Security Professionals - ipfw add deny all from eindgebruikers to any

Onderzoeksonderwerpen

11-05-2019, 16:25 door SadMa, 34 reacties
Allen,

Binnenkort start ik met mijn eindonderzoek voor Computer Science. Ik ben op zoek naar een interessant en actueel onderwerp. Aspecten die ik interessant vind zijn onder andere:
- cyber warfare
- APT’s
- overheidsvraagstukken
- frameworks/normenkaders
- privacy
- compliancy

Zelf ben ik redelijk technisch. Ik ben dan ook op zoek naar een onderwerp die raakvlak heeft met de techniek. Ik heb al een aantal onderzoeksonderwerpen. Maar misschien dat er op deze wijze nog interessantere onderwerpen opkomen :).
Reacties (34)
11-05-2019, 17:14 door karma4
Overheidsvraagstukken in de combinatie met frameworks normenkaders lijkt me een zeer interessant onderwerp.
Als je de data science er bij neemt zie je eigenlijk iets raars, namelijk het gebrek aan computer science.
Vervolgens ontbreekt de aansluiting met frameworks en normenkaders.
Het loopt dan te rommelen in de compliancy en privacy.
11-05-2019, 17:31 door Anoniem
Door SadMa: Allen,

Binnenkort start ik met mijn eindonderzoek voor Computer Science. Ik ben op zoek naar een interessant en actueel onderwerp. Aspecten die ik interessant vind zijn onder andere:
- cyber warfare
- APT’s
- overheidsvraagstukken
- frameworks/normenkaders
- privacy
- compliancy

Zelf ben ik redelijk technisch. Ik ben dan ook op zoek naar een onderwerp die raakvlak heeft met de techniek. Ik heb al een aantal onderzoeksonderwerpen. Maar misschien dat er op deze wijze nog interessantere onderwerpen opkomen :).

Opmerking: je laatste vier aspecten hebben maar zeer summiere raakvlakken met techniek .

Als die een indicatie zijn voor de mate waarin je 'raakvlak met techniek' zoekt is het goed dat erbij te zetten.

Mijn norm voor 'technisch' zijn onderwerpen als processor bugs/interactie (rowhammer, spectre) , digital watermarking, blockchain , sidechannels ,malware analyse e.a.

Wil je hip & current - IoT . Iets meer niche - SCADA .

Mijn gut feeling zegt dat de hype van blockchain over z'n hoogtepunt is, maar je kunt er vast nog wel een afstudeeronderwerpje van maken.

Wederom hip & current - AI/Neurale Netwerken.
11-05-2019, 17:51 door karma4
Door Anoniem: Opmerking: je laatste vier aspecten hebben maar zeer summiere raakvlakken met techniek .
..
Wederom hip & current - AI/Neurale Netwerken.
Dat heet deep learning een onderdeel van AI als het om gezichtsherkenning gaat. Da is hooguit een input op een ander proces. Veel relevanter is random forest, sampling ofwel machine learning waarmee je risicoprofielen opzet.
Daar komen de laatste 4 onderwerpen juist met een sterk raakvlak in techniek naar voren.
11-05-2019, 23:08 door Anoniem
Ik moet eerst wat bewegingsvrijheid voor ik naar onderwerpen kijk.. maar als je zelf vrij kunt bewegen, ga gewoon eerst eens wat congressen af en spreek vriend en vijand.

Ik heb interesse in ongeveer een derde van wat je hierboven noemt inclusief APTs en minder met frameworks.

