šifrování

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod JirkaVejrazka 18. 12. 2011 12:16

Srozumitelne to je, bohuzel je to uplne spatne :(

Symetricka sifra neznamena, ze existuji dva symetricke klice - verejny a privatni. Symetricka sifra znamena, ze existuje jeden klic ktery slouzi k sifrovani i desifrovani.

Zbytek prispevku od uzivatele pospa je kompletne zmateny a naprosto neodpovida realite :(
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod mungo 18. 12. 2011 19:08

soban píše:...Nejlepší je fakt používat nějakého klienta, třeba http://thunderbird.mozilla.cz/ a pro šifrování existuje rozšíření Enigmail které se o šifrování postará s gpg ( http://cs.wikipedia.org/wiki/GNU_Privacy_Guard) a pod...Veřejný klíč pak můžeš dát na http://www.gpg.cz/

Aleš Janda píše:... Kromě toho jsou v šifrování dále problémy. Např. v klientu často nelze říci: tuto zprávu dešifruj a nech ji dešifrovanou. Veřejný klíč (a heslo k němu) tak budeš muset držet na věky věků....

Dovolím si přidat pár poznámek k předřečníkům:
Jako nejpoužitelnější PC klient se mi jeví Sylpheed, který je multiplatformní (funguje pod Linuxem a s GTK i pod Windows - zkoušeno na XP i WIndows 7), nativně podporuje GNU-PG a má mnoho jazykových lokalizací , včetně české.
Odkaz na Sylpheed je zde
Pro uschování veřejného klíče a přístup k veřejným klíčům ostatních účastníků existuje výborná stránka PGP Global Directory. Na stránkách lze i vyhledávat podle emailu nebo jména.
Pokud zde klíč uložíte, požádá vás o ověření zpětným emailem. Pokud uložíte klíč s neomezenou platností, dotazuje se server na jeho další funkčnost po určitém období (typicky půl roku) a pokud není potvrzena, vymaže jej ze své databáze.
PGP Global Directory hledejte zde
Veřejný klíč sice bude nelze zrušit - jak bylo řečeno výše, bude někde uložen na věky věkův, ale můžete jej zneplatnit (revokovat).
mungo
Junior
Uživatelský avatar

Odeslat příspěvekod Miroslav Pragl 18. 12. 2011 21:07

K sifrovani se pouziva NAHODNE GENEROVANY SIFROVACI KLIC. Ten vygeneruje klient, zasifruje jej verejnym klicem serveru a posle serveru ktery si jej rozsifruje. Nyni maji klient i server k dispozici sifrovaci klic a mohou vesele SYMETRICKY sifrovat.

Tolik ve 3 vetach, snazil jsem se aby to bylo jednoduche a srozumitelne spise nez uplne pravdive ale slozite ;-)

MP
Miroslav Pragl
Expert
Uživatelský avatar

Odeslat příspěvekod Nargon 18. 12. 2011 21:27

Co se jeste tyce toho nahodne generovaneho sifrovaciho klice, tak existuje DH algoritmus: http://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange
Ten umoznuje vygenerovat stejny sifrovaci klic u klienta a na serveru (a nebo i u vetsiho mnozstvi ucastniku) aniz by se ten klic mezi nimi posilal. Je to jednoduchy algoritmus na vygenerovani nahodneho klice (a soucasne jeho rozeslani mezi klienty). Jeho nevyhodou je ze nijak neoveruje s kym si ten klic vytvarim. Pokud je to nutne tak se certifikatum asi nevyhnete.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod PetrGa 20. 12. 2011 23:03

Jasně, rozumím. Děkuji vám všem za objastnění. Docela se v tom už začínám orientovat.
Chci to trochu začít zpopularizovávat to šifrování :) Posílám si mejly možná s 5ti lidma. Takže nebude problém je to naučit. Sice budu potřebovat klienta na to, ale je to daň za nešmírování. Nemám v plánu dělat nějakou ilegální činnost. Ale nechci prostě, aby si někdo někde uchovával mou komunikaci. Sem tam člověk něco zkritizuje a třeba za 30let mu to někdo od policie omlátí o hlavu....

Mé dosavadní poznatky
Skype: Nedůvěryhodný. Šifrovaná komunikace ochrání před běžnými odposlechy, ale policie zřejmě může rozumět

ICQ: bez šifrování-jak korespondenční listek. S pluginem otr nemá nikdo šanci rozluštit, o čem si píšu. Policie i náhodný útočník může zjistit s kym si píšu(ale neví o čem)

Mejl: bez šifry, ukládán na X let. Přes klienta lze tak zašifrovat, že ani policie a ani náhodný odposlech nemůže rozluštit.

