RTV forum PL | NewsGroups PL

Odbieranie wiadomości na mikrokontrolerze

NOWY TEMAT

elektroda NewsGroups Forum Index - Elektronika Polska - Odbieranie wiadomości na mikrokontrolerze

Goto page Previous  1, 2, 3  Next

Grzegorz Niemirowski
Guest

Wed May 22, 2019 8:52 am   



Piotr Gałka <piotr.galka_at_cutthismicromade.pl> napisał(a):
Quote:
Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
Jak się loguję do banku po SSL to:
- ja ufam, że to jest właściwa strona dzięki mojemu zaufaniu do 'strony
trzeciej' potwierdzającej certyfikat banku. Daje to duży poziom zaufania,
że po drugiej stronie jest faktycznie mój bank pod warunkiem, że ktoś mi
nie podrzucił wcześniej na komputer certyfikatu jakiejś innej trzeciej
strony tak, że mój komputer uznał go za zaufany (nie jest łatwe, ale czy
wykluczone).
- dużo gorzej jest w drugą stronę. Jedynym potwierdzeniem dla banku, że ja
to ja jest hasło.

Tak jest, ale nie musi. Bank jest przykładem powszechnym ale niemówiącym
wszystkiego. Użytkownik jak najbardziej może się logować swoim certyfikatem.
Po prostu jest to stosunkowo mało spotykane bo wymaga wydania użytkownikowi
certyfikatu z kluczem.

Quote:
Jeśli user implementujący komunikację między sobą a mikrokontrolerem jest
w stanie spotkać się w tajemnicy z tym mikrokontrolerem i wymienić się
kluczami to nie ma powodu opierać komunikacji z nim na zaufaniu do
trzeciej strony. Tak przynajmniej mi się wydaje.

Jak najbardziej.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

J.F.
Guest

Wed May 22, 2019 9:06 am   



Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:qc31va$mve$1$PiotrGalka_at_news.chmurka.net...
W dniu 2019-05-22 o 07:40, Luke pisze:
Quote:
Apropos prywatności, czy tam jest jakiś SSL?
Czy musi to lecieć po czystym http, a user musi sobie
zaimplementować
jakieś szyfrowanie?

Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
Jak się loguję do banku po SSL to:

SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
Wydaje mi sie, ze nie sprawdza.

Quote:
- ja ufam, że to jest właściwa strona dzięki mojemu zaufaniu do
'strony trzeciej' potwierdzającej certyfikat banku. Daje to duży
poziom zaufania, że po drugiej stronie jest faktycznie mój bank pod
warunkiem, że ktoś mi nie podrzucił wcześniej na komputer certyfikatu
jakiejś innej trzeciej strony tak, że mój komputer uznał go za
zaufany (nie jest łatwe, ale czy wykluczone).

A tych stron jest chyba wiecej niz trzy - tzn przegladarka, a moze juz
system ma zaszyte certyfikaty kilku organizacji, ktore moga sprawdzic
nastepne organizacje, ktore dopiero certyfikuja bank, albo kolejna
organizacje.

Quote:
- dużo gorzej jest w drugą stronę. Jedynym potwierdzeniem dla banku,
że ja to ja jest hasło.
Hasło 10 znakowe ma podobno siłę rzędu 55 bitów (występujące
korelacje

Ba - w takim Millenium sa 4 znaki plus pesel.
Przy maskowanym hasle mozesz podajesz 4-5 znakow.

Quote:
między znakami powodują, że jeden znak typowo wnosi (o ile się nie
mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
poniżej 128 bitów uważane są za słabe.

Ale czego sie obawiasz - ze ktos wykradnie z banku plik z
zaszyfrowanymi haslami i zacznie rozkodowywac ?
Czy, ze ktos zacznie sie logowac na losowe hasla ?

Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja
dostep.
I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP
ktos probuje zgadnac haslo.

Tym niemniej ... majac opanowane tysiace komputerow w terenie (jakis
wirus), mozna by probowac losowych hasel.
Tylko - jesli szansa trafienia jest np 1:100 mln, to tysiace
komputerow nie pomoga, trzeba by miliony, zeby bank sie nie
zorientowal ...
no chyba, ze haslo krotsze i mamy szanse np 1:100 tys ... w pare dni
mozna cos trafic, bez wzbudzania podejrzen.

Quote:
Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
wynika z samego SSL, czy zależy od implementacji).

