Mã hóa cuộc thi vàng-Security Lock: hãy cẩn thận!

Bài này là để nói về các phương pháp tiếp cận "không công bằng" tiếp thị Lock-vàng, một công ty Israel làm mã hóa thoại di động uỷ quyền của Bộ Quốc phòng Israel.

Theo một thông báo nhìn thấy trên Linkedin nhóm "An ninh Thông tin cộng đồng":

GoldLock được cung cấp US $ 100,000 và một công việc cho unencryption

GoldLock, mã hóa Israel và công ty bảo mật được cung cấp US $ 100,000 và một công việc cho bất cứ ai có khả năng để giải mã một cuộc trò chuyện di động chứa đựng bên trong một tập tin cung cấp trong trang web của họ ( https://www.gold-lock.com/app/en/? wicket: giao diện =: 8 cơm).
Sao chép phải được gửi trở lại GoldLock cho đến khi 1 tháng 2 năm 2010.
Cuộc thi dành cho tất cả và bất kỳ công cụ hay công nghệ có thể được sử dụng.
Chúc may mắn cho tất cả!

Tôi nhận xét:

Không có một đặc điểm kỹ thuật giao thức công cộng thậm chí không phải là khoa học nghiêm trọng để thực hiện một thủ thuật tiếp thị như thế này.
Tôi sẽ nói với khóa vàng, chúng ta hãy công bố mã nguồn và để cho bất cứ ai biên dịch các công cụ mã hóa nếu bạn tin tưởng không có một cái gì đó khó chịu bên trong ... ;)

Toni Koivunen từ F-an toàn cho biết:

Vì vậy, ... Họ sẽ phải trả $ 100k nếu bạn nhận được thông qua AES và rắc rối với các phím.
Nếu có ai đó kéo nó ra khỏi họ chắc chắn sẽ làm nhiều tiền hơn xe tải ở nơi khác. Thêm vào đó họ sẽ giữ lại quyền công nghệ / code mà họ tạo ra, mà không phải là trường hợp nếu họ đi cho các $ 100k kể từ khi Giấy phép khá rõ ràng nói rằng:
# Một bức thư giao cho dòng vàng, trong một hình thức thỏa đáng cho dòng vàng của công nghệ và Kế hoạch làm việc ("Công nghệ"). Chuyển nhượng dưới hình thức như vậy sẽ cho phép dòng vàng để chuyển giao các quyền về công nghệ để dòng vàng, bao gồm cả quyền đăng ký bằng sáng chế và tất cả các quyền khác.
# Một hình thức phát hành và từ bỏ, dưới các hình thức thỏa đáng để dòng vàng, được thực hiện bởi bạn và người tham gia nào khác của bất kỳ quyền công nghệ.
Cộng với tất nhiên dòng vàng vẫn giữ được quyền thay đổi các quy tắc của trò chơi với thông báo trước. Hoặc cần thông báo sau đó một trong hai.
Âm thanh công bằng :)

Michel Scovetta từ Computer Associates cho biết:

Có vẻ như mục đích của điều này là để có được một số thử nghiệm giá rẻ của nó, và có thể nói một cái gì đó giống như, "Các chuyên gia mật mã tốt nhất trên thế giới đã cố gắng để phá vỡ nó, và không thể."

Theo một số tài liệu trên trang web của Khóa Vàng, họ sử dụng ECC-256 và sửa đổi DH trao đổi khóa "(tingles Spidey giác quan của tôi), SHA-256, và sau đó XOR mã hóa dữ liệu thực tế. Họ sử dụng ngôn ngữ thực tế báng bổ như thế, "Mỗi thành phần của giải pháp doanh nghiệp Khóa Vàng được thử nghiệm và chứng minh là an toàn chống lại bất kỳ cuộc tấn công có thể tưởng tượng."

* Đã được kiểm chứng an toàn? * Bất kỳ cuộc tấn công * thể hiểu được? Yikes!

Trong một doc trên trang web của họ, họ nói chuyện về lớp đầu tiên của họ dựa vào 1024-bit RSA. GoDaddy thậm chí không cho phép các phím 1024-bit được sử dụng nữa khi tạo ra 20 giấy chứng nhận SSL. Họ trích dẫn 300 tỷ MIPS năm để phá vỡ, nhưng nếu toán học của tôi là chính xác, đi xuống đến khoảng 52 ngày trên siêu máy tính hàng đầu ngay bây giờ. Không tầm thường, nhưng điều này là một cuộc tấn công chưa có mặt trong diễn đàn, vì vậy thời gian là ở phía bên của kẻ tấn công.

Mô tả sau đó nói về các thiết bị tạo ra 16k phím khi bạn đăng ký các thiết bị. Nếu giao thức "an toàn", sau đó nó là "an toàn" chỉ với một phím duy nhất. Nếu đó là không an toàn với một phím duy nhất, sau đó tạo ra các phím 16k chỉ có thể làm cho nó 16k lần an toàn hơn, đó là xa từ một bằng chứng về an ninh.

Tôi đồng ý với Fabio - một cuộc thi công bằng sẽ là bao gồm mã nguồn và đặc điểm kỹ thuật mật mã. Ngoài ra, như các cuộc thi khác đã chứng minh (ví dụ như SecureWebMail), điểm yếu nhất không phải là thường là mật mã. Đó là tất cả những thứ khác, và nó không giống như bất kỳ của nó được tiết lộ cho cuộc thi.

http://xkcd.com/538/~~V

Mike

Tôi có thể nói rằng tất cả những cân nhắc từ các chuyên gia bảo mật từ các công ty bảo mật nổi tiếng và thành lập mang lại cho chúng tôi xem xét rằng:

  • Khóa vàng là không minh bạch về mã hóa của họ ở tất cả và họ làm việc thực hành máng xấu của tối tăm Trough an ninh (không ai biết những gì bên trong sản phẩm)
  • Khóa vàng không được chơi một trò chơi công bằng bằng cách đề xuất này cuộc thi bảo mật '
  • Khóa vàng được xác nhận của Bộ quốc phòng Israel có thể làm tăng nghi ngờ liên quan đến mối quan hệ có thể với sự thông minh ... Đọc bài Chứng nhận do Bộ Quốc phòng Israel .

Giọng nói an ninh là một vấn đề hợp lý và thiếu minh bạch và mối quan hệ chính phủ cho sự lựa chọn mã hóa thường không cung cấp bất cứ điều gì tốt ...

Hãy suy nghĩ về nó ...

Chia
by naif . Ngày 25 tháng 11 2009 naif . Mục nhập này đã được đăng trong của chiến tranh , tình báo , đánh chặn , bảo mật và được dán nhãn , , , . Đánh dấu

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *

*

Bạn có thể sử dụng các thẻ HTML và các thuộc tính: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>