JDEE: a na zaklade ceho si jses jist, ze to vypovida o situaci zitra? :) Resp. jak si dosel zrovna k tem 20 letum?

DANYSEK: To ze Inglora znas, neznamena, ze je to jediny clovek, ktery se v nasi firme orientuje napr. v matematice. To, ze AES je bezpecne, samozrejme znamena, ze je bezpecne nyni a nic to samozrejme nevypovida o situaci za 20 let. Podobne nebudeme pravdepodobne napadat tvrzeni o krase zeny s tim, ze za 20 let stejne krasna nebude, vid ... Neni rozumne si myslet, ze existuji nejake zasadni vedecke postupy, ktere jsou peclive utajeny. Veci vzdy visi ve vzduchu a nekdo je vylovi nepatrne drive. Kdyby AE neprisel s STR, prisel s ni bezpochyby v kratke dobe nekdo jiny - STR "visela" ve vzduchu. Neverim na nejake zazracne utajene postupy v lamani sifer ...

ADM: a ty vis na 100%, jaka je soucasna uroven poznani (celosvetove)? Ne, to nevi nikdo tady. Vis maximalne tolik, kolik je volne zdokumentovane - coz ale automaticky neimplikuje, ze nekdo nevi treba vic nez se vsude verejne uvadi (jestli tim US sifruje statni tajemstvi, tak Cinan bude peclive tutlat znalost postupu prolomeni a radeji toho zneuzije ve svuj prospech - ne vzdy je proste zajem a touha vse volne zdokumentovat, bohuzel tohle je k videni i u mnohem banalnejsich veci nez je sifrovani; vzdycky zalezi na konkretnim cloveku, jak se sobe znamou informaci nalozi - ne kazdy je 'otevreny'). I autori sms007 nejsou zrovna znami a erudovani kryptologove, jen aplikuji verejne zname algoritmy a marketing zalozili na volne dostupnych informacich; navic borcem na matematiku (kryptologii) tam bude maximalne tak Inglor :) Samozrejme nikomu nevycitam, ze si na necem zalozil byznys - naopak jim preju mnoho uspechu a chapu, ze svuj produkt vynaseji v superlativech do nebes :-) Desim se ale vytvareni dogmatu v vicemene laicke verejnosti, ze AES je superbezpecny a neprolomitelny, protoze tahle informace se zakoreni hluboko v hlavach a malokdo uz si pak po case vsimne a uvedomi, ze treba existuje problem (az se to jednou popise verejne a bude treba otazkou minut desifrovani zpravy). Situace kolem MD5 hashe je toho nadhernym dukazem, ze se nedoporucuje ji pouzivat se vi uz hoodne dlouho... a treba o DESu nas kdysi take presvedcovali, jak je bezpecny... :-)

DANYSEK: nechapu co furt resis, technologie je jedna vec, jeji pouziti druha. spravne pouziti technologie implementovane v sms007 nedava pri soucasne urovni poznani potencialnimu utocnikovi sanci. nic ovsem nebude trvat vecne (viz definitivni konec MD5.)

TEL AVIV - Imagine your company is holding secret talks to buy another firm when your main competitor suddenly snaps it up from under your nose, apparently aware of all the details of the negotiations.
Clanek v anglictine na serveru Cellular.co.za

REDTIME: Ted nevim presne o cem mluvis? Jako ze sms007 se neda vyuzit proti takovemu typu odposlechu? to urcite ne... ale snazim se tady zminit vse co se spojuje s odposlechem proto pastuju i takove clanky jako je ten posledni.

INGLOR2: uzivatel tak erudovany, ze vi jake heslo ma volit a pritom si sam neporadi s OK tlacitkem v password dialogu? To mi nejak nesedi :-) Navic paranoidni clovek neukaze ani delku hesla, usnadnuje tim pripadny utok :)

Danysek: Například si uživatelé vyplní heslo, mají ho vyplněné v textfieldu, vidět jsou jenom hvězdičky, a teď se ke mně obrátí a dotazují se "A co mám udělat dál?", načež mi obrazovku strčí před nos. Z hlediska bezpečnosti samozřejmě nedělají žádnou fatální chybu, ale délku hesla tak uvidíš snadno. Byl jsem překvapen, jak často sahalo "až za okraj", tj. třeba 16 znaků.
Kupodivu ten dotaz "A co mám udělat dál" klade každý druhý, jak kdyby tam nebylo tlačítko "OK" :-)

Dovolim si opdovedet za Inglora2.
V naproste vetsine pripadu vedi uzivatele, jak spravne volit "hesla" z nichz jsou generovany pomoci SHA-2 klice. V nekterych pripadech se jedna o nase proskoleni. Odhadoval bych to tak na 5:1 ve prospech spravne volby bez proskoleni.
Samozrejme jsme se setkali i s nazorem, ze celociselne heslo je bezpecnejsi :)

INGLOR2: jak muzes videt delku hesla, kdyz jim nekoukas pres rameno? :)
btw ale stale neodpovidas na polozenou otazku, zda jde o vliv vaseho proskoleni ci o jejich common praxi... to je u akademiku normalni? :)

Danysek: nekoukám klientům přes rameno a jejich hesla neznám, ale stačí vidět, jakou mají délku, a slyšet dotazy typu "mohu použít složené závorky, křížek, hvězdičku" etc.

