abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:11 | Pozvánky

    Konečně se ochladilo, možná i díky tomu přestaly na chvíli padat rakety jako přezrálé hrušky, díky čemuž se na Virtuální Bastlírně dostane i na jiná, přízemnější témata. Pokud si chcete jako každý měsíc popovídat s dalšími bastlíři, techniky, vědci a profesory u virtuálního pokecu u piva, Virtuální Bastlírna je tu pro Vás.

    Ještě před ochlazením se drát na vedení V411 roztáhl o 17 metrů (přesné číslo není známé, ale drát nepřežil) a způsobil tak… více »
    bkralik | Komentářů: 0
    včera 23:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    1.8. 15:44 | Nová verze

    PixiEditor byl vydán ve verzi 2.0. Jedná se o multiplatformní univerzální all-in-one 2D grafický editor. Zvládne rastrovou i vektorovou grafiku, pixel art, k tomu animace a efekty pomocí uzlového grafu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GNU LGPL 3.0.

    Ladislav Hagara | Komentářů: 1
    1.8. 13:22 | Nová verze

    Byly představeny novinky v Raspberry Pi Connect for Organisations. Vylepšen byl protokol auditu pro lepší zabezpečení. Raspberry Pi Connect je oficiální služba Raspberry Pi pro vzdálený přístup k jednodeskovým počítačům Raspberry Pi z webového prohlížeče. Verze pro organizace je placená. Cena je 0,50 dolaru za zařízení za měsíc.

    Ladislav Hagara | Komentářů: 0
    1.8. 01:33 | Zajímavý software

    CISA (Cybersecurity and Infrastructure Security Agency) oznámila veřejnou dostupnost škálovatelné a distribuované platformy Thorium pro automatizovanou analýzu malwaru. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    31.7. 17:22 | Nová verze Ladislav Hagara | Komentářů: 0
    31.7. 16:11 | Zajímavý software

    Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia Proton Authenticator. S otevřeným zdrojovým kódem a k dispozici na všech zařízeních. Snadno a bezpečně synchronizujte a zálohujte své 2FA kódy. K používání nepotřebujete Proton Account.

    Ladislav Hagara | Komentářů: 0
    30.7. 16:22 | Zajímavý článek

    Argentinec, který byl náhodně zachycen Google Street View kamerou, jak se zcela nahý prochází po svém dvorku, vysoudil od internetového giganta odškodné. Soud uznal, že jeho soukromí bylo opravdu porušeno – Google mu má vyplatit v přepočtu asi 12 500 dolarů.

    Ladislav Hagara | Komentářů: 15
    30.7. 13:55 | IT novinky

    Eben Upton, CEO Raspberry Pi Holdings, informuje o RP2350 A4, RP2354 a nové hackerské výzvě. Nový mikrokontrolér RP2350 A4 řeší chyby, i bezpečnostní, předchozího RP2350 A2. RP2354 je varianta RP2350 s 2 MB paměti. Vyhlášena byla nová hackerská výzva. Vyhrát lze 20 000 dolarů.

    Ladislav Hagara | Komentářů: 0
    29.7. 14:44 | IT novinky

    Představen byl notebook TUXEDO InfinityBook Pro 15 Gen10 s procesorem AMD Ryzen AI 300, integrovanou grafikou AMD Radeon 800M, 15,3 palcovým displejem s rozlišením 2560x1600 pixelů. V konfiguraci si lze vybrat až 128 GB RAM. Koupit jej lze s nainstalovaným TUXEDO OS nebo Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 18
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (28%)
     (5%)
     (7%)
     (4%)
     (1%)
     (2%)
     (24%)
    Celkem 198 hlasů
     Komentářů: 21, poslední 30.7. 22:56
    Rozcestník

    Kauza reddit CEO, proof of work a GPG

    24.11.2016 15:30 | Přečteno: 1254× | hardware | poslední úprava: 24.11.2016 15:31

    Dostal som taký nápad (v súvislosti s aktuálnou kauzou na reddite keď CEO redditu upravil komentár používateľa). Pri štandardnom PGP (konkrétne časť týkajúca sa podpisovania správ) síce nie je problém vytvoriť pár kľúčov a podpísať komentár, ale to môže spraviť hocikto. Bežný počítačový nerd moc s ľudmi nekomunikuje takže vytvoriť web of trust môže byť dosť problém. Navyše u vymysleného anonymného username to ani nejde.

