Иногда я проверяю рабочую электронную почту и вижу сообщение «Объявление об отчете: вершинная эллиптическая криптография в N-партийных бананотряховых» [1] Я смотрю на аннотацию, и там написано что-то вроде: «Хорошо известно, что пятисторонний обмен секретами был незаконным со времен протестантской Реформации [Luther1517].
Однако, используя новые результаты в области бананового коктейля с полиномиальным временем, прогнозы, показываем, сколько корреспондентов выдают себя за друзей (но являются врагами) [2] , могут отправлять друг другу до 5 ехидных шуток, устойчивых к атакам с использованием открытого текстового сообщения, выбранного Banana Shake».
Такое ощущение, что началась середина трагической, но вряд ли интересной оперы.
По какой именно причине мы только что оказались в эллиптическом мире? Кто именно этот Бананошейкер, и почему нам не наплевать, какой открытый текст он выберет? Если это потому, что он похитил наши семьи, могу ли я хотя бы обмениваться сообщениями с моими похищенными родственниками, и если да, то должны ли сообщения быть ехидными? и саркастичен? Исследователи, работающие над такого рода проблемами, напоминают мне некоторых моих друзей-триатлонистов.
Когда я сталкиваюсь с ними, я говорю: «А вот в обычной нормальной вселенной, когда они будут гоняться за тобой через озеро, потом на велосипеде, а потом по дороге, где машина не может проехать, но можно бежать в гидрокостюме? Бывает ли такое вообще в природе? А если так, то, может быть, вместо того, чтобы готовиться к такому событию, лучше было бы узнать, почему какой-то сумасшедший заставляет людей плавать, потом ездить на велосипеде, а потом бегать».
Друг обычно отвечает: «Триатлон — хорошая тренировка», а я говорю ему: «Правильно, если ты сделал несколько неправильных решений, и теперь на тебя охотится водоплавающая птица Рональд Макдональд».
Друг говорит: «С чего ты взял, что Рональд Макдональд меня преследуетЭ», а я отвечаю: «ОТКРЫТЬ ГЛАЗА, КТО ЕЩЕ МОЖЕТ БЫТЬЭ», и мой друг перестает со мной говорить о триатлоне, и у меня все в порядке.
с этим результатом.
В целом, я думаю, у исследователей безопасности проблемы с пиаром.
Охранники подобны самодовольным подросткам, слушающим готическую музыку: они полностью забиты нездоровыми и подробными монологами о вездесущих катаклизмах, которые нас окружают, но их существенно интересует практический вопрос: «что делать людям перед неминуемой смертью от вороны или от отсутствия черной тушиЭ» меньше.
Ну, например, веб-сайты — это здорово, НО НЕ НАЖИМАЙТЕ НА ЭТУ ССЫЛКУ, и на вашем телефоне может работать целая куча замечательных приложений, НО МНОГИЕ ВАШИ ПРИЛОЖЕНИЯ — ЗЛО, и если вы заказываете на Craigslist [3] Невесту из России МОЖЕТ ПРИЕЗАТЬ ЗАМЕЧАТЕЛЬНЫЙ ЧЕЛОВЕК ИЗ ФИЛИППИН, КОТОРОМУ НЕ ПОНРАВИЛОСЬ ПУТЕШЕСТВИЕ В КОРОБКЕ.
При этом непонятно, что еще делать с компьютерами, кроме как нажимать на всякие штуки, запускать приложения и заполнять пустоты в душе письмами бедным иностранцам по почте.
Если сотрудники службы безопасности правы, то единственное доказуемо безопасное занятие — это смотреть на подкову, целостность которой подтверждена кворумом Ривеста, Шамира и Адлемана.
[4] .
Однако я не в восторге от перспективы жизни в стиле Пилигрима, которая волшебным образом имеет доступ к любым двум из троицы {Ривест, Шамир, Адлеман}; главным образом потому, что если бы я был скучающим Пилигримом и имел машину времени, я бы похитил Сэмюэл Джексон или Робокоп , а не какие-то волшебники-математики из будущего, чтобы они меня дразнили своими знаниями простых чисел и финала сериала "Во все тяжкие" .
Единственным подарком, который я когда-либо хотел на Рождество, был автоматизированный метод генерации паролей, достаточно надежных, чтобы их можно было запомнить.
