В этом случае нельзя сделать резервную копию ключа, который сгенерирован на смарт-карте. Т.е. сломайся карта — как минимум придётся срочно генерировать и сертифицировать новый ключ, а как максимум — потерять кучу информации.
На 3-м курсе МФТИ опыт показывают на лекциях по физике, именно эффект Мейснера.
Я лично 10 лет назад видел.
Поясните — что ребята принципиально нового сделали?
Верните, пожалуйста, «Всё». Или дайте настроить две разных ленты.
Я читал и «Ленту», где у меня выбрано немного блогов, и «Всё». Перенастраивать каждый раз очень неудобно.
ИМХО, нужно https-соединение засунуть в sandbox (скажем, в окно incognito). В этом случае его куки не передадутся в атакованное http-соединение и атакующий нифига не получит.
> Это всего лишь значит, что Сбербанк эта сумма страховой выплаты устраивает. Вот и все.
Постановка выплаты не такая.
Суммарная компенсация всем в мире, кто доверился сертификату VeriSign Class 3 — $100000.
Т.е. если пострадает 1000 организаций, каждой из них причитается около $100.
Я считаю, что именно это и есть торговля воздухом.
> УЦ несет финансовую и другую ответственность за то, что он выдал сертификат именно владельцу открытого ключа
Вот возьмем VeriSign и его сертификат «VeriSign Class 3 Public Primary Certification Authority — G5», которым сейчас является корнем цепочки, удостоверяющей сайт Сбербанк Онлайн (ну и много чего ещё, конечно).
Судя по сайту VeriSign, тотальная их ответственность за данный сертификат перед всеми клиентами не превышает $100000. Т.е. если кто-то подделает сертификат сайта Сбера (так или иначе) и получит доступ к счетам пользователей, максимум на что пострадает УЦ VeriSign — эти самые $100000.
Я считаю, это несколько маловато, по сравнению с суммами, которые сертификат защищает.
Сделали бы лучше сразу адресацию переменной длины, байтовыми строками.
128-бит тоже когда-то кончатся, особенно если каждой лампочке давать по IP-шнику.
Протокол сейчас как лоскутное одеяло из-за многолетних правок и добавок.
В одних пакетах UIN идёт 4-байтным целым, в других — текстовым полем переменной длины.
Кодировка текста в сообщении не указывается, нужно самому угадывать UTF8 это или ANSI.
Куча полей устарели и не имеют никакого эффекта.
Одни и те же вещи можно сделать разными пакетами.
Есть и динамические фокусы — если контакт вот прям сейчас входит в сеть, но ещё виден как оффлайн, сервер игнорирует сообщения ему вообще.
> Мир с удовольствием использовал и использует закрытые алгоритмы.
Ну да, мир с удовольствием использовал закрытый Crypto1 от Philips-а на Mifare, а потом его разломали и оказалось что там ужас тихий в дизайне. Теперь спешно используют без удовольствия (потому как системы развёрнуты) и разрабатывают технологии на замену. А был бы протокол открыт, сломали бы почти сразу.
> Плюс, нет никакой проблемы сделать ревью закрытых алгоритмов математиками и аналитиками при помощи NDA.
Ревью сделанные под NDA, никакого отношения к прогрессу не имеют.
> С OCB на сегодняшний день нет никакой проблемы.
> Его реализация официально доступна по лицензии GPL.
Для некоммерческого использования.
А если нужно для коммерческого использования? Возьмут совсем открытый.
> Я скажу так: если алгоритм хороший, им будут пользоваться независимо от наличия патента.
Единственный критерий «хорошести» алгоритма — что его долго и много пытались ломать и не сломали.
Ну правильно, он сам пишет, что не специалист в патентом праве.
Но видите, какая штука, Брюс — один из тех, кто непосредственно двигает прогресс в области криптографии и безопасности.
Складывается впечатление, что полезность патентного права отстаивают только те, кто хорошо в нём разбирается. И защищает оно, похоже, только тех, кто в нём специалисты. Но проблема-то в том, что большинство как раз не разбирается.
