On 16/03/2019 22:35, J.F. wrote:
> a jak jest z bezpieczenstwem tego ?

Średnio, dlatego idzie w inną stronę:

https://www.yubico.com/product/yubikey-5-nfc/

Da się wyrwać "taki sam" za ok. $15 na amazonie.

Fido U2F.

do góry

Piotr Gałka <p...@c...pl> wrote:

> Ciągle mnie zadziwia, że klienci nadal w większości kupują systemy na
> karty Unique.

Widocznie im to wystarcza. Cena czyni cuda.

U mnie na osiedlu nadal jest Unique, co bardzo mnie cieszy, bo nie muszę
nosić tego nieporęcznego breloczka -- skopiowałem sobie go na kartę i
noszę w portfelu.

--
Eksperymentalnie: http://facebook.com/groups/pl.misc.elektronika

do góry

W dniu 2019-03-18 o 22:07, J.F. pisze:
>> W pewnej instytucji był
>> sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
>> jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
>> posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.
>
> shackowal czy ukradl karte ?
> Szpieg czy zlodziej ?
>
> A swoja droga - wgrali na karty, czy na jakis serwer - bo to nawet
> bezpieczniej jesli nie na karte ...
>

Jeśli Unique to nie qgrali na karty.
P.G.

do góry

W dniu 2019-03-18 o 21:35, Pawel "O'Pajak" pisze:
> W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
>> ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno
>> sekundy.
> Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
> typu brutal force na 48bitowe hasło... well, świat krócej istnieje.

Tu chodziło o to, że algorytm słaby. Algorytm ma to do siebie, że musi
być wszędzie gdzie dane rozwiązanie jest stosowane więc jest mnóstwo
miejsc z których można próbować go (tajnego) wydobyć i jest tylko
kwestią czasu kiedy ktoś to zrobi. Klucze w odróżnieniu od algorytmu są
tylko w jednym miejscu (każdy w innym).
A algorytmy tajne są zazwyczaj nie przebadane przez kryptologów więc
jest duża szansa, że jak się za niego wezmą to znajdą słabe punkty.
Tyle mniej więcej ci faceci napisali w tej książce. I o ile się
orientuję właśnie na słabości algorytmu był oparty atak. Na pewno
słabość generatora liczb losowych była pierwszym punktem zaczepienia.
P.G.

do góry

Dnia Tue, 19 Mar 2019 20:52:04 +0100, Piotr Gałka napisał(a):
> Tu chodziło o to, że algorytm słaby. Algorytm ma to do siebie, że musi
> być wszędzie gdzie dane rozwiązanie jest stosowane więc jest mnóstwo
> miejsc z których można próbować go (tajnego) wydobyć i jest tylko
> kwestią czasu kiedy ktoś to zrobi.

Z tym, ze to moze byc polowa algorytmu.

> Klucze w odróżnieniu od algorytmu są
> tylko w jednym miejscu (każdy w innym).
> A algorytmy tajne są zazwyczaj nie przebadane przez kryptologów więc
> jest duża szansa, że jak się za niego wezmą to znajdą słabe punkty.
> Tyle mniej więcej ci faceci napisali w tej książce.

Taka oficjalna wersja.
Im wiecej naukowcow pracuje i nie moze zlamac - tym wieksza szansa, ze
algorytm mocny.
Ale trzeba przyznac, ze utajnienie mocno utrudnia, a kryptologow
producent/wynalazca moze zatrudnic.

Zobacz na Niemcow. Enigma byla niemal jawna, i jak skonczyli.

J.

do góry

W dniu 2019-03-19 o 21:28, J.F. pisze:
>
> Zobacz na Niemcow. Enigma byla niemal jawna, i jak skonczyli.
>

Teza nie jest, że jawne są bezpieczne tylko, że _prawdopodobnie_
kryptografia cywilna nie zna przypadku tajnego i bezpiecznego algorytmu
natomiast jawne (DES, AES) są uznawane za bezpieczne dopóki nikt nie
znajdzie jakiegoś słabego punktu i oczywiście dopóki moc obliczeniowa
dostępna do ataku nie powala na atak brute force.
Gdyby jawne były z definicji bezpieczne to wszyscy nadal stosowali by
szyfr Cezara.
A niemieccy kryptolodzy musieli zdawać sobie sprawę z pewnych
potencjalnych słabości bo z jakiego innego powodu wprowadzali by zmiany:
- zasad używania Enigmy,
- dodatkowe wirniki (do wyboru),
- więcej wirników w maszynie marynarki.
Sądzę, że oni po prostu uważali, że potencjalne słabości zauważyli na
tyle wcześnie, że nikt nie mógł jeszcze ich wykorzystać i je usunęli
więc maszyna jest bezpieczna.
Rejewski miał to szczęście, że pierwsze sukcesy udało mu się osiągnąć
przed wprowadzeniem tych poprawek, a Zygalski, że gdy tworzył swoje
płachty to nie trzeba było ich tak dużo, jak potem.
Turing widział, że metody łamania są oparte na słabościach, które Niemcy
mogą kiedyś usunąć więc myślał o metodzie łamania przy założeniu, że
tych słabości nie ma.
P.G.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:q6t0gp$pp3$1$P...@n...chmurka.ne
t...
W dniu 2019-03-19 o 21:28, J.F. pisze:
>> Zobacz na Niemcow. Enigma byla niemal jawna, i jak skonczyli.

