On Fri, 25 Mar 2016, Sebastian Biały wrote:

> Czy ja dobrze zauważyłem że to konferencja dla studentów na temat Etyki i
> Prawa? Ani słowa o oddziaływaniach słabych w kryształach domieszkowanego
> krzemu w kontekście budowy zabezpieczen ukladow scalonych? Może to i lepiej
> ze te głupie tępaki od fizyki się tam nie dostały.

A na jaką konferencję spodziewałbyś się tego typu materiałów? Z algebry?
Chciałeś jakikolwiek techniczny argument na korzyść podpisu ręcznego to
dostałeś ich nawet kilka. Zresztą skomentowałeś te które były dla Ciebie
wygodne a ten który był mniej wygodny pominąłeś i wszystkie te których nie
zacytowałem też pominąłeś. Zresztą to nieważne, nie oczekiwałem że
będziesz wszystkie komentować, ale miałem nadzieję, że w swoim zaślepieniu
dostrzeżesz ich sens. Odnoszę wrażenie że Ty masz wrażenie, że wszyscy tu
są orędownikami dawnej PO czy współczesnego PISu i nie wyobrażają sobie
życia bez weryfikacji podpisu na świstku przez urzędnika w okularach
(niechby nawet google glass). Pozwól, że powołam się na stanowisko
rzecznika tej grupy (jakby komuś taki wybór nie pasował, to zawsze może
spadać na drzewo) i parę rzeczy Ci wyjaśnię:

Tak, tokeny/elektroniczne dowody osobiste są dobre i potrzebne

Nie zmienia to jednak faktu, że podpis tradycyjny ma niezaprzeczalne
zalety (tzn. takie którym chyba nikt oprócz Ciebie nie przeczy), które od
1997 roku się nie zdewaluowały, a chyba jedyna rzecz która się od tamtego
czasu *drastycznie* zmieniła to pewnie bezpieczeństwo klucza prywatnego w
chipach, chociaż to zdecydowanie nie moja działka. Coś przeoczyłem?

Tutaj pozwolę sobie na mały wtręt jak to na drzwiach pewnej państwowej
instytucji widziałem kartkę żeby nie szarpać klamką dopóki nie usłyszy się
dźwięku otwieranego zamka od domofonu bo psuje się mechanizm tego zamka.
Pomijając już fakt dziadostwa tego systemu na tej karteczce był podpis z
pieczątką dyrektora placówki, bo jeszcze ktoś by sobie mógł pomyśleć że
bez podpisu i pieczątki to może być scam, więc może lepiej na wszelki
wypadek prewencyjnie szarpnąć klamką.

Problem którego Ty wydajesz się nie dostrzegać (chociaż pewnie
dostrzegasz, ale operujesz argumentami jakbyś nie dostrzegał) to otoczenie
prawne w jakim się znajdujemy i to, że jeśli w grę nie wchodzi morderstwo
albo wyłudzenie na milionową skalę to policja/sądy/prokuratura nie zadają
sobie zbytniego trudu weryfikowania podpisu i z automatu przyjmują dowolny
bazgroł na kartce za pełnoprawny podpis. Co w przypadku podpisu
elektronicznego będzie utrudnione, ale to nie oznacza że eliminuje on
wszystkie zalety podpisu tradycyjnego bez wprowadzania wad.

do góry

On Fri, 25 Mar 2016, Sebastian Biały wrote:

> On 2016-03-25 21:42, Rafal Jankowski wrote:
> E tam, nie przypominam sobie żebym w tej dyskusji czegos unikał jakoś
> specjalnie. Możesz wskazać palcem czego *unikam*?

Prosiłem żebyś opisał pełny model wdrożenia takiego oraz użycia tokena
przez bank (co kto komu wysyła, co i w jaki sposób podpisuje itd.). Nie
zrobiłeś tego.

>> Jak podpiszesz kluczem prywatnym transakcję to ni huhu nie powiedzą, że
>> tak pokazuje nasz system informatyczny, więc tak musi być. Transakcje
>> muszą być podpisane przez zleceniodawcę i on ma podpis banku o ich
>> odebraniu. Dzięki mnie od tej chwili możesz nazywać dyrektora banku
>> debilem i nie martwić się, że zaksięguje na Twoim koncie 100kPLN
>> wydatków na viagrę. Nie musisz dziękować
>
> To samo mogą powiedzieś teraz. Czyli jakiś misio może sfałszować Twój podpis
> pod dokumentem. Jeśli wydaje Ci się to trudne do ogarnięcia to zwracam uwagę
> że całkiem sporo kasjerów na przestrzeni kilkunastu lat to zrobiło. Koledze
> dostało się po łbie kilkanascie tysięcy rachunków za kilka telefonów, że tak
> przytocze realny przykład z okolicy choć może nie z bankowości.

No ale nie chodzi o to co mogą teraz tylko co będą mogły jak się wprowadzi
sensowne rozwiązanie. Nie wiem po co wymyśliłeś sobie, że klient musi ufać
bankowi bo ta kwestia była w tym wątku podnoszona już wcześniej. Możemy po
prostu podsumować, że skoro bank nie musi znać klucza klienta to ja miałem
rację, a Ty byłeś w błędzie, czy chcesz masz jakąś nową teorię?

do góry

On Fri, 25 Mar 2016, Sebastian Biały wrote:

> On 2016-03-25 21:29, Rafal Jankowski wrote:
>> > > Chyba Cię jednak pamięć zawodzi bo mowa była o próbach wstawienia
>> > > backdora do jądra z których żadna nie odniosła skutku (według ogólnej
>> > > wiedzy, której prawdziwość czy raczej pewność parę osób
>> > > kwestionowało).
>> > > Czyli jest raczej oczywiste, że chodziło o kod źródłowy.
>> > Ale dlaczego oczywiste?
>> Chociażby dlatego, że mowa była o *nieudanych* próbach wprowadzenia do
>> kernela backdorów, a z przytoczonych przez Ciebie pewnie coś ok 100%
>> było udanych?
>
> Ja przytoczylem nieudaną, acz znaleziona przypadkiem.

Ty na pewno wziąłeś te tabletki na schizę? Możemy wprowadzić jakąś
logikę do tych rozważań?

- Twój przedpiśca pisze o nieudanych próbach wstawienia backdoora do
jądra.
- Ty (jako kontrargument) odpisujesz coś o skutecznym wstawianiu backdorów
przy pomocy urządzeń firewire i dalej faktycznie o próbie wstawienia
kawałka kodu w CVS, ale wyłapanej co tylko potwierdza postawioną tezę.
- Ja na to, że piszesz od czapki że (o tym firewire, UEFI i kartach gfx).
- A Ty że przecież pisałeś o zmianach w kodzie.

>> Wiesz, jakiś czas temu było skompromitowane repozytorium nagiosa. Tylko
>> ile procent komputerów ma zainstalowanego nagiosa? A kernel Linuksa?
>> Chyba trochę więcej co nie?
>
> Niewiele. Chyba że dodamy androida. Ale w androidzie jest tak wiele dziur w
> user space że nie ma to sensu.

Nie liczę androida, ale liczę że spora część użytkowników androida
przechowuje gdzieś swoje dane (bankowe czy jakiekolwiek inne) na serwerach
gdzie jest kernel linuksa.

>> Więc sens wprowadzania backdora do kernala
>> jest taki, że zaafektuje to ogromną liczbę komputerów.
>
> Nie. Możesz co prawda wstawić trywialne = zamiast == i liczyć ze ktoś nie
> zauważy ,ale problem infekcji tego systemu czymś *użytecznym* już trywialny
> nie jest. Wsadzenie czegoś uzytecznego do kernela zostanie natychmiast
> wykryte.

Użycie podstawowej funkcji systemowej do zmiany UID faktycznie zostanie
wykrytę w nanosekundę, ale to tylko dowód na to, że tamten konkretny
backdor był niezbyt wyrafinowany. Zresztą nie znamy nawet zamierzeń
autora. Przypuszczalnie nie chciał nawet w rzeczywistości umieścić tego
backdora a przetestować reakcję środowiska na tą sytuację.

> Intefejsy białkowe siedzace przy złomach od jakiś 15 lat mają średnie IQ w
> okolicy 100. Czyli to tylko kwestia napisania maila. Ostatnie kampanie
> mailowe sa bardzo interesujące. Sądząc po ilościach - zapewne przynoszą spore
> zyski.