Ale haslo do banku podajesz juz przez SSL.
Sama sesja SSL ma jakis klucz szyfrowania, losowy,

Quote:
W książce "Kryptografia w Praktyce" (polskie wydanie 2004)
wyczytałem, że kryptografia asymetryczna ma sens wtedy, gdy
komunikujący się ze sobą nie mogą się wcześniej ze sobą spotkać w
celu wymiany wspólnej tajemnicy a mają wspólnego kogoś komu ufają.

Jeśli user implementujący komunikację między sobą a mikrokontrolerem
jest w stanie spotkać się w tajemnicy z tym mikrokontrolerem i
wymienić się kluczami to nie ma powodu opierać komunikacji z nim na
zaufaniu do trzeciej strony. Tak przynajmniej mi się wydaje.

No i gdzies tam sa przewidziane pliki certyfikatow, rozsylane inna
droga.
Ale w wielu przypadkach dzialalnosci bankowej bedzie to nadmierne
utrudnienie.
A jak klient cos zgubi daleko od domu ?

No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
identyfikowac konkretna instalacje/telefon.
Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

J.

Piotr Gałka
Guest

Wed May 22, 2019 9:16 am   



W dniu 2019-05-22 o 10:52, Grzegorz Niemirowski pisze:
Quote:
Użytkownik jak najbardziej może się logować swoim
certyfikatem.

Myślałem, że SSL narzuca wszystko w formie jakiej się domyślam na
podstawie logowania do banku.

Mam w planie zapoznać się z SSL, tylko ta cholerna doba nie chce być
dłuższa, a wręcz mam wrażenie, że robi się coraz krótsza.
P.G.

Grzegorz Niemirowski
Guest

Wed May 22, 2019 9:18 am   



J.F. <jfox_xnospamx_at_poczta.onet.pl> napisał(a):
Quote:
SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
Wydaje mi sie, ze nie sprawdza.

Od tego jest żeby sprawdzał. Chyba, że nie rozumiem pytania Smile Serwer WWW
można skonfigurować do uwierzytelniania klienta certyfkatem.

Quote:
A tych stron jest chyba wiecej niz trzy - tzn przegladarka, a moze juz
system ma zaszyte certyfikaty kilku organizacji, ktore moga sprawdzic
nastepne organizacje, ktore dopiero certyfikuja bank, albo kolejna
organizacje.

To są narzędzia, trudno nazwać je stronami. Stroną jest CA, które wydając
certyfikat sprawdza tożsamość (dowód osobisty, dokumenty spółki. Lub też czy
po prostu jesteś właścicielem domeny. Stąd są różne poziomy certyfikatów.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

Grzegorz Niemirowski
Guest

Wed May 22, 2019 9:25 am   



Piotr Gałka <piotr.galka_at_cutthismicromade.pl> napisał(a):
Quote:
Myślałem, że SSL narzuca wszystko w formie jakiej się domyślam na
podstawie logowania do banku.

SSL zajmuje się połączeniem: poufnością, integralnością i tożsamością. Sam w
sobie zawiera mechanizmy wystarczające do zalogowania się. Jednak w praktyce
używany jest tylko do potwierdzenia tożsamości serwera banku oraz
zapewnienia poufności transmisji, użytkownik loguje się hasłem. Tak więc nie
narzuca sposobu logowania. To jest trochę zaszłość historyczna. Kiedyś
logowało się haslem i to hasło latało czystym tekstem. Czy to HTTP, czy
telnet, czy POP3 czy FTP. Zeby to ucywilizować dodano w niektórych z tych
protokołów warstwę SSL, działającą w sposob dosyć przezroczysty. Protokoły
były bez zmian, hasło było nadal, ale już sam kanał transmisyjny był
zaszyfrowany. W ten sposób powstał HTTPS, POP3S czy FTPS. Telnet miał inną
historię, został zastąpiony przez nowy protokół SSH. Posiadał on przy okazji
możliwość przesyłania plików, znaną jako SFTP, niemającą związku z FTPS.

Quote:
Mam w planie zapoznać się z SSL, tylko ta cholerna doba nie chce być
dłuższa, a wręcz mam wrażenie, że robi się coraz krótsza.
P.G.

Na pewno warto zapoznać się z tym tematem.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

Zbych
Guest

Wed May 22, 2019 9:30 am   



W dniu 22.05.2019 o 11:06, J.F. pisze:
Quote:
Użytkownik "Piotr Gałka"  napisał w wiadomości grup
dyskusyjnych:qc31va$mve$1$PiotrGalka_at_news.chmurka.net...
W dniu 2019-05-22 o 07:40, Luke pisze:
Apropos prywatności, czy tam jest jakiś SSL?
Czy musi to lecieć po czystym http, a user musi sobie zaimplementować
jakieś szyfrowanie?

Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
Jak się loguję do banku po SSL to:

SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
Wydaje mi sie, ze nie sprawdza.

Sprawdza, a oprogramowanie klienckie może zawsze powiedzieć SSLowi, żeby
zignorował niepoprawność certyfikatu (np. takiego który sam wygenerowałeś).

Piotr Gałka
Guest

Wed May 22, 2019 9:40 am   



W dniu 2019-05-22 o 11:06, J.F. pisze:
Quote:
Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
Jak się loguję do banku po SSL to:

SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
Wydaje mi sie, ze nie sprawdza.

Certyfikaty muszą być sprawdzone, ale czy to się nazywa, że robi się to
w ramach SSL czy nie to nie mam pojęcia. O SSL wiem tylko tyle że wiem
do czego mniej więcej służy. Nic więcej.

Quote:
między znakami powodują, że jeden znak typowo wnosi (o ile się nie
mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
poniżej 128 bitów uważane są za słabe.

Ale czego sie obawiasz - ze ktos wykradnie z banku plik z zaszyfrowanymi
haslami i zacznie rozkodowywac ?
Czy, ze ktos zacznie sie logowac na losowe hasla ?

Nie pisałem z myślą o konkretnych obawach tylko tak ogólnie patrząc na
bezpieczeństwo systemów.
Atak słownikowy na hasła może polegać na tym, że ktoś wybiera kolejne
hasło i próbuje się nim zalogować do tysięcy kont klientów. Potem
kolejne itd.

Quote:
Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja dostep.

Ograniczenie pasma ataku jest niezbędne gdy dopuszczone są hasła
(klucze) zbyt słabe.

Quote:
I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP ktos
probuje zgadnac haslo.

Wszystko opiera się na zaufaniu, że ktoś tam zrobił wszystko jak trzeba.
Autorzy książki o której pisałem opisywali taki przypadek (oni byli
wynajmowani między innymi do weryfikacji systemów bankowych):
Jakiś programista zrobił z hasłami jak trzeba - solił i wydłużał. Ale
uznał, że czekanie przez użytkownika (to chyba chodziło o logowanie
pracowników banku) 1s na reakcję komputera to za długo więc aby szybko
odpowiedzieć przechowywał CRC32 każdego hasła. Czyli wydłużył je o jakiś
20 bitów po czym skrócił o 32.


Quote:
Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
wynika z samego SSL, czy zależy od implementacji).


Quote:
Ale haslo do banku podajesz juz przez SSL.
Sama sesja SSL ma jakis klucz szyfrowania, losowy,

Nie wiem jak to dokładnie jest, ale nie chodzi o podsłuchanie tego hasła
w transmisji tylko o ilość wymaganej pracy atakującego przy próbie
odgadnięcia hasła.

Quote:
No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
identyfikowac konkretna instalacje/telefon.
Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

Według mnie aby rozsądnie korzystać z dostępu do banku przez komórkę to
trzeba by mieć drugą do odbierania SMS-ów z kodami jednorazowymi.
P.G.

Piotr Gałka
Guest

Wed May 22, 2019 10:54 am   



W dniu 2019-05-22 o 11:25, Grzegorz Niemirowski pisze:
Quote:

Na pewno warto zapoznać się z tym tematem.


Tylko, że przy moim podejściu do świata zapoznać się oznacza zrozumieć
każdy bit Sad i to jest mój problem. A krzywe eliptyczne mnie na razie
przerażają bo nic o nich (poza nazwą) nie wiem.

Jak potrzebowaliśmy AESy to na podstawie dokumentów NIST napisałem swoje
procedury. Mój AES ma 15 linijek w pliku .h i 120 w pliku .c (w wersji
C++ trochę dłuższe .h i krótsze .cpp) i liczy AES128 i AES256 (to jest
rozmiar tylko szyfrowania (deszyfrowania nie używamy)).

Jeśli ktoś jest zainteresowany to mogę to tu wrzucić.
P.G.

Guest

Wed May 22, 2019 3:32 pm   



W dniu środa, 22 maja 2019 04:16:16 UTC-5 użytkownik Piotr Gałka napisał:
Quote:
W dniu 2019-05-22 o 10:52, Grzegorz Niemirowski pisze:
Użytkownik jak najbardziej może się logować swoim
certyfikatem.

Myślałem, że SSL narzuca wszystko w formie jakiej się domyślam na
podstawie logowania do banku.


Tego akurat nie narzuca. Ale mozna tak to skonfigurowac aby serwer oczekiwal certyfikatu od klienta.