Kdesi jsem četl, že lze nějakým šikovným trikem odchytit logovací údaje. Hesla a Uživatele. A tyto že jsou přenášeny i v HTTPS nešifrovaně. Je tomu tak? Nebo to je nějaký blaf? Nebo jsem špatně porozuměl?
Na net-bankovnictví používám takovou "kalkulačku", do které vsunu kartu a zadám pin. Mohu tomu rozumět tak, že je to na způsob veřejného a neveřejného klíče(PIN)?
A lze vůbec nějakým způsobem zabránit, aby se na navštívených stránkách uchovával můj "otisk prohlížeče"? Našel jsem si jakousi síť Tor, která přeposílává požadavky přes několik PC po světě. Máte někdo nějaké info, že by se tomu měl člověk raději vyhnout?

A vůbec. Máte typa na nějaký web, kde by se daly vyhledat podrobné informace z této oblasti zabránění šmírování na síti?

Ještě jednou děkuji
PetrGa
Junior

Odeslat příspěvekod JirkaVejrazka 20. 12. 2011 23:51

Skype ma jedno z nejbrutalnejsich zabezpeceni, k jakemu se bezny uzivatel PC muze dostat. Spekulace o tom, kdo ho muze rozlustit, jsou jenom spekulacemi.

Sifrovani se da prolomit dvema zakladnimi metodami - napadenim koncoveho bodu (malware na tvem PC ktere hlida co se kde deje jeste pred tim, nez jsou data zasifrovana), nebo metodou hrubeho nasili - proste z tebe nekdo to heslo dostane vyhruzkou nebo nasilim (tyka se dat u kterych opravdu stoji za to je chranit, u beznych uzivatelskych dat vcetne pristupu do bankovnictvi to v podstate nepripada v uvahu). Tolik k otazce "chytreho" odchyceni jmena a hesla. Ze by neco bylo prenasene v HTTPS nesifrovane je v principu nesmysl (s vyjimkou verejneho klice/certifikatu pri navazovani komunikace).

PIN a karta funguji (zjednodusene) na principu "jineho kanalu" - neni dulezite jak to funguje na pozadi, hlavni je ze to je fyzicky oddelene od tveho PC a zadny virus se tam nemuze dostat a odchytit tvuj PIN. Ostatni technicke detaily jsou nepodstatne. Ale odpoved na tvou otazku je "ne, nejde o princip verejneho a neverejneho klice".

Co myslis "otiskem prohlizece"? Zajimava je pouze IP adresa (kterou muze odstinit Tor na ukor rychlosti) nebo libovolna proxy. Mene zajimavy je User-Agent (identifikace prohlizece a OS), ktery se da jednoduse zmenit. Pokud neplanujes atentat na hlavu statu nebo neco podobneho, schovavani IP adresy nema valny vyznam protoze se k ni dostane opravdu malokdo a data o tvem provozu jsou schovana v ohromnem mnozstvi dat o datovem provozu jinych lidi. To, ze cilovy web zna tvou adresu, jeste neznamena ze muze vypatrat tve jmeno, bydliste apod. (bez soudniho prikazu atd. atp.)

A tipy na web? Wikipedii uz jsi zacal cist. Na zaklade tvych otazek bych doporucil podrobne nastudovat jak funguje PGP / GPG (to je velmi dobre zdokumentovano uz 15 let) - to ti objasni vetsinu bezpecnostnich principu ktere bys mohl potrebovat pro pochopeni dalsich veci.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Nargon 21. 12. 2011 00:11

Bud blaf, nebo jsi spatne rozumel. Pres HTTPS je prenaseno vse sifrovane. Jen HTTP protokol je nesifrovany a jde snadno odposlechnout.
A co se tyce toho online bankovnictvi, tak mas castecne pravdu, je to neco na zpusob verejneho a neverejneho klice. Karta (dnes uz asi kazda vybavena chipem) obsahuje HW implementaci nejakeho sifrovaciho algoritmu. Banka vygeneruje nejake cislo. To se odesle do karty soucasne s tvym zadanym pinem (a pravdepodobne i castkou k zaplaceni). Z sifrovaciho algoritmu na karte vypadne nejake jine cislo. Tohle cislo je pak odeslano zpet do banky, kde se overi zda je spravne. Pokud ano, tak se platba provede.

