Elektronska samoobrana

[Tor]

Tor, ajde se raspiši malo o anonimnosti, možeš i anonimno

Nema se tu puno za pisati nije to rocket science. Imaš PC, uzmeš mob, neregistriranu preepaid sim karticu, aktiviraš neku internet tarifu, mob koristiš kao modem i za šaku kuna peri deri a koliko češ dugo biti anoniman ovisi o tvojoj samokontroli

Kaj se tiče truecry., po mojem je mišljenju dovoljno jak za lokalni "industrial/political espionage", od policije ništ ne skrivam tak da nije važno, a za zlonamjerne likove iz teorija zavjere imam raspon kalibara za odgovor

IMHO TrueCrypt i slični alati su gnjavaža jer ako ih ne koristiš paranoidno nikakve koristi od njih.

[shuro]

Nema se tu puno za pisati nije to rocket science. Imaš PC, uzmeš mob, neregistriranu preepaid sim karticu, aktiviraš neku internet tarifu, mob koristiš kao modem i za šaku kuna peri deri a koliko češ dugo biti anoniman ovisi o tvojoj samokontroli

Hm, čini mi se da neidentificirani prepaid mobitel nije dovoljna garancija anonimnosti. Ipak hardver na kojem radiš ima odgovarajući potpis. Kad dodaš relativno lako odredivo područje pristupa internetu (bazne stanice), čini mi se da bi te ozbiljnija služba lako locirala i pregledom hardwera dokazala da si se ti spajao.

Istina samokontrola znači jako puno u slučaju koji si opisao, ali prava anonimnost bi nas dosta skupo koštala.

[Tor]

Hm, čini mi se da neidentificirani prepaid mobitel nije dovoljna garancija anonimnosti. Ipak hardver na kojem radiš ima odgovarajući potpis.

U stvari sasvim je dovoljna zbog dvije stvari prvo nikakva koristi od hardverskog potpisa ako ga se ne može povezati sa konkretnom osobom. I drugo, važnije, hardverski potpisi se mogu krivotvoriti.

Kad dodaš relativno lako odredivo područje pristupa internetu (bazne stanice), čini mi se da bi te ozbiljnija služba lako locirala i pregledom hardwera dokazala da si se ti spajao.

Mobilnost ti daje mogučnost da biraš kada i gdje češ se spojiti.

Istina samokontrola znači jako puno u slučaju koji si opisao, ali prava anonimnost bi nas dosta skupo koštala.

Anonimnost je "pain in the ass" i na duge staze je jako teško održiva, za anonimnost novac nije ograničavajući faktor.

[Tor]

Malo sam čitao šta je ovdje pisano i malo sam ne nužno tim redom

Pošto sam dosta potkožen u ovim pitanjima (ipak mi je to bitan dio struke) moram se malo uključiti...

Ili je ovo rečenica šala ili je šala sve što je bilo napisano ispod nje.

Ne zaboravimo da je Philip Zimmermann imao plaćeni odmor na račun države i trakavicu od više godina nakon što je predstavio prvi masovni enkripcijski alat: pgp. Na kraju su ga "oslobodili optužbi"... da, kada su našli načina da to otvore bez ključa i lozinke.

PGP shema razbijena!
E to bi bila bomba od vijesti. Ipak crack PGP sheme je još uvijek SF domena.

Lozinka kraća od 20 karaktera koja se sastoji od standardnog seta ASCII znakova (a-z, A-Z, 0-9) pada na truecryptu unutar 7 dana. Najobičnij brute-force napad uspijeva izvrtiti sve kombinacije u tom roku.

Dobar vic A sad za ozbač
Password dug 20 znakova u setu [a-zA-Z0-9] nudi preko 7e35 mogućih kombinacija. Impresivno?
Recimo da imamo takav stroj koji može pronaći password iz seta [a-zA-Z0-9] dug 10 znakova u prosjeku za 1 sec (ne zadržavati dah!). Tom stroju bi za password od 15 znakova trebalo prosječno 30 godina . A za password od 20 znakova trebalo bi mu 2.6e10 godina.
Iz istog seta znakova, 43 znaka će biti dovoljna da osiguraju maksimalnu teoretsku zaštitu po algoritmu AES-256 a stroj će naći password u prosjeku za 4.5e51 godina.
BTW starost svemir je procjenjena na cca 1.3e10 godina
Zašto nije trebalo zadržavati dah? Prvo zato jer takav stroj izuzetno teško napraviti i uz neograničen buđet (ne i nemoguće!) i drugo zato jer takav stroj nema praktičnu upotrebljivost.
Ukratko da ne duljim "brute force" metoda nije opcija kojom se dolazi do štićenih podataka.

Kada otkrijete dekripcijski ključ (vaša lozinka, a vrlo lako ga je otkriti jer truecrypt sprema tzv. hash, nereverzibilnu enkodiranu lozinku u duljini od 32 byta ili 160 byta ako se koristi RIPEMD) tako da je ono što "protivnik" mora "pogoditi" kombinacija koja stvara isti hash kao i vaša lozinka. Kada to ima, ima i vašu lozinku. Zapamtite, 7 DANA!

Time što je generiran isti hash ne znači i da je pronđen ispravan password moguće da je pronađena kolizija i to jedna od bezbroj mogućih.
Svojstvo svih poznatih hash funkcija je da za različite inpute generiraju jednake hash outpute to su tzv. kolizije za neke hash funcije je kolizije lakše naći a za neke je to nešto teže.
No to nije sve.
Kako je hash funkcija ireverzibilna tj iz outputa je nemoguće konstruirati input pronaći nema baš nikakve pomoći od toga što je hash ponuđen na pladnju.
I još najgora stvar izračunavanje hash funkcija nije nimalo procesorski manje zahtjevno od samog dekriptiranje.

Primjer dobre lozinke koju truecrypt čine neuništivim: '^q/p2?xJY1ty?hR+^Z'2.6^#iktww|A\`y_=~jMuIf33A764!tT=2lrU;fh%%<!

Ova je bespotreban overkill za TrueCrypt. Pretpostavljam da je password sastavljen od svih printabilnih znakova u tom slučaju je prvih 40 znakova je sasvim dovoljno. Nije da je lakše zapamtiti 40 zankova ali preostalih 24 TrueCrypt će ionako odbaciti.