Quote:
Mam w planie zapoznać się z SSL, tylko ta cholerna doba nie chce być
dłuższa, a wręcz mam wrażenie, że robi się coraz krótsza.
P.G.

Zalezy jak doglebnie chcesz sie zapoznac.
Do ogarniecia podstawowych spraw weekend starczy.
Jak chcesz z poziomu kodu to moze byc trzeba dodatkowych parunastu godzin.

SW3
Guest

Thu May 23, 2019 11:32 am   



W dniu 2019-05-22 o 10:41, Piotr Gałka pisze:
Quote:
Podczas, gdy obecnie algorytmy o sile poniżej
128 bitów uważane są za słabe. Hasło powinno być wydłużane

Należy rozróżnić 2 sytuacje:
- gdy można użyć brutalnej siły, np. dopasowując kolejne hasła próbując
rozszyfrować plik (który masz) i jedynym ograniczeniem moc obliczeniowa;
tu hasła/klucze muszą być długie
- gdy się daje hasło do sprawdzenia komuś/czemuś niezależnemu, np. przy
logowaniu się gdzieś; tu raczej zawsze jest limit prób, np. pin do karty
bankowej ma kilkanaście bitów ale raczej trudno go zgadnąć w 3 próbach.

--
SW3
----
Państwo to wielka fikcja, dzięki której każdy usiłuje żyć kosztem
innych. /Bastiat

Piotr Gałka
Guest

Thu May 23, 2019 12:18 pm   



W dniu 2019-05-23 o 13:32, SW3 pisze:
Quote:
W dniu 2019-05-22 o 10:41, Piotr Gałka pisze:
Podczas, gdy obecnie algorytmy o sile poniżej 128 bitów uważane są za
słabe. Hasło powinno być wydłużane

Należy rozróżnić 2 sytuacje:
- gdy można użyć brutalnej siły, np. dopasowując kolejne hasła próbując
rozszyfrować plik (który masz) i jedynym ograniczeniem moc obliczeniowa;
tu hasła/klucze muszą być długie
- gdy się daje hasło do sprawdzenia komuś/czemuś niezależnemu, np. przy
logowaniu się gdzieś; tu raczej zawsze jest limit prób, np. pin do karty
bankowej ma kilkanaście bitów ale raczej trudno go zgadnąć w 3 próbach.


Tzw. oczywista oczywistość Smile.
Ale co jak atakującemu uda się obejść ograniczenie pasma ataku.
Przykład logowanie do sklepu - jest ograniczone bo:
- nie da się wypróbować w sekundę miliona haseł,
- program po kilku błędach może blokować konto.

Ale z takiego morele.net wykradziono plik z hasłami.
I teraz:
1. jeśli one były zapisane jawnie to jest to po prostu cyrk. W ogóle nie
brałem pod uwagę, że ktokolwiek może być tak głupi aby tak to zrobić,
ale z doniesień nie wynika czy to przypadkiem tak nie było (nie szukałem
aby znaleźć szczegóły).
2. Jeśli były zapisane po przepuszczeniu przez funkcję jednokierunkową
to atakujący ma ileś tam roboty, aby siłowo znaleźć hasło danego
użytkownika.
3. Jeśli były dodatkowo wydłużone np. o 20 bitów to atakujący ma milion
razy więcej roboty.

Pamiętam z tej książki na której się cały czas opieram mniej więcej
takie zdanie: Nie ma absolutnie żadnego uzasadnienia aby nie stosować
solenia i wydłużania haseł dlatego należy to zawsze robić. Prawie nic
nie kosztuje, a może w nieprzewidzianej sytuacji być istotnym
utrudnieniem dla atakującego (milion razy dłuższa robota to trochę
znaczy - z jednego dnia robi 2700 lat).

W związku z tym zakładałem, że wszyscy tak robią i z dość dużym
poczuciem bezpieczeństwa mogę stosować do sklepów jedno hasło.
P.G.

Zbych
Guest

Thu May 23, 2019 12:43 pm   



W dniu 23.05.2019 o 14:18, Piotr Gałka pisze:
Quote:
W dniu 2019-05-23 o 13:32, SW3 pisze:
W dniu 2019-05-22 o 10:41, Piotr Gałka pisze:
Podczas, gdy obecnie algorytmy o sile poniżej 128 bitów uważane są za
słabe. Hasło powinno być wydłużane

Należy rozróżnić 2 sytuacje:
- gdy można użyć brutalnej siły, np. dopasowując kolejne hasła
próbując rozszyfrować plik (który masz) i jedynym ograniczeniem moc
obliczeniowa; tu hasła/klucze muszą być długie
- gdy się daje hasło do sprawdzenia komuś/czemuś niezależnemu, np.
przy logowaniu się gdzieś; tu raczej zawsze jest limit prób, np. pin
do karty bankowej ma kilkanaście bitów ale raczej trudno go zgadnąć w
3 próbach.