>Teza nie jest, że jawne są bezpieczne tylko, że _prawdopodobnie_
>kryptografia cywilna nie zna przypadku tajnego i bezpiecznego
>algorytmu

Jest i druga strona medalu - jak cywilny naukowiec zlamie jakis szyfr
... to sie tym pochwali publicznie, czy skontaktuje z tymi, co wiecej
zaplaca ?

>natomiast jawne (DES, AES) są uznawane za bezpieczne dopóki nikt nie
>znajdzie jakiegoś słabego punktu i oczywiście dopóki moc obliczeniowa
>dostępna do ataku nie powala na atak brute force.

brute force jeszcze wymaga odpowiedniego kryterium.
Jak wiesz, ze na poczatku powinno byc "Sztab Generalny" to super, ale
jesli nie ma .

>A niemieccy kryptolodzy musieli zdawać sobie sprawę z pewnych
>potencjalnych słabości bo z jakiego innego powodu wprowadzali by
>zmiany:
>- zasad używania Enigmy,
>- dodatkowe wirniki (do wyboru),
>- więcej wirników w maszynie marynarki.

Tak sie czasem zastanawialem ... czuli, ze jest slaba, czy chcieli
miec maszyne, ktorej inne wojska nie odczytaja.

>Turing widział, że metody łamania są oparte na słabościach, które
>Niemcy mogą kiedyś usunąć więc myślał o metodzie łamania przy
>założeniu, że tych słabości nie ma.

Tak swoja droga - tam niby jakies tryliardy kombinacji wychodzily, a
przeciez klucz mial tylko 3 litery, plus kombinacja wirnikow, a to
naprawde nieduzo.
Do tego zamiany kabelkami - i to juz istotnie podnosi liczbe.

Tylko najpierw trzeba odgadnac co jest w wirnikach ... ale one sie nie
zmienialy.

J.

do góry

Am 20.03.2019 um 11:01 schrieb J.F.:
> Użytkownik "Piotr Gałka"  napisał w wiadomości grup
> dyskusyjnych:q6t0gp$pp3$1$P...@n...chmurka.ne
t...
> W dniu 2019-03-19 o 21:28, J.F. pisze:
>>> Zobacz na Niemcow. Enigma byla niemal jawna, i jak skonczyli.
>
>> Teza nie jest, że jawne są bezpieczne tylko, że _prawdopodobnie_
>> kryptografia cywilna nie zna przypadku tajnego i bezpiecznego algorytmu
>
> Jest i druga strona medalu - jak cywilny naukowiec zlamie jakis szyfr
> ... to sie tym pochwali publicznie, czy skontaktuje z tymi, co wiecej
> zaplaca ?
>
>> natomiast jawne (DES, AES) są uznawane za bezpieczne dopóki nikt nie
>> znajdzie jakiegoś słabego punktu i oczywiście dopóki moc obliczeniowa
>> dostępna do ataku nie powala na atak brute force.
>
> brute force jeszcze wymaga odpowiedniego kryterium.
> Jak wiesz, ze na poczatku powinno byc "Sztab Generalny" to super, ale
> jesli nie ma .
>
>> A niemieccy kryptolodzy musieli zdawać sobie sprawę z pewnych
>> potencjalnych słabości bo z jakiego innego powodu wprowadzali by zmiany:
>> - zasad używania Enigmy,
>> - dodatkowe wirniki (do wyboru),
>> - więcej wirników w maszynie marynarki.
>
> Tak sie czasem zastanawialem ... czuli, ze jest slaba, czy chcieli miec
> maszyne, ktorej inne wojska nie odczytaja.
>
>> Turing widział, że metody łamania są oparte na słabościach, które
>> Niemcy mogą kiedyś usunąć więc myślał o metodzie łamania przy
>> założeniu, że tych słabości nie ma.
>
> Tak swoja droga - tam niby jakies tryliardy kombinacji wychodzily, a
> przeciez klucz mial tylko 3 litery, plus kombinacja wirnikow, a to
> naprawde nieduzo.
> Do tego zamiany kabelkami - i to juz istotnie podnosi liczbe.
>
> Tylko najpierw trzeba odgadnac co jest w wirnikach ... ale one sie nie
> zmienialy.