    Napadlo ma pridať do podpisu okrem toho aj proof of work. Pri podpisovaní komentára by sa okrem samotného podpísania vyriešila nejaká úloha, každý by si mohol nastaviť žložitosť akú chce, napr. 5 minút na jeden komentár. Každý komentár by obsahoval hash predošlého takže by sa spotrebovaný výkon potrebný na sfalšovanie dalšieho komentára stále narastal. Raz za čas by ste mohli komentáru venovať pár hodín, napr. by ste nechali na noc zapnutý PC ak by ste chceli zvýšiť zložitosť hacknutia.

    Zmysel by to skutočne ale asi malo len tam kde neviete použiť web of trust (napr. prezývky na diskusnom fóre).

    Zaujímavý vedľajší efekt je aj v tom že ak by ste zmazali komentár alebo bol odstránený tak prijdete o zložitosť naviazanú na ten komentár, takže to môže prinútiť dodržiavať pravidlá na servri aby vám neboli vymazané nevhodné príspevky.

    Priklad.

    Proof of work môže vyzerať nejak takto:

    #!/bin/bash
    F="$1"
    [ -f "$F" ] || exit 1
    TEXT=`cat "$F"`
    echo "TEXT='$TEXT'"
    K=`echo -n "$TEXT" | sha256sum`
    N=0
    D=0
    T1=`date +%s`
    while true; do
        N=$(($N+1))
        H=`echo -n "$K $N" | sha256sum | grep $D`
        if [ "$H" != "" ]; then
            T2=`date +%s`
            T=$(($T2-$T1))
            echo "Nonce=$N Difficulty=$D SHA256   ($T sekund) Hash=$H"
            # zvysime zlozitost
            T1=`date +%s`
            D=$D"0"
        fi
        # [ "$(($N % 1000))" = "0" ] && echo $N
    done
    

    Skript spustíme takto:

    ./proof_of_work.sh komentar1.txt
    TEXT='Tak teda nech sa ti v novej praci dari.'
    Nonce=1 Zlozitost=0 (0 sekund) Hash=9600ebcd84914365a0bafdf43cb62ecbb7526b6c4bf31fd0c8adfe6d81b6ef06  -
    Nonce=9 Zlozitost=00 (0 sekund) Hash=d93f046e7c0f2aa0a8a10034a5dce9db65a0e4e39d6ee223bf3af256a9323ece  -
    Nonce=192 Zlozitost=000 (0 sekund) Hash=e9322c96edaac4eb7d7b000abe5e910c5f46200a19adbc016a0efb7e503d7780  -
    Nonce=2345 Zlozitost=0000 (5 sekund) Hash=41cacc4908ae082a6dc1ddff69d976432c188dd166a5000064e0107382cb2ef9  -
    Nonce=19191 Zlozitost=00000 (38 sekund) Hash=4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -
    ^C

    Prvy komentár nájdete tu: https://www.abclinuxu.cz/blog/paulovo_doupe/2016/11/v-nove-praci/diskuse#165 Momentálne ma nenapadlo ako tam pridať proof of work tak som jej výsledok jednoducho truhý krát podpísal.

    Proof of work overíme takto:

    $ K=`echo -n "Tak teda nech sa ti v novej praci dari." | sha256sum`
    $ echo -n "$K 19191" | sha256sum | grep 00000
    4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -
    

    Druhý komentár je tu: https://www.abclinuxu.cz/blog/gsnak/2016/8/jak-znova-zacat-s-jednocipakmi/diskuse#37 V jeho tele je odkaz na predošlý komentár. Môj verejný kľúč je https://www.abclinuxu.cz/lide/gsnak/gpg Celé toto demo berte len ako príklad, nijak to nerieši konce riadkov a komentáre vyzerajú hnusne, odkaz na predošlý komentár je mätúci, atď... Tiež si nie som istý či by odkaz na predošlý komentár mal byť v tele komentára alebo stačí tam kde je nonce.

