[elektro-etc] Megtörték

gyapo gyapo at freemail.hu
Sat Sep 7 17:25:48 CEST 2013 

> Ez is szép meg jó, de amíg pl. egy TLS 1.0-ról nem frissít senki bank
> meg online shop meg akármi, amikor https-t írsz a címsorba, addig
> miről is beszélünk?

> Ami rajtad múlik, az OK. De ami nem, ott mit csinálsz?

Érdekes kérdés, hogy mi múlik rajtam.
Pl. legalább 10 éve próbáltam a pgp-t email klienssel, pár partnerrel 
váltottunk kódolt leveleket csak tesztelési célból. Teljesen jól ment, 
egy-két többlet kattintás kell, és egy 2048 bites nyílt kulccsal
kódolt szövegen is elmormogna az NSA pármillió évet.
Most van egy portable pgp-m, de sose használom, mert nem kapok kódolt 
leveleket, és ha én küldenék senki nem tudná elolvasni, még egy sign-t 
vagy cert-et se tudna ellenőrizni.
Szóval az emberek vesznek pl. zárakat, vasalt ajtókat, riasztókat, 
kerítéseket, hogy megvédjék a tárgyaikat, de egy egyszerű programot
nem tanulnak meg használni, pedig réges régóta rendelkezésre áll a
technológia és ingyen használható. És csodálkoznak, ha elviszik a 
pénzüket, és minden elektronikusan átruházható tulajdonukat.
Már többször volt olyan, hogy egy levlistán valaki más nevében írt 
valami mocskolódást. Persze ip-cím nyomozással elvileg ki lehet 
deríteni, de azért az nem olyan egyszerű, mint ha minden levélen lenne 
egy aláírás, és a levelező jelezné, hogy OK vagy nem OK. Lenne valahol 
egy kulcsfile, amit minden belépő letölthetne, beimportál és onnantól 
a személyazonosság egyértelmű és hamisíthatatlan. Persze lehetne 
kódolni is a levelezést ha szükséges lenne. Hogy nem tetszene az 
NSA-nak és hasonló szolgálatoknak azt értem, de hogy az emberek miért 
nem használják, azt nem.

Persze ha egy hivatal előírja, hogy csak egy adott böngészővel, egy 
adott kódolással juthatok el hozzá, és egyébként kötelező ezt 
használni, a kódolás titkos és ellenőrizhetetlen, akkor ott akármi is
lehet.
Az apeh már lépett egyet a nyílt platform felé a java programmal, de
még mindig nem tudom ellenőrizni, hogy mit hogyan csinál, mit visz el
a gépemről és hogyan kódolja. Nem értem miért nem jó neki, hogy
előállítja az adatokkal feltöltött file-t, és majd én kódolom a secret
kulcsommal, és azt kapja meg. Így akármelyik évben letöltöm az új 
verziót, és lehet benne 10 trójai meg backdoor, amik csendben
becsomagolnak bármit, és küldik, vagy letörlik a gépemről a lopott
windowst.
Így nem kellene https se, mert a kódolt csomag már védett, nem kell a 
csatornát védeni, amin továbbítom.
Szóval emberek, nyíltkulcsú titkosításra fel.

Üdv.: gyapo

More information about the Elektro-etc mailing list