Ik wil ook helder kunnen denken in de cybersecurity. Anders wordt het topic maar iets met manipulatie / MO en daar is in de regel niet zo heel veel mee te verdienen behalve streetcredz maar daar krijg je weer geen kebab voor.
12-05-2019, 08:33 door karma4
https://www.kdnuggets.com/2019/05/third-wave-data-scientist.html
"The notion of (second wave) data scientists needing only “hacking skills” instead of proper software engineering has been repeatedly critizised. Lack of readability, modularity or versioning hinders collaboration, reproducibility and productionizing."
14-05-2019, 01:22 door Anoniem
Computer Science is helemaal geen technisch vak. Het is een creatief vak. Wat beter lukt als je wat technieken beheerst. Als je enkel technisch kijkt, zonder creativiteit, dan wordt het nooit wat. Andersom trouwens ook niet. Het was de creatieve geest van Turing die de code brak. Aan een kale techneut heb je niks.
14-05-2019, 02:41 door Anoniem
Wil je echt een interessant en actueel onderwerp.

Computer Science, wat voor impact heeft het op het klimaat en milieu?
15-05-2019, 07:51 door Anoniem
Hoe zou een communicatieprotocol eruit zien dat:
- even fijn werkt als gewoon e-mail
- wat niet afluisterbaar is
- waar je niet van tevoren sleutels hoeft te weten om iemand veilig iets te zenden (zoals bij s/mime of pgp)
- waar enumeratie (zoals bij signal op telefoonnummer) niet mogelijk is
- waar corporates wel inspectie kunnen doen, maar die inspectie duidelijk is dan (zoals bij TLS interceptie)
- waar phishing en spam niet anoniem mogelijk zijn (onmogelijk zal het nooit zijn, omdat verzenders altijd gecompromiteerd kunnen worden)


Als je dat neerzet help je de wereld aanzienlijk.
15-05-2019, 15:12 door Anoniem
Gemekker over privacy maar wel oogkleppen op dit forum. Echte snijpunten:

- cybernetische overheid en "Star Wars" Cyberwarfare programma's
- technologische mindcontrol en singulariteit (NSA, USAF programma's en hun intenties, en de intenties van Rusland bjiv)
- AI/ Neurale netwerken en chatterbot torture
- hypnotise / droommanipulatie d.m.v. AI/ Neurale netwerken
- robotisering van mensen (DEWs, Evil Dust, retro-reflectoren, bioresonantie frequenties)
- zoals hierboven maar dan met terugkoppeling Smartphone apps, subvocaal (eigen gedachten) of stemmen horen (V2K)
- virtualisatie van groepen mensen in clusters tegen elkaar: cybernetische oorlogsvoering
- Hacking / exposure / Profit Etc

Laat de discussie beginnnen!!!
15-05-2019, 15:36 door [Account Verwijderd] - Bijgewerkt: 15-05-2019, 15:38
Door karma4:
Door Anoniem: Opmerking: je laatste vier aspecten hebben maar zeer summiere raakvlakken met techniek .
..
Wederom hip & current - AI/Neurale Netwerken.
Dat heet deep learning een onderdeel van AI als het om gezichtsherkenning gaat. Da is hooguit een input op een ander proces. Veel relevanter is random forest, sampling ofwel machine learning waarmee je risicoprofielen opzet.

Deep learning wordt niet alleen gebruikt voor 'gezichtsherkenning'. Het kent vele toepassingen, o.a. in risk management.

https://www.finalyse.com/blog/machine-learning-in-risk-management

Door karma4: Daar komen de laatste 4 onderwerpen juist met een sterk raakvlak in techniek naar voren.

Een wellicht interessanter onderzoeksonderwerp is het automatisch herkennen - met AI - van fake news (en blaaskaken).
15-05-2019, 16:02 door Anoniem
Door Anoniem: Gemekker over privacy maar wel oogkleppen op dit forum. Echte snijpunten:

Laat de discussie beginnnen!!!

Hallo,

Cybernetische overheid IS de toekomst. Helaas worden technologien eerst voor zwarte doeleinden gebruikt en tegen ons voor ze ons zullen dienen zoals Longevity. Zo is het farmaceutische industrie vergaan en zo gaat het met alles. Exoskeletten zijn daarintegen een mooie voorbeeld op hoe de levenskwaliteit van een mens verbeterd kan worden.

Alle middelen die daarbij niet gebruikt kunnen worden voor manipulatie verdienen de aandacht in een security context. Men wil bijv. niet dat criminele of rogue groepen over middelen komen te beschikken met een akelig voordeel in een "achterliggende" (ongeinformeerde) omgeving. Persoonlijk denk ik dat Cybernetische oorlogsvoering ver buiten het militair domein reikt en hoewel primair een militair object door de mogelijkheden van megainvesteringen en technologische superioriteit, zal deze "nieuwe tak van sport" ook veel overlap hebben met civiele objecten. Denk aan creatieve burgers in de doorgaans minder kansrijke derde wereldlanden die in een nog denkbeeldige toekomst zelf participeren in cybernetica door een combinatie van FOSS, OSINT en "spontane innovaties" (de zgn. reacties op ontwikkelingen of vertaald naar een markt: het natuurlijk verloop van een vraag & aanbod markt).

Enfin, leest u zichzelf in:

https://www.technologyreview.com/s/602830/the-future-of-artificial-intelligence-and-cybernetics/

Ik heb besloten binnenkort hier meer over te gaan schrijven, niet onder een alias en voor mijn eigen onderneming.
15-05-2019, 16:20 door Anoniem
Aanvulling: Ik heb trouwens totaal niets met dat religieuze karakter op voorgaande hyperlink. Het ging om een quote, niets meer of minder. Religie (elke vorm van) is ook een vorm van manipulatie/ warfare. Er zijn interessant genoeg weinig puur atheistische/agnostische sites over Cybernetic Warfare. Misschien tijd dus dat zo'n site in het leven geroepen gaat worden :-)
15-05-2019, 18:24 door karma4 - Bijgewerkt: 15-05-2019, 18:34
Door Kapitein Haddock: ....
Deep learning wordt niet alleen gebruikt voor 'gezichtsherkenning'. Het kent vele toepassingen, o.a. in risk management.

https://www.finalyse.com/blog/machine-learning-in-risk-management

Een wellicht interessanter onderzoeksonderwerp is het automatisch herkennen - met AI - van fake news (en blaaskaken).
Je geeft een prima link over de toepassing van machine learning rond credit risk. Ofwel het terrein van risicoprofielen waarmee de financials hun klanten beoordelen.
Voldoende gelabelde gevallen voor een ML voorspelling.
Dat wat daar staat is expliciet NIET deep learning.
Het genoemde ANN heeft een beperkt aantal hiddem layers. Het moet werkbaar zijn met een niet al te groot aantal gevallen en ook nog eens verklaarbaar uit te leggen zijn.

Het deep learning gedoe met een kat van een foto is nu net berucht om het niet verklaarbaar zijn.
https://cqm.nl/nl/nieuws/wat-is-het-verschil-tussen-artificial-intelligence-machine-learning-en-deep-learning
Solvency Basel sox is een andere tak van risk management waarbij de financial zelf beoordeeld wordt.
Je kunt nog wat met Monte Carlo simulatie doen met gebeurtenissen uit de markt. Het aantal financials is echter zo klein dat ML niet zinvol is. Als jij de boete van ing had voorspeld en de reacties aandelen markt dan was je rijker dan Buffet.

Daarmee is je laatste opmerking een aardige.
Met wat tekstanalyse was je meteen herkend als iemand die er totaal niet thuis in is. Een totaal niet interessant onderzoek.
Je zou wel kunnen onderzoeken wat de invloed van blaaskaken oss evangelisten bij het falen van vele ICT projecten is. Er wordt altijd gezegd dat overheid en ICT een slechte combinatie is.
15-05-2019, 20:25 door Anoniem
Ik heb last van een debit(or) risc die ik had voorspeld maar waar ik met de gebruikte ML modellen nog steeds geen rooie cent van terugzie. Als ML mij dan herkent, fijn voor de ML misschien vind de bank wel mijn verloren briefjes terug zo. Wat de ING betreft. Misschien kan ik beter leren coden als ik dit zo lees ;-) Misschien is minder lines in code veel meer portable en rendeert het een groter vermogen en bezit, of juist in nieuwe stijl AI zaken uitdragen ten koste van de privacy. Die meter staat ongeveer op 50% uit 100% van de mogelijke berekeningen in een wiskundige 2:1 matrix bij simpele ML operaties.

Data heb ik al genoeg afgestaan. Het is eigendom, dus reclaim ik deze. Dat zouden er meer moeten doen. Je hebt er recht op.
15-05-2019, 20:47 door [Account Verwijderd] - Bijgewerkt: 15-05-2019, 20:48
Door karma4:
Door Kapitein Haddock: ....
Deep learning wordt niet alleen gebruikt voor 'gezichtsherkenning'. Het kent vele toepassingen, o.a. in risk management.

https://www.finalyse.com/blog/machine-learning-in-risk-management

Een wellicht interessanter onderzoeksonderwerp is het automatisch herkennen - met AI - van fake news (en blaaskaken).
Je geeft een prima link over de toepassing van machine learning rond credit risk. Ofwel het terrein van risicoprofielen waarmee de financials hun klanten beoordelen.
Voldoende gelabelde gevallen voor een ML voorspelling.
Dat wat daar staat is expliciet NIET deep learning.

Je spreekt geen Engels of je kan niet begrijpend lezen. Ik quote uit het gelinkte artikel: "Several methods of unsupervised machine learning have been suggested for potential uses in credit risk modelling: Deep Learning"
15-05-2019, 21:35 door karma4
Door Kapitein Haddock:
Je spreekt geen Engels of je kan niet begrijpend lezen. Ik quote uit het gelinkte artikel: "Several methods of unsupervised machine learning have been suggested for potential uses in credit risk modelling: Deep Learning"
Ik begrijp het engels uitstekend, lees even de GDPR er op na wat die over risico profilering zegt.
Onuitlegbaar niet navolgbaar is niet toegestaan, deep learning is gaat daarmee overboord.
Ik heb het nederlandse verhaal er voor je bijgepakt.

https://www.emerce.nl/achtergrond/nieuwe-manier-marketing-machine-learning-versus-deep-learning
"Een andere subcategorie van AI en een andere vorm van machine learning is deep learning., Deze technologie maakt gebruik van algoritmes, die gebaseerd zijn op de structuur van het menselijk brein. Daarbij bootst het zeer grote hoeveelheden neurale verbindingen. Daardoor heeft deep learning, geen menselijke input nodig en is het in staat om zelf nieuwe dingen te leren. Dat maakt het een veelbelovende technologie voor innovatieve oplossingen zoals zelfrijdende auto’s of online vertaalmachines."

Ik probeer zuiver op d verschillen te blijven zonder het allemaal door elkaar te gooien. Marketeers en evangelisten hebben daar een handje van. Lees even goed de concusie in je link:
"Secondly, while creating models that predict PDs and LGDs, the presence of sufficient defaults in our datasets is crucial to train supervised machine learning models. This is, unfortunately, often not the case and the datasets cannot provide enough values of target variables that the models would use to learn from."

Waar jij je tekst vandaan gekopieerd hebt in de inventarisatie, Men (maktering evangelisten) heeft geopperd dat ….
In de conclusie staat dat de kans op failliet gaan dusdanig laag is dat je dat geopperde idee kunt vergeten, Je hebt een flink aantal gevallen nodig, een paar honderd./ duizend.
En jij neemt met die suggestie aan dat er zoveel banken en verzekeraars failliet gegaan zijn door slecht beleid. Ja na 2008 was die kans ca 50% of meer maar dat had een andere reden.