OK, do wyłudzania kasy z konta tym bardziej jak cel nie jest jasno
określony tylko dowolny to faktycznie łatwiej jest wysłać milion maili z
wygaszaczem ekranu. Ale w zastosowaniach bardziej uniwersalnych ta metoda
albańskiego wirusa może nie spełnić oczekiwań.

do góry

W dniu 2016-03-25 o 22:16, Sebastian Biały pisze:
> Koledze dostało się po łbie kilkanascie tysięcy rachunków za kilka telefonów

Ściemniasz, to niemożliwe.

--
Liwiusz

do góry

On Fri, 25 Mar 2016 22:16:29 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> Tak, banki zdecydowanie bedą robiły wszystko żeby podrobić
> niepodrabialny (w praktyce wystarczająco) podpis hardwareowy. Może
nawet
> jakiś kasjer wstawi kilka przypadkowych liczb żeby wyglądało że
> podpisany!

Jestem w stanie sobie wyobrazić u nas sytuację, w której
(paradoksalnie) użycie prawidłowego lub nieprawidłowego podpisu el.
nie spowoduje odpowiednio oczekiwanych rezultatów. I bank/urząd wtedy
odpowie w stylu "bo podpis był nieprawidłowy/prawidłowy i co pan mam
zrobisz". Wiara, że działania hardwaru/elektroniki/softu będą miały
ostateczny i niepodważalny charakter w sytuacjach spornych jest dość
naiwna.

--
Marek

do góry

On Sat, 26 Mar 2016, Rafal Jankowski wrote:

> Co w przypadku podpisu elektronicznego będzie utrudnione, ale to nie
> oznacza że eliminuje on wszystkie zalety podpisu tradycyjnego bez
> wprowadzania wad.

To zdanie jest oczywiście bez sensu miało być:

> Co w przypadku podpisu elektronicznego będzie utrudnione, ale to nie
> oznacza że eliminuje on wszystkie wady podpisu tradycyjnego bez
> wprowadzania nowych wad.

do góry

Dnia Sat, 26 Mar 2016 07:08:43 +0100, Liwiusz napisał(a):

> W dniu 2016-03-25 o 22:16, Sebastian Biały pisze:
>> Koledze dostało się po łbie kilkanascie tysięcy rachunków za kilka telefonów
>
> Ściemniasz, to niemożliwe.

Obstawiam pośpiech piszącego, kilkanascie tysięcy *złotych z* rachunków
za kilka telefonów.

Co uważam za jak najbardziej możliwe ;/
--
Imka

do góry

On 2016-03-26 02:46, Rafal Jankowski wrote:
> Prosiłem żebyś opisał pełny model wdrożenia takiego oraz użycia tokena
> przez bank (co kto komu wysyła, co i w jaki sposób podpisuje itd.). Nie
> zrobiłeś tego.

Ale nie przedstawiłeś oferty finansowej dla *PEŁNEGO* modelu.

> No ale nie chodzi o to co mogą teraz tylko co będą mogły jak się
> wprowadzi sensowne rozwiązanie.

Mniej będą mogły.

> Nie wiem po co wymyśliłeś sobie, że
> klient musi ufać bankowi bo ta kwestia była w tym wątku podnoszona już
> wcześniej.

Bo ufa. To czy idiotom mozna ufac to inne kwestia. Czasem nie masz wyjścia.

> Możemy po prostu podsumować, że skoro bank nie musi znać
> klucza klienta to ja miałem rację, a Ty byłeś w błędzie, czy chcesz masz
> jakąś nową teorię?

Podpisywanie dokumentów może odbywać sie na tak wiele sposobów w których
bank *NIE* moze sfałszować podpisu że aż nie wiadomo jak zacząć.

do góry

On 2016-03-26 07:08, Liwiusz wrote:
> W dniu 2016-03-25 o 22:16, Sebastian Biały pisze:
>> Koledze dostało się po łbie kilkanascie tysięcy rachunków za kilka
>> telefonów
>
> Ściemniasz, to niemożliwe.