Думаю вы согласитесь, что специалистов одновременно в патентном праве и в некоторой области науки гораздо меньше, чем просто специалистов в этой области науки.
Скорее всего так и получается, что большинство специалистов в науке считают патентное право злом.
> Успех алгоритма не связан с его закрытостью/открытостью.
Мы говорим не про успех/не успех и не про закрытость/открытость.
Мы говорим про развитие области знаний в результате использования алгоритма и про патентованность алгоритма и его свободой от патентов.
Закрытые крипто алгоритмы можно вообще не рассматривать, они нарушают принцип Керкгоффса, запрещаются к использованию всеми вменяемым спецами по криптографии и полезны только для статистики раздела «так делать не надо».
Что касается закрытости патентами — в разделе режимов работы блочных шифров Шнайер и Фергюсон в той же книге упоминают режим OCB, который они не рекомендую к использованию так как новый и защищён патентами. А рекомендуются не патентованные CBC и CTR.
Кто последует рекомендациям — не будут использовать OCB. Будет меньше реализаций OCB, его будут меньше пытаться ломать. В результате, он, скорее всего, так и останется одним из балластов, пылящихся на полке.
> На практике в досудебном разбирательстве назначается экспертиза.
> Которые, на основании результатов экспертизы и пытаются оказать судье что тут происходит.
Патент на криптографический алгоритм ставит финансовую препону на использовании этого алгоритма в коммерческом ПО. В результате алгоритм не используется, не находит широкого применения, не анализируется криптоаналитически, а значит не становится проверенным и не получает дальнейшего развития.
Вот и получается торможение прогресса.
Брюс Шнайер и Нильс Фергюсон в книге «Практическая Криптография» посвятили патентам целую главу и пишут буквальное следующее:
«В лучшем случае патенты — неизбежное зло, в худшем случае — узаконенная форма мошенничества и шантажа». «Мы думаем, что IT-индустрии было бы гораздо лучше без патентов, чем с ними.»
Аргументы
— Можно запатентовать уже известные вещи, придуманные не владельцем патента. В пример приводится получение патента по сути на колесо в 2001 году.
— Можно затягивать процедуру получения патента для того, чтобы подкорректировать на особенности технологий конкурента.
— Формулировки в патентах расплывчатые и запутанные, читать патенты — пытка
— Понять применимость патента к конкретной вещи порой не могут даже специалисты, а решение в споре принимает судья, который не специалист
Я лично 10 лет назад видел.
Поясните — что ребята принципиально нового сделали?
Я читал и «Ленту», где у меня выбрано немного блогов, и «Всё». Перенастраивать каждый раз очень неудобно.
Постановка выплаты не такая.
Суммарная компенсация всем в мире, кто доверился сертификату VeriSign Class 3 — $100000.
Т.е. если пострадает 1000 организаций, каждой из них причитается около $100.
Я считаю, что именно это и есть торговля воздухом.
Вот возьмем VeriSign и его сертификат «VeriSign Class 3 Public Primary Certification Authority — G5», которым сейчас является корнем цепочки, удостоверяющей сайт Сбербанк Онлайн (ну и много чего ещё, конечно).
Судя по сайту VeriSign, тотальная их ответственность за данный сертификат перед всеми клиентами не превышает $100000. Т.е. если кто-то подделает сертификат сайта Сбера (так или иначе) и получит доступ к счетам пользователей, максимум на что пострадает УЦ VeriSign — эти самые $100000.
Я считаю, это несколько маловато, по сравнению с суммами, которые сертификат защищает.
128-бит тоже когда-то кончатся, особенно если каждой лампочке давать по IP-шнику.
Здорово, конечно, особенно для DIY. Но будущее, ИМХО, за нейроинтерфесом.
В одних пакетах UIN идёт 4-байтным целым, в других — текстовым полем переменной длины.
Кодировка текста в сообщении не указывается, нужно самому угадывать UTF8 это или ANSI.
Куча полей устарели и не имеют никакого эффекта.
