Если не будет централизованного сайта, а база будет передаваться от пира к пиру, значит можно будет воздействовать на базу, выпиливая из неё некоторые торренты.
В криптографии это называется коллизия «по дню рождения». Нужно около 2^80 торрентов (примерно 1.2E+24) чтобы вероятность существования одной(!) пары разных торрентов с одинаковым хэшем стала заметной.
Тот же самый особый случай можно устраивать и на флаге предъявления ПИН-кода.
Ну а если уж мы полезли в дебри, тогда
1) Кто проверял спецификации, приложения и карты на невынимаемость ключей, включая side-channel атаки? Если никто, тогда об атаке на память карты говорить несколько преждевременно, скорее всего timing и power analysis дадут больше информации.
2) ГСЧ на карте обычно лучше ГСЧ компа (особенно, если карта качественная и сертифицирована каким-нибудь FIPS-ом, хотя бы)
3) Если ключ генерировать софтом, то остаётся остаточная информацию на HDD компа.
4) «Complexity is the worst enemy of security». Я вот смотрю на спецификацию openpgp-card-2.0 и на вашу инструкцию по импорту ключей на карту — complexity системы зашкаливает, ИМХО.
Не согласен. Если возможность экспорта ключа есть, например, только сразу же после его создания и до снятия питания с карты, то и овцы сыты и волки целы.
Генерация софтом и импорт на карты задачу решает, но кривовато, ИМХО.
В этом случае нельзя сделать резервную копию ключа, который сгенерирован на смарт-карте. Т.е. сломайся карта — как минимум придётся срочно генерировать и сертифицировать новый ключ, а как максимум — потерять кучу информации.
На 3-м курсе МФТИ опыт показывают на лекциях по физике, именно эффект Мейснера.
Я лично 10 лет назад видел.
Поясните — что ребята принципиально нового сделали?
Верните, пожалуйста, «Всё». Или дайте настроить две разных ленты.
Я читал и «Ленту», где у меня выбрано немного блогов, и «Всё». Перенастраивать каждый раз очень неудобно.
ИМХО, нужно https-соединение засунуть в sandbox (скажем, в окно incognito). В этом случае его куки не передадутся в атакованное http-соединение и атакующий нифига не получит.
> Это всего лишь значит, что Сбербанк эта сумма страховой выплаты устраивает. Вот и все.
Постановка выплаты не такая.
Суммарная компенсация всем в мире, кто доверился сертификату VeriSign Class 3 — $100000.
Т.е. если пострадает 1000 организаций, каждой из них причитается около $100.
Я считаю, что именно это и есть торговля воздухом.
> УЦ несет финансовую и другую ответственность за то, что он выдал сертификат именно владельцу открытого ключа
Вот возьмем VeriSign и его сертификат «VeriSign Class 3 Public Primary Certification Authority — G5», которым сейчас является корнем цепочки, удостоверяющей сайт Сбербанк Онлайн (ну и много чего ещё, конечно).
Судя по сайту VeriSign, тотальная их ответственность за данный сертификат перед всеми клиентами не превышает $100000. Т.е. если кто-то подделает сертификат сайта Сбера (так или иначе) и получит доступ к счетам пользователей, максимум на что пострадает УЦ VeriSign — эти самые $100000.
Я считаю, это несколько маловато, по сравнению с суммами, которые сертификат защищает.
Сделали бы лучше сразу адресацию переменной длины, байтовыми строками.
128-бит тоже когда-то кончатся, особенно если каждой лампочке давать по IP-шнику.
Протокол сейчас как лоскутное одеяло из-за многолетних правок и добавок.
В одних пакетах UIN идёт 4-байтным целым, в других — текстовым полем переменной длины.
Кодировка текста в сообщении не указывается, нужно самому угадывать UTF8 это или ANSI.
Куча полей устарели и не имеют никакого эффекта.
Одни и те же вещи можно сделать разными пакетами.
Есть и динамические фокусы — если контакт вот прям сейчас входит в сеть, но ещё виден как оффлайн, сервер игнорирует сообщения ему вообще.
Спасибо, теперь понятно.
Жаль, уничтожение Алдераана опущено.
Ну а если уж мы полезли в дебри, тогда
1) Кто проверял спецификации, приложения и карты на невынимаемость ключей, включая side-channel атаки? Если никто, тогда об атаке на память карты говорить несколько преждевременно, скорее всего timing и power analysis дадут больше информации.
2) ГСЧ на карте обычно лучше ГСЧ компа (особенно, если карта качественная и сертифицирована каким-нибудь FIPS-ом, хотя бы)
3) Если ключ генерировать софтом, то остаётся остаточная информацию на HDD компа.
4) «Complexity is the worst enemy of security». Я вот смотрю на спецификацию openpgp-card-2.0 и на вашу инструкцию по импорту ключей на карту — complexity системы зашкаливает, ИМХО.
Генерация софтом и импорт на карты задачу решает, но кривовато, ИМХО.
Я лично 10 лет назад видел.
Поясните — что ребята принципиально нового сделали?
Я читал и «Ленту», где у меня выбрано немного блогов, и «Всё». Перенастраивать каждый раз очень неудобно.
Постановка выплаты не такая.
Суммарная компенсация всем в мире, кто доверился сертификату VeriSign Class 3 — $100000.
Т.е. если пострадает 1000 организаций, каждой из них причитается около $100.
Я считаю, что именно это и есть торговля воздухом.
Вот возьмем VeriSign и его сертификат «VeriSign Class 3 Public Primary Certification Authority — G5», которым сейчас является корнем цепочки, удостоверяющей сайт Сбербанк Онлайн (ну и много чего ещё, конечно).
Судя по сайту VeriSign, тотальная их ответственность за данный сертификат перед всеми клиентами не превышает $100000. Т.е. если кто-то подделает сертификат сайта Сбера (так или иначе) и получит доступ к счетам пользователей, максимум на что пострадает УЦ VeriSign — эти самые $100000.
Я считаю, это несколько маловато, по сравнению с суммами, которые сертификат защищает.
128-бит тоже когда-то кончатся, особенно если каждой лампочке давать по IP-шнику.
Здорово, конечно, особенно для DIY. Но будущее, ИМХО, за нейроинтерфесом.
В одних пакетах UIN идёт 4-байтным целым, в других — текстовым полем переменной длины.
Кодировка текста в сообщении не указывается, нужно самому угадывать UTF8 это или ANSI.
Куча полей устарели и не имеют никакого эффекта.
Одни и те же вещи можно сделать разными пакетами.
Есть и динамические фокусы — если контакт вот прям сейчас входит в сеть, но ещё виден как оффлайн, сервер игнорирует сообщения ему вообще.
Вот, например, что даёт гироскоп+одометр:
forum.openstreetmap.org/viewtopic.php?id=10127
Привязка к GPS на улице — дальше «по приборам» :)
Спецы рассказывали, на связке гироскоп+инерциометр можно до сантиметров знать своё перемещение, но пока это на уровне коробки побольше мобильника.