Zgubiłem "tysięcy z rachunków". Zastanawiające jest jednak dlaczego tak
wielu ludzi tutaj nie jest w stanie się domyslić tego typu błedow. Hmmm....

do góry

On 2016-03-26 02:34, Rafal Jankowski wrote:
>> Czy ja dobrze zauważyłem że to konferencja dla studentów na temat
>> Etyki i Prawa? Ani słowa o oddziaływaniach słabych w kryształach
>> domieszkowanego krzemu w kontekście budowy zabezpieczen ukladow
>> scalonych? Może to i lepiej ze te głupie tępaki od fizyki się tam nie
>> dostały.
> A na jaką konferencję spodziewałbyś się tego typu materiałów? Z algebry?

Nie. Widzisz, ten dokument to typowy tumanistyczny wpierd. Wydaje nam
się że cos tam bo mocno wierzymy w cośtam, a tu macie kilka
bezuzytecznych punktów i konferencja zaliczona. od razu powiem że bylem
na niezliczonej ilości konferencji naukowych - technicznych. Ten
materiał został by odrzucony z adnotacja WTF? Bo to nie sa argumenty
*TECHNICZNE*.

> Chciałeś jakikolwiek techniczny argument na korzyść podpisu ręcznego to
> dostałeś ich nawet kilka.

*ANI* jednego technicznego ktory pozwala twierdzić że jest to lepsze w
sensie ogólnym. Za to pelno tumanistycznych.

> Zresztą skomentowałeś te które były dla Ciebie
> wygodne a ten który był mniej wygodny pominąłeś i wszystkie te których
> nie zacytowałem też pominąłeś.

Bo to tumanistyczne bzdury nie na temat z przed 20 lat.

> Zresztą to nieważne, nie oczekiwałem że
> będziesz wszystkie komentować, ale miałem nadzieję, że w swoim
> zaślepieniu dostrzeżesz ich sens.

Zaślepieniu :D Dawaj dalej !

> Odnoszę wrażenie że Ty masz wrażenie,
> że wszyscy tu są orędownikami dawnej PO czy współczesnego PISu i nie
> wyobrażają sobie życia bez weryfikacji podpisu

Zakładasz że przeciętny inzynier ma choć sladowe poważanie do polityki i
tych tepych debili którzy tam brylują? Skąd Ci u diabła nagle
przeskoczyło coś w glowie na politykę?

> Tak, tokeny/elektroniczne dowody osobiste są dobre i potrzebne
> Nie zmienia to jednak faktu, że podpis tradycyjny ma niezaprzeczalne
> zalety (tzn. takie którym chyba nikt oprócz Ciebie nie przeczy), które
> od 1997 roku się nie zdewaluowały

Gówno prawda. OD 1997 była niezliczona ilość przekrętow na podpis. Tak,
one wszystkie są do kilku tysiaków. Czyli nie ma o co walczyć z punktu
widzenia banku, to nawet nie jest jedna rata na jacht. A że jest ich
pewno kolo miliona? A kto się przejmuje, implementujmy cutting edge of
PHP security.

, a chyba jedyna rzecz która się od
> tamtego czasu *drastycznie* zmieniła to pewnie bezpieczeństwo klucza
> prywatnego w chipach, chociaż to zdecydowanie nie moja działka. Coś
> przeoczyłem?

Tak. Przeoczyleś że klucze elektroniczne sa obecnie nieporownywalnie
lepsze od kasjerow-grafologów. Publikacjami z 1997 można palić w piecu.
Z powodu że stare i z powodu że tumanistyczne.

> Problem którego Ty wydajesz się nie dostrzegać (chociaż pewnie
> dostrzegasz, ale operujesz argumentami jakbyś nie dostrzegał) to
> otoczenie prawne w jakim się znajdujemy i to, że jeśli w grę nie wchodzi
> morderstwo albo wyłudzenie na milionową skalę to
> policja/sądy/prokuratura nie zadają sobie zbytniego trudu weryfikowania
> podpisu i z automatu przyjmują dowolny bazgroł na kartce za pełnoprawny
> podpis.

Tak. Wiec zmieńmy to prawo. Jak powiedziałem całkiem go zmienić się nie
da bo łopat dla prawników zabraknie, ale choć troszeczkę?

> Co w przypadku podpisu elektronicznego będzie utrudnione, ale to
> nie oznacza że eliminuje on wszystkie zalety podpisu tradycyjnego bez
> wprowadzania wad.

Fajnie. Ciekawe dlaczego od jakiegoś czasu państwo PL promuje podpisy
elektroniczne które mozna sobie uzyskać z urzedu.

do góry