Citiraj:
Autor Colop
Što je to stvarno bilo tako loše odrađeno ? Sigurnosno mislim?
|
Pa sve sto zakljucas moras nekako otkljucati, zar ne? Ukoliko dodjes u fizicki posjed a prethodno ne djelujes, pada ti u vodu sva kriptografija ako imas - kljuc.
Siguran sam da je s pravno zakonodavne strane poduzeta ozbiljna logisticka opcija da se sluzbe angaziraju oko toga, ali s obzirom da ovisi o 3rd partyju, zaista nikada ne mozes biti siguran sto se zapravo dogadja iza toga.
Da su implementacije mogle biti odradjene na nacin neovisno distribuiranih nodeova koji bi imali odgovarajuce zastitne mjere u slucaju petljanja sa sustavom i da veseljaci koji su slali cvjece i ljubav preko toga nisu imali ego poriv da zadrze sve poslano, zapravo nemas neku mudroliju da to preveniras.
Pogledas li zahtijeve FIPS 140, ISO 19790, ISO 15408 ili slicne serije standarada, primijetiti ces da ce kriptografija principijelno vrlo jasno definirana i nema neke velike mudrosti oko toga, cak stovise, ukoliko ne pratis standarde, imas puno tezu situaciju u postizanju sukladnosti. Mozemo se razbacivati sa sirinama kljuceva, generiranjem nonceova i slicnim, ali to je sve redundantno ako se implementira po standardu. Konkretno, block cipher - ISO 18033-3, stream cipher - ISO 18033-4, asimetricni algoritmi i tehnike - ISO 9796-2,3, ISO 14888, MAC - ISO 9797-2, hashevi ISO 10118-2,3,4 i tako dalje.
Situacija je takva da imas 10 puta vise poglavlja koji se ticu ostalih nacina zastite nego onih koji doticu samu kriptografiju. I upravo na tim stvarima se pada. A gotovo uvijek ne na tome jesi ti stavio 128 ili 112 bitova u duljini taga AES-GCM-a...
Citiraj:
Evo jedan banalan primjer.
Brojač novca. Koriste ga u kafiću u kojem pijem kavu svaki dan, jer im je zgodno na kraju dana staviti sve novčanice iz kase, brojač izbaci total, apoene novčanica i količine.
Dakle, brojač novca kao stvar uopće nije ilegalna.
Američka porezna uprava je temeljem sudskih zahtjeva od svih proizvodača i prodavača bankarske opreme (konkretno brojača novca) od 2010 do 2017 tražila ( i dobila) podatke o svim kupcima brojača, jer po njihovom mišljenju ako imaš brojač novca ili si terorist ili pereš pare.
|
Ne znam cega je to banalan primjer, ali da nas vratim u temu, zasto je WhatsApp problematican kaficu koji, jer im je zgodnije, broji pare ko u Slovenskoj 9?
Filozofski, ponovno, situacija je trivijalna. Povijesno se pokazalo da je dugorocno korisnije kada drzava ima monopol na nadzor, nasilje i slicno. Ako su predstavnici te drzave razumno demokratski odabrani, imas upravo to sto bi i zelio ocekivati - dovoljnu zastitu uz odredjene restrikcije. Jasno da postoje outlieri, ali u prosjeku, praksa je pokazala to kao ucinkovit model (YMMV, ali kuzis poantu).
Shodno tome, kao sto sam prije izvjesnog vremenan spomenuo, EU prijedlog je simpatican, i zapravo vec u primjeni kod svih "velikih" operatera na ovaj ili onaj nacin. Funkcijski, kako planiraju pokriti "javnu" infrastrukturu je zapravo vise tehnoloska problematika (i ulazak u semantiku tko i sto zapravo treba implementirati na kraju dana) i pitanje je hoce li je uspijeti forsirati tako kako su zamislili.
Bilo kako bilo, tvoji dick picovi su razumno sigurni. Tko zeli zivjeti s tom realnoscu se zaista nece posebno obazirati na takvo sto. Tko zelis "apsolutnu privatnost" moze dobiti jedan znatan dio iste digitalno (barem sto se tice "data in motion") ukoliko obe strane zele pratiti procedure i prakse za takvu komunikaciju. Je li dick pic ili dogovor za rucak vrijedan toga, opet je na stvari pojedinca.
Osnovna problematika pogresne premise koja se vrti je ta da te *nitko ne prisiljava da koristis WhatsApp* (ili bilo sto drugo), niti ti je to bilo kakav preduvjet za koristenje bilo koje usluge ili servisa koju pruza drzava. Shodno tome, kako jos uvijek ne stavljaju kamere u spavace sobe po kucama, cjelokupna rasprava je principijalno izlisna. IOW - hoces privatnost, iscupaj mrezni kabel iz racunala i Bog da ti grijehe prosti.