A tomu otisku prohlizece se asi nevyhnes. Tohle je jen a jen na tom webu zda ty informace bude uchovavat nebo ne.
A Tor je sikovna vec, ale imho nic nevyresi. Tor opravdu posila data pres nekolik pocitacu a data jsou sifrovana, takze mezi tebou a tim "poslednim" pocitacem je vse sifrovane. Ale na tom poslednim pc jsou data kompletne desifrovana a odeslana na server stejnym zpusobem jakym by to odesilal tvuj pc kdyby jsi nebyl na TOR siti. Jediny vyznam by to melo, kdyby i ten server byl na tor siti. Jedine co to vyresi je ze server nebude znat ip adresu tveho pc, ale bude znat ip adresu toho "posledniho" pc v tor siti. Ovsem ostatni informace o tvem prohlizeci se stejne odeslou, protoze jsou soucasti http pozadavku co je odesilan na server. A navic diky te komunikaci pres dalsi pc bude rychlost takova jako toho nejpomalejsiho clanku, takze urcite dost nizka.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod PetrGa 1. 1. 2012 23:11

jasně. děkuji

Mám tady logický oříšek. Pokud si někdo ve FF ukládá hesla a jména k různým stránkám, tak má také možnost Použít Hlavní Heslo.Toto když se zapomene, je možné ho resetovat, ale tím pádem dojde ke smazání hesel a jmen, které tyto Hlavní Heslo chránilo. To je mi jasné.

Co když ale dotyčný používá třeba Xmarks? Tedy přídavek do FF, který ukládá hesla a jména na jejich server? Když resetuji Hlavní Heslo ve FF, obsah se smaže.Nastavím nové heslo(ale to není ani třeba). Pak zesinchronizuji Xmarks s FF a mám jak Hlavní Heslo, tak všechny hesla které měl FF předtím uloženy. Udělal jsem někde v úvaze chybu? Pokud ne, je to závažný bezpečnostní problém :(
Pokud někdo používá ukládání hesel v pc a má i zaškrtnutí "pamatovat si přihlášení" v Xmarks, má, podle mě smůlu. Je to jakoby neměl Hlavní Heslo vůbec nastaveno.

Rozhodně tímto nechci říct, že chci někomu lézt do soukromí. Na Xmarks jsem narazil nedávno náhodou a otestoval. Ale jaksi se mi to nezdá moc bezpečné...

Co tedy na to říkáte? Dá se tomu nějak předejít? Asi jedině odhlašovat Xmarks a nemít zapamatované přihlášení....
PetrGa
Junior

Odeslat příspěvekod Nargon 2. 1. 2012 01:12

FF nepouzivam ale jestli to takhle funguje, tak ano je to bezpecnostni problem. Ale tady je asi kladen vetsi duraz na uzivatelskou privetivost nez na bezpecnost.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod JirkaVejrazka 3. 1. 2012 21:39

Proc by to mel byt bezpecnostni problem? Dela to presne to co to delat ma - master password (Hlavni Heslo) sifruje lokalni databazi hesel. Pokud ho zapomenes, neda se precist.

S pouzitim Xmarks obetujes vedome bezpecnost a ziskavas pohodli. Ztracis luxus toho, ze jsi jediny kdo zna sva hesla, ziskavas moznost pristupu ke svym datum z ruznych stroju a mist. Jak se o bezpecnost tvych hesel stara Xmarks nemas sanci zjistit - muzes si precist zdrojak toho pridavku (po kazde jeho aktualizaci!) aby ses dozvedel, co dela pro sifrovani hesel pri prenosu (zrejme pouzije HTTPS, to by bylo logicke). Ale nemas sanci zjistit, jaka je bezpecnost dat ulozenych na serveru.

Jediny zpusob, jak by to mohlo byt aspon trochu bezpecne, je odvodit sifrovaci klic pro hesla ulozena na serverech Xmarks z nejakeho tveho uzivatelskeho jmena zadaneho pri prvnim pouziti Xmarks. Nebylo by to idealni, ale aspon neco. Jelikoz Xmarks nepouzivam, nevim jestli se o to pokusili.

Mimochodem, tahle otazka je trochu akademicka - pokud nekdo ziska pristup k tvemu PC pod tvym uctem, prijdes o mnohem vic nez hesla ve FF...
JirkaVejrazka
Mírně pokročilý

Předchozí stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků