Skocz do zawartości

Zabezpieczenia w IoT. Czy każda komunikacja powinna być szyfrowana?


piotrva

Pomocna odpowiedź

Czytam ten ostatni wpis i sam się zastanawiam, czy warto odpisywać. Mam wrażenie @deshipu że masz ostatnio jakiś kryzys. Wczoraj dyskutując z kolegą @SOYER pokazałeś nie tylko brak znajomości podstaw biologii, ale i nieugiętą walkę o wykazanie swoich racji w miejscu gdzie ich zupełnie nie ma. Dzisiaj walczysz z kolegą @piotrva oraz ze mną odrobinę i próbujesz nam wykazać że się nic nie znamy na kryptografii, a w ten sposób tylko pokazujesz że to też nie jest Twoja mocna strona.

Skąd wiem, że się nie znasz? Bo gdybyś wiedział chociaż odrobinę o szyfrach 3DES, czy AES o których mówiliśmy, to wiedziałbyś że to szyfry blokowe. W przypadku AES blok ma wielkość 128 bitów - więc nawet wiadomości o długości 1B, będzie zakodowana jako 16B (=128b). Można oczywiście za pomocą szyfru blokowego zbudować szyfr strumieniowy, ale o tym nikt nie wspominał. W sumie nikt nawet nie powiedział jak krótkie mają być komunikaty, ani jak zbudowane. Więc założenie, że nie mają licznika, znacznika czasowego, czy CMAC-a to pewne nadużycie.

Proponuję więc samemu zabrać się do nauki zamiast zakładać że się jest jedynym ekspertem wśród motłochu z zerową wiedzą.

Edytowano przez Elvis
  • Lubię! 2
Link do komentarza
Share on other sites

Ależ drogi @Elvisie, ja wcale nie twierdzę, że sam jestem tu ekspertem, ale wręcz przeciwnie — że eksperta przy projektowaniu kryptografii potrzeba, bo inaczej wychodzą bzdury. O długości komunikatu pisał kolega @piotrva — jak chce uzyskać to z twoim AES — nie wnikam. Dużo rzeczy tu było napisane w które wolę nie wnikać, bo się niedobrze człowiekowi robi jak pomyśli, że właśnie z takim podejściem ludzie projektują te suwnice i dźwigi. A potem twierdzą, że jest super bezpiecznie, bo w końcu jest szyfrowanie!

Ja też się kolego @Elvis odwdzięczę radą, choć odpowiadanie ad hominem na ad hominem to trochę nieładnie: proponuję w dyskusjach skupiać się na temacie dyskusji, a nie na tym co kto powiedział i kto ma większego. Będzie się wówczas znacznie przyjemniej dyskutować.

@Treker widzę, czy mógłbym prosić o wydzielenie dyskusji o niezbędności szyfrowania danych z każdego czujnika temperatury do osobnego wątku?

Link do komentarza
Share on other sites

 

1 godzinę temu, deshipu napisał:

proponuję w dyskusjach skupiać się na temacie dyskusji, a nie na tym co kto powiedział

dyskusja właśnie na tym polega by skupiac się na tym co ktoś powiedział, co najmniej równie intensywnie, jak na tym co sami mówimy...

Link do komentarza
Share on other sites

Zarejestruj się lub zaloguj, aby ukryć tę reklamę.
Zarejestruj się lub zaloguj, aby ukryć tę reklamę.

jlcpcb.jpg

jlcpcb.jpg

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

Zatem może skupmy się na tym jakie są fakty, a nie na tym kto o nich wspomniał i czy przy tym źle przetłumaczył jedno słowo, które nie ma i tak wpływu na te fakty.

Teza, do której próbuję tutaj przekonać to: Szyfrowanie wszystkiego bez zrozumienia co się robi nie zwiększa bezpieczeństwa systemu, a wręcz zmniejsza je, wprowadzając fałszywe poczucie bezpieczeństwa, dodatkowe koszty i dodatkowe słabe punkty. Zrobienie szyfrowania porządnie wymaga specjalistycznej wiedzy i przez to jest kosztowne — nie wystarczy po prostu wpisać "import security" i będzie wszystko dobrze.

Link do komentarza
Share on other sites

4 godziny temu, deshipu napisał:

proponuję w dyskusjach skupiać się na temacie dyskusji, a nie na tym co kto powiedział i kto ma większego.

Ty chyba jednak masz jakiś problem. I to niezwiązany z tematem dyskusji.

Link do komentarza
Share on other sites

Rozumiem, że wkradły się tutaj pewne emocje, które mogły trochę zaburzyć dyskusję, ale proszę Was... pokażmy, że w Internecie można prowadzić normalne dyskusje. Czy możemy definitywnie zakończyć ten temat i odstawić na bok wzajemne "pstryczki w nos" i skupić się na aspektach praktycznych/technicznych? 

Link do komentarza
Share on other sites

1 godzinę temu, Harnas napisał:

Nie zawsze trzeba pisać kryptografie od zera - mamy dużo wolnego kodu chociażby OpenSSL.

