Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rcq6ru$eav$1$P...@n...chmurka.ne
t...
W dniu 2020-06-20 o 15:10, Krzysztof Halasa pisze:
>>> Do AESa mają zastrzeżenie, że bazuje na jakiejś algebrze o której
>>> nie
>>> można być całkiem pewnym, czy kiedyś nie znajdzie się jakiś
>>> genialny
>>> matematyk, który rozwiąże problem ataku na algorytm od strony
>>> matematycznej.
>
>> BTW o każdym algorytmie innym niż XOR można coś takiego powiedzieć.

>Może nie powinienem mówić algebra tylko jakoś inaczej. Chodziło o to,
>że opis reguł działania jest czysto matematyczny. Nie ma tam żadnego
>udziału elementów nie opisanych matematycznie (jak S-Boxy w DES-ie).
>Jak jakiś problem jest prosto zapisany matematycznie to łatwiej
>podejrzewać, że znajdzie się jakieś matematyczne rozwiązanie, niż gdy
>pewne fragmenty działania opierają się na losowych danych (lub
>przynajmniej udających losowe). Nie umiem ogarnąć tego matematycznie,
>ale z tego, że do S-Boxów

losowosc w kwestii S-Boxow to przesada.
Nietrywialne funkcje matematyczne.

>wprowadzono jakieś poprawki, które jak się po latach okazało
>zapobiegły złamaniu DESa metodami, które były wtedy jeszcze nie znane
>kryptografii cywilnej by wynikało, że nawet takie 'losowe' wstawki
>dają się ogarniać matematycznie. A może to dotyczyło jakichś
>innych -boxów.
>Po prostu zbyt prosty opis algorytmu uznali, za jego potencjalną
>słabość.

Taki RSA wezmy - opis prosty, na razie sie trzyma, ale jak sie
znajdzie jakis genialny matematyk ... :-)

>>> Teraz pomyślałem, że to się podłącza pod
>>> USB i ono wyrzuca odpowiednie hasło tak jakby ktoś je wklepywał na
>>> klawiaturze.
>
>> Zwykle jest właśnie tak - trudno się przepisuje długie hasła.

>To co piszesz dalej, że być może jakiś plugin oznacza, że trochę
>inaczej rozumiemy swoje wypowiedzi. Dla mnie 'jakby ktoś wklepywał na
>klawiaturze' oznacza, że komputer nie potrafi (poza ustaleniem
>jakiegoś identyfikatora) rozróżnić źródła podrzucającego mu hasło od
>klawiatury marki "standardowa klawiatura USB".

I jak najbardziej ten kluczyk USB moze udawac klawiature i haslo
wpisywac niby klawiszami.

>> No ale ono nie jest jawne, nie jest po prostu zaszyfrowane. Tak jak
>> hasło na kartce w sejfie: nie jest normalnie jawne.

>Znów używamy nieco innego języka. Hasło na kartce mimo, że jest
>informacją tajną to na samej kartce jest zapisane w sposób jawny -
>jak ktoś wejdzie w jej posiadanie to już je zna.

No chyba, ze ktos sobie zapisze na kartce szyfrem - np od tylu :-)

>Dlatego jak notatnik wyśle to hasło tak jakby to była klawiatura to
>ja przesłane tak dane nazwałem jawne bo dla każdego obserwującego ten
>strumień stają się one jawne.

I tu jest raczej kwestia konstrukcji systemu operacyjnego - na ile on
umozliwia takie przechwycenie.
Skoro ma byc uniwersalny, to pewnie pozwala :-(

>> Hasła może będą lepszej
>> jakości i może nieco łatwiej będzie zrobić OTP, ale bez (jakiegoś)
>> bezpiecznego komputera nie można mówić o bezpieczeństwie.

>Wydaje mi się, że przeglądarka może chodzić na niebezpiecznym
>komputerze pod warunkiem, że mamy jakiś mały bezpieczny komputerek :)

Moglaby, pod warunkiem, ze dopelnimy zabezpieczen.
Czyli np serwer bankowy przekaze do tego komputerka komplet
informacji,
komputerek wyswietli "przelew na konto zdefiniowane nr xxxx kwota
yyy".
A ty sprawdzisz przed przepisaniem/zatwierdzeniem.

Co sie laczy z transmisja danych do tego komputerka.
I tu jest kolejny problem - niezaleznym kanalem przez GSM, przez USB,
moze QR-codem, albo np jakimis modemowymi dzwiekami z glosnika.
Czy miganiem ekranu. Kazde ma swoje wady.

Bo jak hacker moze zhackowac przegladarke czy komputer, to w nic co
widac na ekranie wierzyc nie mozesz.

No a podlaczenie do USB czesto naraza ten maly komputerek, bo otwiera
nowe mozliwosci.


J.