INGLOR2: cimz neodpovidas na otazku... zda jde o bezprostredni vliv proskoleni... nebo o jejich obvyklou praxi... :) Ostatne, pokud rikas, ze Vasim klientum zalezi na bezpecnosti, pak me vcelku udivuje ze mate prehled o heslech klientu... prece kdyz zadavam heslo, tak nenecham nikoho koukat pres rameno :)

Danysek 18.42 a 18.06: pohybuješ se v jiném prostředí. Tví uživatelé jsou lidé, kteří bezpečnost podceňují a hesla volí blbě proto, že je v zásadě považují za nadbytečná. Naši klienti jsou lidi, kteří jsou si hodnoty své bezpečnosti vědomi natolik, že jsou ochotni za ni platit. Pak by byli sami proti sobě, kdyby si u zakoupeného programu volili špatná hesla.
Zatím jsem neviděl žádného zákazníka, který by volil špatné heslo.

JESSE_MORENO: heh mno nevim zda u tohle je nejake realne vyuziti. I kdyz mozna je to jen prvni krucek ......

MobSpy – mobilní odposlech vás nenechá spát
Autoři serveru :-)mojelogo připravili několik novinek a mezi nejzajímavější patří aplikace MobSpy určená k mobilnímu odposlechu. Článek na Mobilmanii

JDEE: kdyz spousta lidi nema tu trpelivost ani na normalni klavesnici... tak na mobilech to bude jeste horsi :)

Pamatovat si musis pouze heslo k aplikaci nikoliv klice pro sifrovani zprav (ty jsou ulozene a zasifrovany hlavnim heslem aplikace). Staci mit tedy dost trpelivosti pro zadavani jednoho hesla(aplikace) a dobre nastavit klice (ktere samozrejme stejne jako heslo aplikace muzes menit s frekvenci umernou sve paranoii :))) ).
Nedelam si samozrejme iluze o tom, ze by nase aplikace zvysila IQ jejich uzivatelu, ale ze jsme vytvorili AI jsme snad nikdy netvrdili :))))

po pravdě, nejlepší správce má být chorobný paranoik. takovej ten na psychiatra co má i speciální zámky na dvěřích :-))) a uživatelům se z principu nevěří.

JDEE: Nepodcenuju, vychazim z praxe (svoji). Mam v tomto smeru urcite osobni ne zrovna dobre zkusenosti (od armady az po male firmy; hesla ktera lidi voli na serverech [nekdy i radove tisice uzivatel v databazi]), to co bylo obcas k videni bylo otresne. Holt mas zatim pozitivnejsi zkusenosti - je otazkou, zda jde u tebe o bezprostredni vliv proskoleni (tise predpokladam, ze u placenych instalaci na vysvetlujete dulezitost hesla a zpusob jeho volby), nebo ta hesla lidi voli skutecne sami a dobrovolne (a jestli se treba po chvili sloziteho zadavani nena*erou a nezmeni si to, lidska lenost je *****).

Ze jste s Inglorem oba spise optimisti vim a je to poznat i tady... :) ja jsem holt ponekud vice paranoidni a mene optimisticky, zejmena pokud jde o bezne uzivatele ci prohlaseni vladnich organizaci USA :-) Ja bejt Krejcirem tak neverim nicemu... :)

Mozna, ze dost podcenujes pripadne uzivatele. Zatim se prodalo nejvic nejdrazsich licenci tj. licenci, ktere instalujeme a uzivatele zaskolujeme. Koutkem oka jsem zahledl volbu hesel. Nikdo nevolil hesla kratsi deseti znaku a vsichni pouzivali mala(velka) pismena, cislice a specialni znaky.
Nemyslim si, ze vyvolavame falesny pocit bezpeci. Kdyby chtel aplikaci pouzivat Bin Laden :) asi bych ho upozornil, ze v jeho pripade ji duveruji tak na 85% . V pripade Krejcire bych nasi aplikaci duveroval zcela.
Shrnuti: Krajne podcenujes uzivatele
Nikdo neni neomylny. Nic neni 100%, ale s tim je nutne se smirit.

JDEE: Nemci take nepredpokladali, ze jejich nepritel vi, jak na enigmu. A samozrejme nepritel nikde nevytruboval, ze vi, jak desifrovat (naopak se to silne tajilo). To je vec, o ktere mluvim - na jedne strane existoval pocit, ze sifra je dokonala (na pozici nemcu dosad NSA) a na druhe strane nekdo v klidu louskal (rusaci, cinani, nekdo jiny?)... kdo vi, ze nevis ty ani ja prece nic neznamena :-) Pripad enigmy se v historii mnohokrat opakoval (presvedcovani o tom, ze nejaka sifra je bezpecna... a jeji nasledne prolomeni), a to vcetne sifer doporucovanych NSA...
Vsimni si, ze nikde nerikam, ze sifrovat se nema. Jen tu vyvracim falesny pocit bezpeci, ktery se tu snazite navodit v lidech, kdyz 'NSA to prece doporucuje'. Ani NSA neni dokonala a neomylna. A udivuje mne, ze ty (profesional v oboru kryptologie) jim tak bezmezne duverujes ;-)