Nie tylko nie zawsze trzeba, ale wręcz prawie nigdy nie należy. Co nie znaczy, że nie trzeba też wiedzieć co robią te biblioteki, których się używa. Większość luk bezpieczeństwa wynika nie z błędów w algorytmie czy w kodzie biblioteki, ale z ich niezrozumienia i użycia niezgodnie z przeznaczeniem.

1 godzinę temu, Harnas napisał:

O secure element słyszałem dobre kilka lat temu gdy zaczęto to montować w smarfonach a teraz jest używany do przechowywania odcisku palca i karty płatniczej HCE i pewnie jeszcze innych rzeczy. Więc jak najbardziej jest to wykorzystywane i nie jest to jakiś bzdurny wynalazek.

Nikt nie twierdzi, że to jest bzdurny wynalazek.

1 godzinę temu, Harnas napisał:

ESP8266 za 1.1$ potrafi obsłużyć WPA2 i nawet TSL a oba te to kawał kryptografii, więc nie trzeba kosmicznie wiele aby mieć bezpieczną komunikacje.

No właśnie nie bardzo. To znaczy niby "potrafi", ale tak naprawdę nie: nie weryfikuje certyfikatów, więc równie dobrze mógłbyś tam nic nie mieć i man-in-the-middle i tak ci wszystko przeczyta.

1 godzinę temu, Harnas napisał:

Czasem wystarczy nawet najprostsza kryptografia, tak aby dzieciak zafascynowany filmem o hakerach nie mógł robić sąsiadom dowcipów w postaci zwiększonych rachunków za ogrzewanie.

A częściej właśnie źle użyta kryptografia spowoduje, że dokładnie ten sam dzieciak będzie mieć kupę frajdy robiąc ci dyskotekę w domu żarówką.

7 minut temu, Elvis napisał:

@Treker, proponuję zamknąć ten temat, to co napisał @Harnas jest dobrym podsumowaniem, a cała reszta to i tak gówno-burza - która od początku była offtopem zupełnie innego tematu.

Nikt cię nie zmusza ani do czytania, ani do pisania w tym temacie. Ani, prawdę mówiąc, w żadnym innym temacie na tym forum. Nawet specjalnie poprosiłem o jego wydzielenie, żebyś nie czuł się zobowiązany.

Edytowano przez deshipu
Link do komentarza
Share on other sites

57 minut temu, deshipu napisał:

No właśnie nie bardzo. To znaczy niby "potrafi", ale tak naprawdę nie: nie weryfikuje certyfikatów, więc równie dobrze mógłbyś tam nic nie mieć i man-in-the-middle i tak ci wszystko przeczyta.

Pisałeś wcześniej że takie urządzenia muszą być 10x droższe. A nie weryfikuje bo nie ma pamięci na certyfikaty zaufanych wydawców. Możesz sobie wgrać te które potrzebujesz i sobie weryfikować. A samo WPA2 już szyfruje transmisje bezprzewodową co sprawia że atakujący żeby spoofować pakiety musiałby wpiąć się fizycznie kablem w sieć.

59 minut temu, deshipu napisał:

A częściej właśnie źle użyta kryptografia spowoduje, że dokładnie ten sam dzieciak będzie mieć kupę frajdy robiąc ci dyskotekę w domu żarówką.

Wytłumacz mi , jak słabo/źle zabezpieczone urządzenia mają częściej padać ofiarą atakujących niż takie które nie posiadają żadnych zabezpieczeń?

48 minut temu, ethanak napisał:

ilu z was wchodząc na stronę banku sprawdza, czy jest to naprawdę strona banku? bo przecież jest kłódeczka, czyli mamy szyfrowanie...

Z urządzeniami jest o tyle prościej że nie ma problemu żeby zmusić je aby przy każdym nawiązaniu połączenia sprawdzały certyfikat.

Link do komentarza
Share on other sites

Jeszcze raz proszę o brak zaczepek skierowanych do konkretnych osób to nigdy nie prowadzi do załagodzenia "konfliktu". Proponuję pozostać przy "walce" na merytoryczne argumenty 😉 Pamiętajcie, że na forum udziela się ułamek osób, reszta tylko czyta Wasze wiadomości. Takie zaczepki nie zachęcają nowych osób do udziału w dyskusji, a chyba o to nam wszystkim powinno chodzić (aby w tego typu tematach swoją opinię wypowiedziało możliwe dużo osób).

  • Lubię! 1
Link do komentarza
Share on other sites

Dołącz do dyskusji, napisz odpowiedź!

Jeśli masz już konto to zaloguj się teraz, aby opublikować wiadomość jako Ty. Możesz też napisać teraz i zarejestrować się później.
Uwaga: wgrywanie zdjęć i załączników dostępne jest po zalogowaniu!

Anonim
Dołącz do dyskusji! Kliknij i zacznij pisać...

×   Wklejony jako tekst z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.

×
×
  • Utwórz nowe...

Ważne informacje

Ta strona używa ciasteczek (cookies), dzięki którym może działać lepiej. Więcej na ten temat znajdziesz w Polityce Prywatności.