    Tiež som si práve uvedomil že som do druhého komentára zabudol dať nejaký hash prvého takže zložitosť druhého nechráni zložitosť prvého, toto by tam zrejme trebalo pridať.

           

    Hodnocení: 67 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Fluttershy, yay! avatar 24.11.2016 17:00 Fluttershy, yay! | skóre: 93 | blog:
    Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
    Na to se ti nějaký dement z /r/The_Donald vykašle.
    🇵🇸Touch grass🇺🇦 ✊ ani boha, ani pána
    24.11.2016 18:01
    Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
    +1 :-D
    24.11.2016 20:43 Z
    Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
    Co zabrání zlým lidem přidávat příspěvky, jejichž kontrolní součet nesedí už v době přidání?
    24.11.2016 22:13 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
    Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
    Urcitym resenim by mohla byt trusted 3rd party "nickname autorita", kde si zaregistrujes nickname, prilozis public key a postupne budes doplnovat odkazy na tvoje profily. Melo by platit, ze vsechny profily pouzivaji totozny nickname jako byl zaregistrovan u autority, aby bylo mozne napr. podle nicku na Redditu najit patricny profil u "nickname autority", overit si, ze ji patri nick na Redditu (podle toho, ze na nej vede link) a nasledne overit samotny podpis.

    Ovladnuti nickname autority znamena, ze nekdo muze zmenit verejny klic v profilu uzivatele a nasledne doplnit odkaz na nove profily na jinych sluzbach, ktere jsou mimo dosah uzivatele, a publikovat na nich obsah pod jeho identitou. To je tedy nejslabsi misto.

    Workaroundem, ktery ma ale zase jine bezpecnostni nedostatky, muze byt to, ze nickname autorita neumoznuje verejny klic zmenit. Jakmile se verejny klic zmeni, vsechny drive podepsane prispevky prestanou byt overitelne, coz identitu efektivne znici. Drive podepsane prispevky nyni bude mozne menit (pokud nekdo ziska pristup na tyto ucty), ale tak jako tak je nebude mozne overit. Zaroven, pokud nekdo jiz konkretnim profilum veril, protoze si je drive overil proti nickname autorite, a pozdeji zjisti, ze drive podepsane prispevky nyni nelze overit, tak muze upozornit, ze se deje neco nekaleho.

    Pokud bychom chteli verejne klice menit, tak je potreba zachovavat historii od kdy do kdy platil ktery klic. To je dobre pro pripad leaknuti privatniho klice, ale spatne proto, ze nickname autorita muze doplnit novy klic bez vedomi/souhlasu uzivatele, aniz by tim doslo ke znehodnoceni podpisu vsech predchozich prispevku.

    Neresi to bezpecnost jednotlivych uctu jako takovych. Prikladem budiz situace, kdy dojde ke zcizeni Facebook uctu a nasledne zmene Facebook ID (tedy nikoliv zmene jmena, ale ID, ktere je videt v URL profilu). Toto nove ID muze byt shodne s utocnikem nove zalozenym profilem na nickname autorite. Vsechny drive podepsane prispevky jsou nyni neoveritelne, ale to utocnik muze vyresit jejich smazanim, nebo editaci a podepsanim novym podpisem (zrovna Facebook zachovava historii editaci, ale jinde to platit nemusi).

    Pisu jen rychle myslenky, koukam u toho na WCC 2016, takze je mozne, ze jeste neco prehlizim. Nevim, jak moc by to bylo uzitecne. V podstate je to podobne jako mit svoji domenu s verejnym klicem a odkazy na profily, s tim rozdilem, ze registrovat profily na nickname autoritach by bylo jednodussi nez registrovat nove domeny pro kazdou identitu.
    25.11.2016 08:17 gsnak | skóre: 22 | blog: gsnak
    Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
    Napadla ma este jednoduchsia verzia, miesto kazdeho komentara proof of work robit samostatne a vyseldok davat vedla kluca. Samotne komentare uz len podpisovat.
    Čo Rys, to vrah!

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.