Одни и те же вещи можно сделать разными пакетами.
Есть и динамические фокусы — если контакт вот прям сейчас входит в сеть, но ещё виден как оффлайн, сервер игнорирует сообщения ему вообще.
Вот, например, что даёт гироскоп+одометр:
forum.openstreetmap.org/viewtopic.php?id=10127
Привязка к GPS на улице — дальше «по приборам» :)
Спецы рассказывали, на связке гироскоп+инерциометр можно до сантиметров знать своё перемещение, но пока это на уровне коробки побольше мобильника.
Ну да, мир с удовольствием использовал закрытый Crypto1 от Philips-а на Mifare, а потом его разломали и оказалось что там ужас тихий в дизайне. Теперь спешно используют без удовольствия (потому как системы развёрнуты) и разрабатывают технологии на замену. А был бы протокол открыт, сломали бы почти сразу.
> Плюс, нет никакой проблемы сделать ревью закрытых алгоритмов математиками и аналитиками при помощи NDA.
Ревью сделанные под NDA, никакого отношения к прогрессу не имеют.
> С OCB на сегодняшний день нет никакой проблемы.
> Его реализация официально доступна по лицензии GPL.
Для некоммерческого использования.
А если нужно для коммерческого использования? Возьмут совсем открытый.
> Я скажу так: если алгоритм хороший, им будут пользоваться независимо от наличия патента.
Единственный критерий «хорошести» алгоритма — что его долго и много пытались ломать и не сломали.
Но видите, какая штука, Брюс — один из тех, кто непосредственно двигает прогресс в области криптографии и безопасности.
Складывается впечатление, что полезность патентного права отстаивают только те, кто хорошо в нём разбирается. И защищает оно, похоже, только тех, кто в нём специалисты. Но проблема-то в том, что большинство как раз не разбирается.
Думаю вы согласитесь, что специалистов одновременно в патентном праве и в некоторой области науки гораздо меньше, чем просто специалистов в этой области науки.
Скорее всего так и получается, что большинство специалистов в науке считают патентное право злом.
> Успех алгоритма не связан с его закрытостью/открытостью.
Мы говорим не про успех/не успех и не про закрытость/открытость.
Мы говорим про развитие области знаний в результате использования алгоритма и про патентованность алгоритма и его свободой от патентов.
Закрытые крипто алгоритмы можно вообще не рассматривать, они нарушают принцип Керкгоффса, запрещаются к использованию всеми вменяемым спецами по криптографии и полезны только для статистики раздела «так делать не надо».
Что касается закрытости патентами — в разделе режимов работы блочных шифров Шнайер и Фергюсон в той же книге упоминают режим OCB, который они не рекомендую к использованию так как новый и защищён патентами. А рекомендуются не патентованные CBC и CTR.
Кто последует рекомендациям — не будут использовать OCB. Будет меньше реализаций OCB, его будут меньше пытаться ломать. В результате, он, скорее всего, так и останется одним из балластов, пылящихся на полке.
> Которые, на основании результатов экспертизы и пытаются оказать судье что тут происходит.
Но окончание-то решение принимает судья.
Вот и получается торможение прогресса.
Брюс Шнайер и Нильс Фергюсон в книге «Практическая Криптография» посвятили патентам целую главу и пишут буквальное следующее:
«В лучшем случае патенты — неизбежное зло, в худшем случае — узаконенная форма мошенничества и шантажа». «Мы думаем, что IT-индустрии было бы гораздо лучше без патентов, чем с ними.»
Аргументы
— Можно запатентовать уже известные вещи, придуманные не владельцем патента. В пример приводится получение патента по сути на колесо в 2001 году.
— Можно затягивать процедуру получения патента для того, чтобы подкорректировать на особенности технологий конкурента.
— Формулировки в патентах расплывчатые и запутанные, читать патенты — пытка
— Понять применимость патента к конкретной вещи порой не могут даже специалисты, а решение в споре принимает судья, который не специалист
№7'1968, страница 97 и дальше