К сожалению, большая часть сообщества безопасности одержима авангардными ужасами, такими как тот факт, что во время солнечного затмения можно удаленно угнать кардиостимулятор с помощью подъемника гаражных ворот и банки Pringles. [5] .
Конечно, очень прискорбно, что Pringles могут проложить путь к использованию малоизвестных Сил Ситхов против тех 0,002% населения мира, у которых есть кардиостимулятор, и которые являются смертельными врагами среди любителей электроники.
Однако если есть кто-то, достаточно настойчивый, чтобы убить вас, сфокусировав электромагнитную энергию через банку Pringles, то вы, должно быть, сделали что-то, чтобы заслужить такую смерть.
Я не говорю, что желаю вам смерти, но я говорю, что вам, возможно, придется умереть, чтобы исследователи, которые в настоящее время изучают коды аутентификации фотонных хеш-сообщений (HMAC) для передатчиков кардиостимуляторов, наконец-то смогли найти время для упрощения создания хороших паролей.
.
«Но Джеймс, — возразите вы, — техник подбора паролей масса!» Да, я знаю технику «выбери яркое изображение», и если бы я жил в камере сенсорной депривации и никогда не пользовался Интернетом, я бы легко мог запомнить парольную фразу вроде «Вечеринка гигантских марсианских насекомых».
Увы, я наслаждались Интернет, а это значит, что я видел, слышал и кое-где даже платил деньги за все, что только можно себе представить.
Я видел видео «Вечеринка с гигантскими марсианскими жуками» и еще одно видео «Вечеринка с гигантскими марсианскими жуками: не говори маме», и оба видео мне очень не понравились, но это меня не остановило, и я сделал продолжение «Вечеринки гигантских марсианских жуков»: Возмездие» [6] .
Так что мне невероятно сложно придумать запоминающийся образ, который будет выделяться среди бурлящего океана нелепостей, наполняющих мою голову в результате потребления 31 часа медиаконтента за каждые 24 часа.
Трудно придумать запоминающийся образ, и чтобы жизнь не казалась медом, говорят еще чекисты, для другой нужны сайты другой пароли.
Итак, смысл в том, что я должен помнить И «Вечеринка гигантских марсианских насекомых» И «Конструктивно хрупкая сумка Йети», и как-то дополнительно мне приходится запоминать, какая из этих фраз для моего онлайн-банка, а какая для другого сайта, не имеющего никакого отношения к инопланетным насекомым или снаряжению Йети.
Это варварство, и я требую от жизни большего.
Поэтому, когда исследователи безопасности говорят, что они не работают над паролями, это все равно, как если бы физики времен Второй мировой войны говорили, что они не работали над радаром или ядерными бомбами, а вместо этого разгадывали тайны полета шмелей.
Ну, типа, ты так близко, и в то же время так далеко.
Ты почти понимаешь, но это хуже, чем не понимать вообще.
Я пытаюсь сказать, что сотрудники службы безопасности должны определить свои приоритеты.
Раздел «Модель угроз» любой статьи о безопасности напоминает сценарий теленовеллы, написанной параноидальным шизофреником: есть тщательно продуманное повествование и теории глобального заговора, есть герои и есть злодеи с фантастическими (но странно ограниченными) сверхспособностями, что неизбежно влечет за собой мучительная битва полного эмоционального и технического истощения.
В реальном мире модели угроз гораздо проще, см.
рис.
1. На пальцах вы либо имеете дело с Моссадом, либо не с Моссадом.
Если ваш оппонент не Моссад, то если вы выберете хороший пароль и не будете отвечать на письма с адреса [email protected], то, скорее всего, все будет хорошо.
А если твой враг Моссад, ТЫ УМРЕШЬ И НИЧЕГО С ЭТИМ НЕ ПОДЕЛИТЬ.
Моссад не смущает тот факт, что вы используете https. Если Моссаду нужны ваши данные, они запустят дрон и заменят ваш сотовый телефон куском урана в форме телефона, а когда вы умрете от раковой опухоли внутри опухоли, они проведут пресс-конференцию и скажут: «Это не мы», носящие футболки с надписью «? ЭТО ОПРЕДЕЛЕННО МЫ», а потом они купят все ваши вещи на распродаже недвижимости и будут смотреть оригинальные фотографии из вашего отпуска вместо того, чтобы читать скучные электронные письма об этих фотографиях.
