W dniu wtorek, 22 stycznia 2013 14:24:55 UTC+1 użytkownik Stachu 'Dozzie' K. napisał:
>
>
> Dlatego, że ten ktoś wyciąga przykład tego systemu jako dowód swojej
> biegłości (?) w kryptografii czy bezpieczeństwie komputerowym w ogóle.
> Chcę zatem się dowiedzieć, na ile ten dowód jest wiarygodny, tzn. na ile
> rzeczony system został oceniony przez ludzi, o których wiadomo, że są
> kompetentni.
W zabezpieczeniach duże znaczenie, a może najważniejsze, ma ekonomia.
W razie problemów z powodu nie wykonania obowiązków ponoszą odpowiedzialność
finansową osoby którym te obowiązki powierzono. W razie jak nie zadziała
system wypełniania obowiązków, odpowiedzialność finansową ponoszę ja.
Ja się na to zgodziłem, osoby które otrzymały obowiązki się zgodziły,
odbiorca projektu na to się zgodził. Czyli od strony ekonomicznej dowód
jest w 100% wiarygodny i wszyscy są zadowoleni. Co jeszcze ważne, system może
administrować firma zewnętrzna, która nie musi ponosić odpowiedzialności
za to że ich pracownik, który ma fizyczny dostęp do komputera, okaże się
nieuczciwy i np. zabierze twardy dysk do domu.

Co do oceny przez specjalistów od zabezpieczeń to takiej w ogóle nie było,
gdyż po wycenie ( z tego co pamiętam w cenie była też odpowiedzialność
finansowa ) wszelkie oferty były absolutnie nie do przyjęcia, jak już
pisałem, ceny przewyższały cały projekt wielokrotnie.

Generalnie to dowód skuteczności nie jest zbytnio zawiły, jest wręcz
prosty, dlatego bez szczegółowej wiedzy z dziedziny, uznałem go za
poprawny. Niemniej zawsze jest taka możliwość, że mogę się mylić - no
ale to oczywiste, taka możliwość wchodzi zawsze w grę.


> Twoje odczucie jest nieistotne, bo jesteś autorem systemu. Jak pisałem,
> nawet idiota jest w stanie stworzyć system, którego nie będzie umiał sam
> złamać. To obrona przed atakami zawodowców jest miarą skuteczności.
Zrozumiałem.
Zawodowiec prawdopodobnie (na pewno) przeprowadziłby tańszy atak (znowu
ekonomia) niż atak na te elementy systemu za które wziąłem odpowiedzialność.
Piszesz że moje odczucie jest nieistotne, tak czy inaczej, moje odczucie
właśnie jest takie, że co innego jest wąskim gardłem i w razie ataku co
innego zostanie rozwalone. Może jakaś dziura w systemie operacyjnym, może
błąd w jakimś programie nie pisanym przeze mnie, może jakaś dziura w bazie
danych, może pracownik-samobójca...

> A o szczegóły, proszę zauważyć, na razie nie prosiłem. Prosiłem jedynie
> o podanie a) jakiego rodzaju relacja łączyła autora systemu (ciebie)
> z oceniającym bezpieczeństwo tego systemu i b) jakie kompetencje miał
> oceniający, o ile to była inna osoba.
Nie było innych osób. Zrobiliśmy to tak, że możemy wziąć odpowiedzialność.
Możemy wyznaczyć założenia przy których system jest bezpieczny i zakres
czynności aby te założenia były spełnione. Jak system padnie - ja becaluję.


> > Abstrahujac od tematu, kiedys rozmaiwalem z kims kto podobnie argumentowal
> > jak Ty. Byl po studiach kierunkowych i sam wykladal na uczelniach. Opowiadal
> > jakie hasla zlamal, jakie ataki przeprowadzil, itd. Gdy poprosilem go o
> > odszyfrowanie wiadomosci zaszyfrowanej prostym algorytmem i krotkim haslem to
> > nie dal rady. Wiedzial ze wiadomosc jest kopia jednej wiadomosci na usenecie,
> > mial tylko powiedziec ktora to. Algorytm opracowalem jeszcze w szkole sredniej
> > kierujac sie tylko i wylacznie intuicja.


> OK. Czy znał algorytm szyfrowania? Ile miał czasu na przygotowania
> i prace? Jak dobrą miał motywację, żeby w ogóle się zajmować twoim
> algorytmem? I czy zostały znalezione inne słabości twojego algorytmu? Bo
> bezpieczeństwo to nie tylko niemożność odszyfrowania wiadomości przy
> nieznanym kluczu.

Nie wiem co on znał, a co nie znał. Nakreśliłem mu algorytm, a on w
zachwycie powiedział, że to się łamie jakimś tam sposobem. Tłumaczę mu,
że to jest niemożliwe, bo otrzyma wszystkie ciągi i każdy będzie równie
dobry. On na to ze bzdury gadam, bo już nie takie rzeczy łamał. No to
mu zaniosłem do złamania i nie doczekałem się rozwiązania do dziś.
Pozdrawiam