsättningar att utföra kvalificerade attacker? Det är ju självklart att en underrättelsetjänst eller försvarsmakt är mer kvalificerad än en 14-årig scriptkid från Löddeköpinge?!
Jag håller med om att det förekommer avlyssning och även wikileaks har publicerat bakdörrar och tekniska möjligheter att kringgå säkerheten i vanliga mobiltelefoner.
Men vad saken handlar om här: YNKEMAN hävdar att myndigheter ska få möjlighet att AVLYSSNA krypterad information. Jag hävdar att det är fullständigt dödsnack. Varken svenska eller utländska myndigheter eller säkerhetsorganisationer har möjlighet att knäcka de krypton som existerar idag, exempelvis AES-256, Twofish/Serpent eller E2E som t.ex Signal använder.
Börja återigen med att försöka förstå koncept. Börja tänk. Börja läsa de argument som finns. Skaka om dammet i hjärnkontoret och släpp sargen en liten stund. Du envisas återigen med att tro att detta skulle betyda att de förväntas knäcka krypton. Eftersom politikers uttalanden i princip aldrig kan tas ordagrant så borde du sedan länge inse att du inte kan ta detta uttalande ordagrant utan att du i stället behöver fundera själv på vilken rimlig betydelse du skall tolka in. Andra har lyckats. Ge det lite tid kanske du själv också lyckas.
Citat:
Förstår du? Det är ocknäckbart, om man inte är hjärndöd och lämnar sin dator öppen för vem som helst på centralstationen eller låter folk på stan läsa över axeln. Är man lite säkerhetsmedveten och kör vpn, låter den huvudsakliga arbetsdatorn vara ouppkopplad, förflyttar data via USBminne eller SDkort, så har myndigheterna inga som helst möjligheter att utläsa datan.
Nej, kryptografi går knäcka utan att användaren måste vara hjärndöd och lämnat datorn öppen för vem som helst. Företag betalar regelbundet stora summor pengar för Pem-tester, just för att de hela tiden behöver hjälp att försöka hitta alla de olika vägar som deras system kan läcka ut information.
Ett av iPhones mer populära program är en add blocker - folk tycker den är lysande. Problemet är att den gör sitt jobb via ett extra root-cert som gör att den kan dekryptera https och alltså spärra reklam även i krypterad kommunikation. Tror du verkligen alla som kör appen är hjärndöda? Exakt hur många tror du ens förstått hur appen kan vara så effektiv att filtrera bort reklam?
Jag kan med 100% säkerhet säga att om du skulle få 3 dagars besök av professionell Pem-testare så skulle du få veta en hel del hemligheter om hur ditt säkra fort hemma läcker. Att du tror du är smartare än resten av världen och därför inte kan hackas betyder inte automagiskt att du verkligen är säker.
Tror du det var för att folk är hjärnsvaga som Debian t ex ett tag lyckades producera svaga kryptonycklar? Var det för att folk varit hjärnsvaga som SSL v1, v2 och v3 samtliga numera räknas som osäkra?
Den tolkning som åtskilliga gjort av Ynkemans uttalanden är just att polisen bland annat skall få rätt att aktivt försöka ta sig
runt krypton. Trots att detta varit uppe ett större antal gånger i tråden har du inte en enda gång lyckats producera ett argument som motsäger detta påstående - allt för att du är så fokuserad på att t ex AES-256 inte kan knäckas.