abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 10:55 | IT novinky

Josef Průša představil novou 3D tiskárnu Original Prusa MINI. Její cena je 9 990 Kč a tisknout lze na ní objekty do velikosti 18 × 18 × 18 cm.

Ladislav Hagara | Komentářů: 26
12.10. 13:11 | Nová verze

Byla vydána nová stabilní verze 3.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu. Projekt lze podpořit na Patreonu. Aktuálně má přislíbeno 5 697 dolarů měsíčně.

Ladislav Hagara | Komentářů: 1
12.10. 12:22 | Komunita

Larry Wall odsouhlasil přejmenování programovacího jazyka Perl 6 (Wikipedie) na Raku. Více viz Issue #81 a Pull request #89.

Ladislav Hagara | Komentářů: 8
11.10. 23:33 | Nová verze

Byla vydána nová major verze 2.0 open source systému pro filtrování nevyžádané pošty Rspamd (GitHub, ChangeLog). S novou verzí bylo změněno označování verzí z major.minor.patch na major.minor.

Ladislav Hagara | Komentářů: 0
11.10. 14:11 | Zajímavý článek

Fakultu informatiky Masarykovy univerzity navštívili v rámci Týdne s držiteli Turingovy ceny profesoři Donald Ervin Knuth a Dana Stewart Scott. Zveřejněn byl videozáznam z úterních Otázek a odpovědi s Donaldem Knuthem: Umění programování.

Ladislav Hagara | Komentářů: 6
11.10. 05:55 | Nová verze

Siteshwar Vashisht oznámil vydání KornShellu (Wikipedie) ve verzi 2020. Jedná se o novou stabilní verzi vydanou po více než šesti letech. Zdrojové kódy a changelog jsou k dispozici na GitHubu. Siteshwar Vashisht přednášel letos o KornShellu na konferencích FOSDEM 2019 a All Systems Go! 2019.

Ladislav Hagara | Komentářů: 1
11.10. 04:44 | Komunita

Na zítra – 12. října – připadá letošní Mezinárodní den proti DRM (Wikipedie). DRM je zkratkou pro Digital Rights Management nebo Digital Restrictions Management.

Ladislav Hagara | Komentářů: 12
10.10. 08:33 | Zajímavý software

Google na svém blogu věnovaném open source představil a na GitHubu zveřejnil zdrojové kódy nástroje SchedViz pro vizualizaci plánovaní procesů (scheduling) v Linuxu.

Ladislav Hagara | Komentářů: 0
10.10. 05:55 | Nová verze

Byla vydána nová verze 1.39 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.39 bylo vydáno také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 21
9.10. 22:44 | Nová verze

Byla vydána nová stabilní verze 19.09 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Loris. Přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

Ladislav Hagara | Komentářů: 0
Kdy jste naposledy viděli počítač s připojeným běžícím CRT monitorem?
 (19%)
 (4%)
 (11%)
 (39%)
 (24%)
 (2%)
Celkem 386 hlasů
 Komentářů: 22, poslední 23.9. 08:36
Rozcestník

Kauza reddit CEO, proof of work a GPG

24.11.2016 15:30 | Přečteno: 1034× | hardware | poslední úprava: 24.11.2016 15:31

Dostal som taký nápad (v súvislosti s aktuálnou kauzou na reddite keď CEO redditu upravil komentár používateľa). Pri štandardnom PGP (konkrétne časť týkajúca sa podpisovania správ) síce nie je problém vytvoriť pár kľúčov a podpísať komentár, ale to môže spraviť hocikto. Bežný počítačový nerd moc s ľudmi nekomunikuje takže vytvoriť web of trust môže byť dosť problém. Navyše u vymysleného anonymného username to ani nejde.