Tzw. oczywista oczywistość Smile.
Ale co jak atakującemu uda się obejść ograniczenie pasma ataku.
Przykład logowanie do sklepu - jest ograniczone bo:
- nie da się wypróbować w sekundę miliona haseł,
- program po kilku błędach może blokować konto.

Ale z takiego morele.net wykradziono plik z hasłami.
I teraz:
1. jeśli one były zapisane jawnie to jest to po prostu cyrk. W ogóle nie
brałem pod uwagę, że ktokolwiek może być tak głupi aby tak to zrobić,

To zdarza się nawet poważnym graczom takim jak google (hasła w jawnej
postaci były w logach serwerów)

Quote:
W związku z tym zakładałem, że wszyscy tak robią i z dość dużym
poczuciem bezpieczeństwa mogę stosować do sklepów jedno hasło.

Ograniczone zaufanie do innych wydaje się bezpieczniejszym podejściem.

Dariusz Dorochowicz
Guest

Thu May 23, 2019 12:53 pm   



W dniu 2019-05-23 o 14:18, Piotr Gałka pisze:

Quote:
Ale z takiego morele.net wykradziono plik z hasłami.
....
W związku z tym zakładałem, że wszyscy tak robią i z dość dużym
poczuciem bezpieczeństwa mogę stosować do sklepów jedno hasło.

W logach serwera pocztowego kiedyś zobaczyłem próbę zalogowania do
poczty na alias z hasłem podanym w morelach. Oczywiście od razu
zmieniłem, ale próby logowania są cały czas. Na szczęście używam
aliasów, wiec mogą próbować sobie do woli. Z różnych miejsc, Rosji,
Brazylii, Wenezueli, Chin, Wietnamu... Na dodatek są próby z niewielkimi
modyfikacjami tych haseł. Ale żeby było ciekawiej to nie jest jedyny
taki przypadek z którym się spotkałem (tzn nie tylko z moreli wyciekło
hasło).

Pozdrawiam

DD

Piotr Gałka
Guest

Thu May 23, 2019 1:16 pm   



W dniu 2019-05-23 o 14:43, Zbych pisze:
Quote:
Ograniczone zaufanie do innych wydaje się bezpieczniejszym podejściem.

Nie da się żyć przy założeniu, że się nie ufa komuś kto profesjonalnie
się czymś zajmuje.
Nie dało by się wsiąść do taryfy, autobusu, czy samolotu.

Jak ktoś zajmuje się pisaniem programu na tyle poważnego, że użytkownicy
muszą mieć hasła to powinien wiedzieć jak to trzeba zrobić.

To tyle teorii. A w praktyce to widząc ile jest poprawek np. Windowsów i
często argumentowanych łataniem luk w bezpieczeństwie to już dawno
powinienem zweryfikować to moje idealistyczne założenie Smile
P.G.

Piotr Gałka
Guest

Thu May 23, 2019 1:29 pm   



W dniu 2019-05-23 o 14:53, Dariusz Dorochowicz pisze:
Quote:

W logach serwera pocztowego

Nie wiem nawet jak to zobaczyć. Raz skonfigurowałem Thunderbirda i
praktycznie do serwera nie zaglądam, a już żeby szukać logów.

Quote:
kiedyś zobaczyłem próbę zalogowania do
poczty na alias z hasłem podanym w morelach. Oczywiście od razu
zmieniłem, ale próby logowania są cały czas.

W wielu sklepach mam hasło jakie miałem w morelach. Nie chciało mi się
zmieniać. Jak się ktoś zaloguje za mnie do sklepu to chyba najwyżej coś
zamówi i będzie musiał zapłacić....

Quote:
Na szczęście używam
aliasów, wiec mogą próbować sobie do woli. Z różnych miejsc, Rosji,
Brazylii, Wenezueli, Chin, Wietnamu...

Ciekawe czy jakby w hasłach używać polskich liter to by im utrudniło bo
nie mają na klawiaturze.
Nie próbowałem. Nie wiem czy byłyby w ogóle zaakceptowane.
P.G.

Goto page Previous  1, 2, 3  Next

elektroda NewsGroups Forum Index - Elektronika Polska - Odbieranie wiadomości na mikrokontrolerze

NOWY TEMAT

Regulamin - Zasady uzytkowania Polityka prywatnosci Kontakt RTV map News map