, за https:// и пару долларов можно купить билет на автобус в никуда А еще САНТА-КЛАУС НЕ НАСТОЯЩИЙ Несчастье никогда не приходит одно.
Рисунок 1.
| Угроза | Решение |
| Бывший взломал твой почтовый ящик и опубликовал переписку с фан-клубом "Мой маленький пони" | Надежные пароли |
| Организованные преступники взломали ваш почтовый ящик и рассылают спам.
|
Надежные пароли + здравый смысл (не кликайте на спам про Виагру из лекарственных трав, это приведет к кейлоггерам и огорчению) |
| Моссад проделывает с вашей почтой всякие махинации.
|
|
Их сообщество использует множество привлекательных уловок и утешительных слов, скрывая истинную природу реальности; в этом смысле они напоминают торговцев подержанными автомобилями и девочек-скаутов (чьи «продажи печенья» являются просто подставными компаниями для якудза).
В самом начале статей о безопасности часто встречается предложение «предположим, что существует криптосистема с открытым ключом».
По задумке авторов, вы пробежите это предложение быстро и не задумываясь, как будто организация масштабируемой инфраструктуры для ключей — это проект выходного дня, ну, как если бы прибить полки в кладовке или приручить шиншиллу.
На основе этой инфраструктуры открытых ключей авторы предлагают делать всякие интересные вещи, как в «Похмелье».
[7] , например, брать хэши ключей и организовывать ключи в классные древовидные структуры, а также выяснять, какие пользователи плохие и чьи ключи можно уничтожить, отозвать или забетонировать и деактивировать.
Чтобы лучше описать менделевскую генетику ключей, авторы определяют странные, неестественные операторы над ключами; операторы, которые Левит (третья книга Ветхого Завета) и штат Алабама описывают как злые, чьи определения заставляют иметь дело с неясными, перегруженными индексами фразами, такими как «Пусть К р ₩ К т означает операцию полукаспарова чота-затыкания в двустороннем XY абв пространство, такое, что про показатель степени ляпнули, а нового ключа не создали».
Вечеринка по подписанию ключей в стиле Калигулы звучит очень весело, но на практике создание инфраструктуры открытых ключей чрезвычайно сложно.
Когда кто-то говорит: «Предположим, существует криптосистема с открытым ключом», это примерно эквивалентно высказыванию: «Предположим, можно было клонировать динозавров и заполнить парк этими динозаврами, и вы могли бы купить билет в такой «Парк Юрского периода» и прогуляйся по этому парку».
, и вас не сожрут, не порежут когтями, и никаким другим образом вы не окажетесь в состоянии квантовой запутанности с макроскопической частицей динозавра».
В случае криптографии на основе открытого ключа возникает ужасная фундаментальная проблема, настоящая задача: найти кого-то, ну, кого угодно, чтобы создать и поддерживать инфраструктуру.
Например, вы могли бы нанять для этого известную технологическую компанию, но это оскорбило бы утонченные эстетические чувства смутно марксистского, но вполне буржуазного сообщества хакеров, которые хотят, чтобы все было децентрализовано, и без всякой иронии верят, что Тор [8] на самом деле используется для чего угодно, кроме торговли наркотиками и похищений людей.
Или, другими словами, инфраструктура открытых ключей может использовать децентрализованную модель «сети доверия»; в такой архитектуре люди создают свои собственные ключи и сертифицируют ключи доверенных лиц, тем самым создавая цепочки доказательств.
«Chain of Evidence» — отличное название для хэви-метал-группы, но оно немного менее практично в реальном мире, где нет Оззи Осборна, потому что мне не нужна просто цепочка улик между мной и каким-то неизвестным, противным незнакомцем.
- Мне также нужна цепочка доказательств за каждое звено в этой цепочке .
«такие рекурсивные доказательства постепенно приводят к фракталы и безумие в стиле Г.
П.
Лавкрафт .
Кроме того, криптосистемы с сетями доверия приводят к генерации электронных писем с чрезвычайно короткими текстами (например, «Вы сегодня в кресле-качалке?!?!?!Э») и многокилобайтными вложениями ключей PGP, что дает Накладные расходы 98,5% при передаче сетевых пакетов.
Энтузиасты PGP подобны тому парню с университетским дипломом в области этнолитературы, чья подпись включает в себя несколько абзацев с 14 буддийскими цитатами о мудрости и взаимосвязи между человечеством и деревьями.