De cijfers van nederlandse bedrijven als geheel. https://www.cbs.nl/nl-nl/nieuws/2018/24/aantal-faillissementen-daalt dan heb je het over kredietbeoordelingen van bedrijven. En jij denkt dat je dat kunt doen zonder behoorlijk onderbouwing? kvk jaarcijfers bestuurders nieuwsberichten stop het in een neuraal netwerk en dat zou zo geaccepteerd worden? Dan ben je wereldvreemd. Tja als je er echt mee te maken hebt praat je echt anders dan vanaf de hobbyzolder.
15-05-2019, 22:04 door Anoniem
Ik ga leren coden. Ik bedoel dus dat ik code ga leren. Misschien snap ik jullie dan beter... Snapt u mij?
16-05-2019, 15:27 door Anoniem
Wat ik een fantastisch onderwerp zou vinden is de stelling dat computertechnologie mensen lui in hun hoofd maakt
en vervolgens uit te zoeken waar dit nu eigenlijk precies allemaal van komt.
16-05-2019, 16:48 door [Account Verwijderd] - Bijgewerkt: 16-05-2019, 16:54
@karma4 Wazig onnavolgbaar gekronkel uit jouw eigen neurale netwerk (brein) is niet relevant. Ik herhaal derhalve: Je spreekt geen Engels of je kan niet begrijpend lezen. Ik quote uit het gelinkte artikel: "Several methods of unsupervised machine learning have been suggested for potential uses in credit risk modelling: Deep Learning"

Enne: So a right to explanation in GDPR is not legally binding, but can be offered voluntary. https://www.kdnuggets.com/2018/03/gdpr-machine-learning-illegal.html

Door Anoniem: Ik ga leren coden. Ik bedoel dus dat ik code ga leren. Misschien snap ik jullie dan beter... Snapt u mij?

Hij is niet te volgen want er is niets om te volgen...
16-05-2019, 18:03 door karma4
Door Kapitein Haddock: .....
Hij is niet te volgen want er is niets om te volgen...
Je volgt het vermoed ik een beetje. Je Engels is daarbij mogelijk een probleem wat de artikelen en beweringen welke daarin staan begrijp je niet. Maakt niet veel uit, heel duidelijk is dat je er enkel op uit bent om op de man te spelen kmdat ik je geloof te vaak aangetast hebt.

Door Anoniem: Ik ga leren coden. Ik bedoel dus dat ik code ga leren. Misschien snap ik jullie dan beter... Snapt u mij?
Dat snap ik. In het veld waar ik op duide is het coderen in een taal zoals phyton een druk bezet veld.
Het neerzetten dat het operationeel goed verantwoord draait is ook coderen maar wel een andere techniek. Het meeste heeft niet eens een goede algemene basis. Dat wordt lastig.
16-05-2019, 21:51 door [Account Verwijderd] - Bijgewerkt: 16-05-2019, 21:55
Door karma4:
Door Kapitein Haddock: .....
Hij is niet te volgen want er is niets om te volgen...
Je volgt het vermoed ik een beetje. Je Engels is daarbij mogelijk een probleem wat de artikelen en beweringen welke daarin staan begrijp je niet. Maakt niet veel uit, heel duidelijk is dat je er enkel op uit bent om op de man te spelen kmdat ik je geloof te vaak aangetast hebt.

Uit mijn eerdere reactie: So a right to explanation in GDPR is not legally binding, but can be offered voluntary.

https://www.kdnuggets.com/2018/03/gdpr-machine-learning-illegal.html

Dit is toch heel duidelijke taal en ontkracht jouw hele verhaal. Daarom ontbreekt het natuurlijk in jouw reactie hierop. Kortom: je lult gewoon slap uit je nek en als je daarop wordt betrapt dan negeer je het.
20-05-2019, 10:39 door Anoniem
Door karma4: Overheidsvraagstukken in de combinatie met frameworks normenkaders lijkt me een zeer interessant onderwerp.
Als je de data science er bij neemt zie je eigenlijk iets raars, namelijk het gebrek aan computer science.
Vervolgens ontbreekt de aansluiting met frameworks en normenkaders.
Het loopt dan te rommelen in de compliancy en privacy.

