W dniu sobota, 1 grudnia 2012 20:03:49 UTC-5 użytkownik Stachu 'Dozzie' K. napisał:

> Bo że na kryptologów w przemyśle nie ma zbyt wielkiego popytu, to akurat
> wiem dość dobrze.

Mi raczej chodzi o to, ze wiekszosc debili uzywajacych SSLa czy hasha
do autentykacji nie wie ani co to jest Chain Of Trust, ani nie potrafi
zlozyc przyslowiowego 2+2. Natomiast teoria kryptografii jest mocno
zbedna, jezeli ktos sie w tym nie specjalizuje.

> > Glosowanie droga elektroniczna, wedlug dzisiejszej wiedzy, jest bardzo
> > trudnym zagadnieniem, praktycznie dzisiaj nie majacego znanego rozwiazania.
> > Bierze sie to ze specyfiki glosowania, moge dac link do pracy. Oczywiscie
> > pokazanie "dlaczego praktycznie sie nie nadaje" jest ciekawym tematem.

> Tylko wiesz, jeszcze dochodzi weryfikowalność takiego głosowania (ja mam
> móc policzyć na palcach, że mój głos został prawidłowo policzony). Ale
> sam widzisz, że temat zaawansowany teoretycznie.

Jest tez prymitywniejszy aspekt calej sprawy, odwieczny zreszta: jak
udowodnic, ze dana osoba moze z jednej strony sprawdzic swoj glos,
a z drugiej nie zmienic zdania po fakcie, gdy przegladarka, telefon
i inne narzedzia moga zyc wlasnym hackerskim zyciem, lub tez dana osoba
moze twierdzic, ze ktos zhackowal mi przegladarke, glosowanie niewazne.
A hackowac mozna masowo, wplywajac na glosowanie.

Wbrew intuicji, jest tu pare roznic pomiedzy glosowaniem a przelewami
bankowymi, umowami czy skladaniem PITa, zupelnie poza kryptografia.

> > Podpis cyfrowy: ok, warto wiedziec co to jest. Ale to jest zastosowanie
> > wlasciwosci kryptografii, a nie budowa, zastosowan jest wiele i sama
> > kryptografia jest wymiennym elementem.
> > Kwantowa to faktycznie nowosc, nie wiem czego ucza, ale implementacyjnie
> > na razie watpliwa.

> > Off-side channels to juz nie jest kwyptografia jako taka, rozumiem ze przy
> > okazji porusza sie ogolne kwestie bezpieczenstwa cyfrowego, ale do
> > kryptografii to juz bezposrednio nie nalezy. Ogolnie mam wrazenie,
> > ze ludzie myla kryptografie z bezpieczenstwem, podczas gdy ta pierwsza
> > jest tylko jednym elementem drugiego, ze wszystkimi tego konsekwencjami
> > w teorii tego drugiego. To juz nie jest teoria kryptografii.

> Ale zdajesz sobie sprawę, że obecnie teoria tego, co ty masz za
> kryptografię, nie występuje bez teorii tego, co masz za bezpieczeństwo?
> I że pod hasłem "bezpieczeństwo komputerowe" (czy też "inżynieria
> bezpieczeństwa") rozumie się trochę inne rzeczy, gdzie bierze się za
> w miarę dobrą monetę stwierdzenie "ten kryptosystem jest bezpieczny"
> i z tego buduje już rzeczywiste produkty?

Jezeli masz namysli wymiane wiadomosci pomiedzy ambasada a szpiegiem,
to zgoda. Cywile maja system "autoentykacja tu i tu", "jakis symetryczny
tu", a dowod opiera sie na analizie _wlasciwosci ogolnych_ kryptografii
tylko w ramach analizy calosci systemu. Od zawsze same szyfry sa wymienialne
i konfigurowalne, wazne sa tylko ich ogolne wlasciwosci.

Analiza dlaczego zblizeniowki nie wymaja zazwyczaj PINu bylby przykladem
bezpieczenstwa, a nie kryptografii. W koncu ktos sie moze przejsc
z terminalem platniczym wzdluz tramwaju.

> >> > Wsrod informatykow sa rozne specjalizacje, programistyczna jest jedna z nich.
> >> > O ile sie faktycznie chce byc programista, trzeba umiec nauczyc sie nowego
> >> > jezyka w tydzien, albo sie klepie durny kodzik wg. sepcyfikacji,
> >> > gdzie inteligencji uzywa sie na lunchu do kulturalnej konwersacji.

> >> Wiesz, są dwie strategie uczenia programisty. Wynikiem jednej jest
> >> osobnik, który potrafi w tydzień się wdrożyć do nowego języka,
> >> a wynikiem drugiej jest osobnik, który już pisał rzeczy we frameworku
> >> comma-ORG 7.5.16. Obie strategie mają sens (chociaż mnie się druga nie
> >> podoba, ale przecież szeregowi klepacze kodu też są potrzebni). Trick
>
> >> polega na tym, że mój wydział nie stosuje żadnej do końca. Wynikiem jest
> >> taki ani szeregowy klepacz kodu, ani programista o szerokich
> >> horyzontach.

> > Slusznie. Tyle ze do tej drugiej uczelnia jest malo potrzebna.

> Owszem. Do drugiej strategii potrzebne są przyzwoite technika, których
> w Polsce nie ma.

Ja bylbym za bardziej selektywnym podejsciem uczelni, ale to moze tylko
moje zdanie.

--
Edek