Ну типа, окей-окей, Я УЖЕ ЭТО ПОНИМАЮ.
Вы заботитесь о вещах, которые вас волнуют. А теперь, пожалуйста, оставьте меня в покое, я хочу поразмыслить о неизбежности смерти.
А ребята, которые утверждают, что можно использовать социальные сети для загрузки ключевой инфраструктуры — эти ребята даже хуже, чем друзья PGP. Увы, люди в социальных сетях — такие же тупые, кривые недотепы, которые населяют физический мир.
То есть люди из соцсетей — это те же люди, которые настраивают панели поиска, пытаются нажать на обезьянку и выиграть iPad, и не готовы уверенно отрицать, что покупка приложения для гадания за любую сумму денег, кроме нуля, — это хорошая идея.
Это не самые лучшие люди в истории человечества, но каким-то образом мне приходится вышивать этих клоунов в роскошный криптографический гобелен с поддержкой отзыва ключей и проверяемыми контрольными журналами.
Однажды я был в самолете, и мой сосед спросил меня, почему его ноутбук не включается, и я попытался нажать кнопку питания, и заметил, что кнопка залипает, и спросил, ну, почему кнопка залипает. , и он сказал: Ну, ПОТОМУ ЧТО Я ПРОЛИЛ ТАМ ЦЕЛУЮ БАНКУ СОДЫ, НО ЭТО НЕ ПРОБЛЕМА, ПРАВДА? Я не думаю, что этот парень готов выполнять криптографические операции с 2048-битными целыми числами.
Другой миф, распространяемый исследователями безопасности, утверждает, что на планете Земля есть более 6 программистов, способных правильно использовать метки безопасности и управление информационными потоками (IFC).
Это убеждение требует предположения, что, хотя в коде наиболее распространены имена переменных «вещь» и «вещь2», в тот момент, когда программисты сталкиваются с системой типов в стиле «Подземелья и драконы» (системы правил ролевой игры), которая заставляет каждую переменную аннотировать полные биографические данные, а также список уязвимостей для непроверенного пользовательского ввода [9] программисты волшебным образом становятся дисциплинированными архитекторами программного обеспечения.
Люди становятся настоящими невротиками, когда их спрашивают, хотите ли вы очень большую картошку фри всего за 50 центов, поэтому я сомневаюсь, что непонятное решеточное исчисление будет иметь большой успех среди молодежи.
Ну то есть да, я понимаю, как можно расставить метки, чтобы написать безопасную версию HelloWorld(), но как только моя программа вырастает до 10 функций, желание думать о комбинаторных потоках меток постепенно уменьшается и заменяется срочное желание РАСКРЫТЬ КЛАСС() , пойти домой и перестать беспокоиться о морально чреватых выражениях вроде «взрыва порчи», то есть «взрыва загрязнения».
[10] , которые обычно связаны с подгузной промышленностью или МЧС.
Я понимаю, что в идеальном мире я бы сортировал и перерабатывал весь мусор, жертвовал 10% своего дохода на благотворительность и охотно и охотно принимал бы когнитивные издержки, связанные с обилием защитных этикеток.
Однако прагматики понимают, что большую часть свободных денег я потрачу на комиксы и вместо того, чтобы сортировать мусор, выброшу его весь в Нью-Джерси, где он самоорганизуется в сложную Матричную симуляцию мира.
чаек; симуляция, полностью состоящая из частиц небезопасного размера для проглатывания и объектов, имеющих форму чаек, но которые не являются чайками и не реагируют на брачные ритуалы чаек, создавая новых маленьких чаек.
Это, конечно, проблема, но выявление проблем — вот что делает науку интересной, и теперь мы знаем, что нужно отправить в Нью-Джерси спецназ для нейтрализации построенного из мусора клеточного автомата, угрожающего образу жизни чаек.
Точно так же мы знаем, что исследования UIP не должны фокусироваться на том, что произойдет, если я каким-то образом использую 17 типов меток для описания 3 типов переменных.
Вместо этого UIP должен сосредоточиться на вопросе, что произойдет, если я поставлю Знак Бога на все свои переменные, чтобы моя программа скомпилировалась и я вернулся к своей любимой семье.
[Кстати, я думаю, что Знак Господень был важным сюжетным элементом шестого романа.