Napadlo ma pridať do podpisu okrem toho aj proof of work. Pri podpisovaní komentára by sa okrem samotného podpísania vyriešila nejaká úloha, každý by si mohol nastaviť žložitosť akú chce, napr. 5 minút na jeden komentár. Každý komentár by obsahoval hash predošlého takže by sa spotrebovaný výkon potrebný na sfalšovanie dalšieho komentára stále narastal. Raz za čas by ste mohli komentáru venovať pár hodín, napr. by ste nechali na noc zapnutý PC ak by ste chceli zvýšiť zložitosť hacknutia.

Zmysel by to skutočne ale asi malo len tam kde neviete použiť web of trust (napr. prezývky na diskusnom fóre).

Zaujímavý vedľajší efekt je aj v tom že ak by ste zmazali komentár alebo bol odstránený tak prijdete o zložitosť naviazanú na ten komentár, takže to môže prinútiť dodržiavať pravidlá na servri aby vám neboli vymazané nevhodné príspevky.

Priklad.

Proof of work môže vyzerať nejak takto:

#!/bin/bash
F="$1"
[ -f "$F" ] || exit 1
TEXT=`cat "$F"`
echo "TEXT='$TEXT'"
K=`echo -n "$TEXT" | sha256sum`
N=0
D=0
T1=`date +%s`
while true; do
    N=$(($N+1))
    H=`echo -n "$K $N" | sha256sum | grep $D`
    if [ "$H" != "" ]; then
        T2=`date +%s`
        T=$(($T2-$T1))
        echo "Nonce=$N Difficulty=$D SHA256   ($T sekund) Hash=$H"
        # zvysime zlozitost
        T1=`date +%s`
        D=$D"0"
    fi
    # [ "$(($N % 1000))" = "0" ] && echo $N
done

Skript spustíme takto:

./proof_of_work.sh komentar1.txt
TEXT='Tak teda nech sa ti v novej praci dari.'
Nonce=1 Zlozitost=0 (0 sekund) Hash=9600ebcd84914365a0bafdf43cb62ecbb7526b6c4bf31fd0c8adfe6d81b6ef06  -
Nonce=9 Zlozitost=00 (0 sekund) Hash=d93f046e7c0f2aa0a8a10034a5dce9db65a0e4e39d6ee223bf3af256a9323ece  -
Nonce=192 Zlozitost=000 (0 sekund) Hash=e9322c96edaac4eb7d7b000abe5e910c5f46200a19adbc016a0efb7e503d7780  -
Nonce=2345 Zlozitost=0000 (5 sekund) Hash=41cacc4908ae082a6dc1ddff69d976432c188dd166a5000064e0107382cb2ef9  -
Nonce=19191 Zlozitost=00000 (38 sekund) Hash=4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -
^C

Prvy komentár nájdete tu: https://www.abclinuxu.cz/blog/paulovo_doupe/2016/11/v-nove-praci/diskuse#165 Momentálne ma nenapadlo ako tam pridať proof of work tak som jej výsledok jednoducho truhý krát podpísal.

Proof of work overíme takto:

$ K=`echo -n "Tak teda nech sa ti v novej praci dari." | sha256sum`
$ echo -n "$K 19191" | sha256sum | grep 00000
4155b29516c9a066369f649b2300cf500000cead74e8df180e95f25e0dfa8184  -

Druhý komentár je tu: https://www.abclinuxu.cz/blog/gsnak/2016/8/jak-znova-zacat-s-jednocipakmi/diskuse#37 V jeho tele je odkaz na predošlý komentár. Môj verejný kľúč je https://www.abclinuxu.cz/lide/gsnak/gpg Celé toto demo berte len ako príklad, nijak to nerieši konce riadkov a komentáre vyzerajú hnusne, odkaz na predošlý komentár je mätúci, atď... Tiež si nie som istý či by odkaz na predošlý komentár mal byť v tele komentára alebo stačí tam kde je nonce.

Tiež som si práve uvedomil že som do druhého komentára zabudol dať nejaký hash prvého takže zložitosť druhého nechráni zložitosť prvého, toto by tam zrejme trebalo pridať.