Niemcy dali pupy z Enigmą w kilku miejscach. Głównym problemem były
sformalizowane depesze, po drugie nadawanie konfiguracji maszyny na
dzień następny w kodowanej wiadomości. A z punktu widzenia samej
maszyny, największą wtopą było wprowadzenie płyty zwrotnej, która
teoretycznie miała zdublować wirtualnie liczbę wirników, praktycznie
zredukowała liczbę możliwych kodóa (brak możliwości odwzorowania litery
na siebie, czyli np substytucja a->a)
Enigma dla Kriegsmarine miała cztery walce.

Waldek

do góry

W dniu 2019-03-20 o 11:01, J.F. pisze:

> Jest i druga strona medalu - jak cywilny naukowiec zlamie jakis szyfr
> ... to sie tym pochwali publicznie, czy skontaktuje z tymi, co wiecej
> zaplaca ?
>

Ci co złamali mifare Clasic się pochwalili.

> brute force jeszcze wymaga odpowiedniego kryterium.
> Jak wiesz, ze na poczatku powinno byc "Sztab Generalny" to super, ale
> jesli nie ma .

Zawsze się zakłada, że atakujący zna tekst jawny i usiłuje zdobyć klucz.
Wiesz co to było "jedynkowanie" przy łamaniu Niemieckich szyfrów?

> Tak sie czasem zastanawialem ... czuli, ze jest slaba, czy chcieli miec
> maszyne, ktorej inne wojska nie odczytaja.

Może są jakieś publikacje ich kryptologów. Może jacyś historycy
dokładnie wiedzą.
Donitz podobno kilka razy miał podejrzenia, że Enigma musi być łamana i
zawsze dostał info, że nie możliwe więc np. oskarżyli o zdradę kapitana
jakiegoś przejętego U-boota.

> Tak swoja droga - tam niby jakies tryliardy kombinacji wychodzily, a
> przeciez klucz mial tylko 3 litery, plus kombinacja wirnikow, a to
> naprawde nieduzo.
> Do tego zamiany kabelkami - i to juz istotnie podnosi liczbe.

Jeszcze na każdym wirniku ustawiało się jakiś zaczep - kiedy następny ma
się obrócić.
Ale te 3 litery to w zamyśle były dla każdej depeszy inne.

> Tylko najpierw trzeba odgadnac co jest w wirnikach

Organizowali polowania na statki meteo.
P.G.

do góry

W dniu 18-03-2019 o 22:07, J.F. pisze:
> Dnia Mon, 18 Mar 2019 21:35:39 +0100, Pawel "O'Pajak" napisał(a):
>> W dniu 2019-03-18 o 14:40, Piotr Gałka pisze:
>>> ogólnie całe łamanie to były chyba wtedy godziny. Teraz to podobno sekundy.
>> Mifare każe sobie czekać 100ms na podanie następnej komendy, więc atak
>> typu brutal force na 48bitowe hasło... well, świat krócej istnieje.
>
> A w druga strone - przykladamy cos i wysylamy losowe nr/kody do
> czytnika ?

Jeśli system polega tylko na odczycie numerów seryjnych kart, to po x
czasu w końcu trafisz.

>
>> Tych sektorów jest 16, więc da się zrobić to wyjątkowo upierdliwe do
>> złamania. Ponadto wiele zależy od systemu KD. W pewnej instytucji był
>> sobie prosty acz rozległy system na kartach Unique. Ale w tej jednej
>> jedynej firmie wgrali zdjęcia pracowników i cieć widział, czy wchodzi
>> posiadacz karty. No i pewnego pana wyprowadzili w kajdankach.
>
> shackowal czy ukradl karte ?
> Szpieg czy zlodziej ?
>
> A swoja droga - wgrali na karty, czy na jakis serwer - bo to nawet
> bezpieczniej jesli nie na karte ...
>

Dopisali zdjęcie do bazy danych. Programy do zarządzania kontrolą
dostępu maja moduły dla ochrony/recepcji, które po odczycie karty,
wyświetlają zdjęcie skojarzone z tym numerem karty.

yabba

do góry