Дюны , но я перестал читать серию после пятой книги и семисотого репортажа, который начинался с « КТО КОНТРОЛИРУЕТ СПАЙС ,КОНТРОЛЬ (ЧТО-ТО, ЧТО НЕ СПАЙС)».
Я также хотел бы отметить, что если полицейский выписал вам штраф за превышение скорости, не говорите ему, что вы Квисац Хадерах , что вы видите будущее, недоступное для Ордена Бене Джессерит, и не видите там наказания.
Эта линия защиты рухнет в суде, но в тюрьме вся «пряность» делается из жидкости для полоскания рта и ферментированных апельсинов.
] Самое худшее в взрослении — это то, что мир становится все более ограничительным.
Ребенку кажется логичным построить космический корабль из листов, петард и садовой мебели; но когда становишься старше, понимаешь, что К.
К.
«Невероятное» перенесет вас не в космос, а в одинокое и смертоносное поле огня, службы защиты детей и неловкие интервью для местных новостей; не обязательно в таком порядке, но все они рано или поздно появятся.
Исследование безопасности — это постоянный процесс обнаружения того, что ваш космический корабль — смертельная ловушка.
Однако, как однажды сказал Джон Ф.
Кеннеди: «Мне все равно, МЫ ИДЕМ НА ЛУНУ».
Я не могу прожить всю свою жизнь в страхе, потому что некто по имени FricusMaximus продемонстрировал на DefConHat 2014, как можно удаленно вызвать аллергию на орехи, используя SMS и прядь волос жертвы.
Если это так, я принимаю это и иду дальше.
Вы можете думать о безопасности так же, как о поездке на мотоцикле: в безопасных местах не весело, а в интересных местах небезопасно.
Я пойду туда, куда требует моя душа, и найду свою гигантскую марсианскую партию насекомых, и меня, вероятно, разорвут на куски огромные криптозоологические челюсти, но я умру, как Томас Джеферсон : Свободный, неуправляемый и без охранного знака.
- Первоначально от Боджангла.
Сомнительно, что имеет в виду Джеймс.
сеть ресторанов , чемодан шарики звенят гораздо более вероятно, особенно учитывая яркие примеры современной культуры .
А вот перевод «мудзвон» не особо приличный, в отличие от оригинала; «Звенарь» просто кривоватый; но слово «банановый коктейль» сохраняет некоторый (несколько) смысл, плюс оно передает привет Стефан Банах .
ммм, бесценно.
- Заклятые враги.
- Крейгслист , общеамериканская онлайн-барахолка, типа американского Авито.
(Если быть совсем точным, Авито — это российский Craiglist.)
- Ривест, Шамир и Адлеман - это, конечно, не случайные имена, а что-то вроде Карла Маркса и Фридриха Ангелов.
(Ну то есть не муж и жена, а четыре-три разных человека, а Слава КПСС вообще не человек, ага).
- Вы думаете о Принудить банку Pringles это была шутка?!
- Первоначально «Во тьму».
Но художественный фильм Звездный путь: Введение: Тьма в российском прокате он назывался «Звездный путь: Возмездие».
- В оригинале Феррис Бьюллер .
Вы знаете, кто такой Феррис Бьюллер? Ну, я тоже.
- Tor, или по-настоящему анонимный Интернет .
Анонимность сохраняется до тех пор, пока ФБР не штурмует вашу квартиру!
- Выходные стоки.
Это примерно одни и те же места в программе.
- Взрыв порчи, речь идет об анализе порчи.
Буквально «испорченный анализ»: все ненадежные переменные (например, любой ввод пользователя) помечаются как испорченные; все переменные, полученные небезопасно, с участием и грязных.
Берём строку с именем пользователя из веб-формы, забываем проверять её на всякие спецсимволы, помещаем «грязное» значение в 3 разные переменные в 3 разных классах, каждый из которых поочередно используется в 7, 13 и 9 мест соответственно.
вот и гниловой взрыв.
-
Широкополосная Связь Хороша Для Студентов
19 Oct, 24 -
Inkscape: Ms_Meme И Праздничное Дерево
19 Oct, 24 -
Атом 2 Ггц
19 Oct, 24 -
Fjax — Это Ajax С Использованием Flash.
19 Oct, 24 -
С Кем И Против Кого Мы Будем Дружить?
19 Oct, 24