       

Hodnocení: 67 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Fluttershy, yay! avatar 24.11.2016 17:00 Fluttershy, yay! | skóre: 85 | blog:
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Na to se ti nějaký dement z /r/The_Donald vykašle.
24.11.2016 18:01
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
+1 :-D
24.11.2016 20:43 Z
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Co zabrání zlým lidem přidávat příspěvky, jejichž kontrolní součet nesedí už v době přidání?
24.11.2016 22:13 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Urcitym resenim by mohla byt trusted 3rd party "nickname autorita", kde si zaregistrujes nickname, prilozis public key a postupne budes doplnovat odkazy na tvoje profily. Melo by platit, ze vsechny profily pouzivaji totozny nickname jako byl zaregistrovan u autority, aby bylo mozne napr. podle nicku na Redditu najit patricny profil u "nickname autority", overit si, ze ji patri nick na Redditu (podle toho, ze na nej vede link) a nasledne overit samotny podpis.

Ovladnuti nickname autority znamena, ze nekdo muze zmenit verejny klic v profilu uzivatele a nasledne doplnit odkaz na nove profily na jinych sluzbach, ktere jsou mimo dosah uzivatele, a publikovat na nich obsah pod jeho identitou. To je tedy nejslabsi misto.

Workaroundem, ktery ma ale zase jine bezpecnostni nedostatky, muze byt to, ze nickname autorita neumoznuje verejny klic zmenit. Jakmile se verejny klic zmeni, vsechny drive podepsane prispevky prestanou byt overitelne, coz identitu efektivne znici. Drive podepsane prispevky nyni bude mozne menit (pokud nekdo ziska pristup na tyto ucty), ale tak jako tak je nebude mozne overit. Zaroven, pokud nekdo jiz konkretnim profilum veril, protoze si je drive overil proti nickname autorite, a pozdeji zjisti, ze drive podepsane prispevky nyni nelze overit, tak muze upozornit, ze se deje neco nekaleho.

Pokud bychom chteli verejne klice menit, tak je potreba zachovavat historii od kdy do kdy platil ktery klic. To je dobre pro pripad leaknuti privatniho klice, ale spatne proto, ze nickname autorita muze doplnit novy klic bez vedomi/souhlasu uzivatele, aniz by tim doslo ke znehodnoceni podpisu vsech predchozich prispevku.

Neresi to bezpecnost jednotlivych uctu jako takovych. Prikladem budiz situace, kdy dojde ke zcizeni Facebook uctu a nasledne zmene Facebook ID (tedy nikoliv zmene jmena, ale ID, ktere je videt v URL profilu). Toto nove ID muze byt shodne s utocnikem nove zalozenym profilem na nickname autorite. Vsechny drive podepsane prispevky jsou nyni neoveritelne, ale to utocnik muze vyresit jejich smazanim, nebo editaci a podepsanim novym podpisem (zrovna Facebook zachovava historii editaci, ale jinde to platit nemusi).

Pisu jen rychle myslenky, koukam u toho na WCC 2016, takze je mozne, ze jeste neco prehlizim. Nevim, jak moc by to bylo uzitecne. V podstate je to podobne jako mit svoji domenu s verejnym klicem a odkazy na profily, s tim rozdilem, ze registrovat profily na nickname autoritach by bylo jednodussi nez registrovat nove domeny pro kazdou identitu.
25.11.2016 08:17 gsnak | skóre: 21 | blog: gsnak
Rozbalit Rozbalit vše Re: Kauza reddit CEO, proof of work a GPG
Napadla ma este jednoduchsia verzia, miesto kazdeho komentara proof of work robit samostatne a vyseldok davat vedla kluca. Samotne komentare uz len podpisovat.
DOGE: DE7q1kxqvoFek7UGWBWBt47QWJTRBqVNLL

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.