Helemaal eens. Zeker als overheid (Logius, NCSC, DNB), Norea, Big4 met een mix aan NIST, Cobit, OWASP, GITC, ISO2700x, ISO22301, NEN7510/11 komen waarbij vooral sprake is van:
a) gebrek aan structuur om grip te krijgen op de inherente risico's waarop ze zijn gebaseerd en daardoor onvoldoende aandacht voor de "nieuwe" data risico's in bv. ketens of technische risico's in multitennenant cloud/hosting;
b) overtrokken belang voor proces maatregelen i.p.v. monitoring en technische controles;
c) ontbreken van een meer onafhankelijke community die inbreng heeft over toepassing van deze normenkaders zodat inbreng zich niet beperkt tot NOREA en partijen die verdienen aan security scares.
20-05-2019, 13:38 door Anoniem
Wazig onnavolgbaar gekronkel uit jouw eigen neurale netwerk (brein) is niet relevant

Kortom: je lult gewoon slap uit je nek

Wat een manier om met elkaar te ''discussieren'', zo op de persoon spelen. Zet verder argumenten op geen enkele manier kracht bij.

Is inhoudelijk discussieren, zonder beledigingen, te moeilijk ?
20-05-2019, 13:50 door Anoniem
Hoop dat je toch verder komt met het verzinnen van een onderwerp dan buzz woordjes als 'APT' of 'Cyberwar'.
20-05-2019, 16:15 door Anoniem
Door Anoniem:
Helemaal eens. Zeker als overheid (Logius, NCSC, DNB), Norea, Big4 met een mix aan NIST, Cobit, OWASP, GITC, ISO2700x, ISO22301, NEN7510/11 komen waarbij vooral sprake is van:
a) gebrek aan structuur om grip te krijgen op de inherente risico's waarop ze zijn gebaseerd en daardoor onvoldoende aandacht voor de "nieuwe" data risico's in bv. ketens of technische risico's in multitennenant cloud/hosting;
b) overtrokken belang voor proces maatregelen i.p.v. monitoring en technische controles;
c) ontbreken van een meer onafhankelijke community die inbreng heeft over toepassing van deze normenkaders zodat inbreng zich niet beperkt tot NOREA en partijen die verdienen aan security scares.

Fijne post dit! Nog meer handige suggesties voor een 40'er herintreder? Wat te leren of doen in de IT/INFOSEC met de optie om een vol jaar te leren/ zaken in te halen?

Ben het internet een beetje beu, overal shitposting en stalkerige rommel, "advertisements" enz Beter op wat zinnigs focussen en natuurlijk eerst een portfolio uploaden. Ook op security.nl is het soms erg cringe.

/R
20-05-2019, 16:55 door [Account Verwijderd]
Door Anoniem: Is inhoudelijk discussieren, zonder beledigingen, te moeilijk ?

Aangedragen en waterdichte argumenten worden gewoon genegeerd. Dan raak je op een gegeven moment nogal geïrriteerd, met dit als gevolg.
20-05-2019, 18:42 door Anoniem
Door Kapitein Haddock: @karma4 Wazig onnavolgbaar gekronkel uit jouw eigen neurale netwerk (brein) is niet relevant. Ik herhaal derhalve: Je spreekt geen Engels of je kan niet begrijpend lezen.

Helaas is zijn neuraal netwerk aangesloten op dat van ons dus we hebben 2 opties:

- de cyborg uit de matrix halen
- elkaar helpen te verschillen te overkomen

Ik ben voor elkaar helpen op een positieve manier ook als je in het negatief systeem daarvoor negatieve punten krijgt.
20-05-2019, 20:23 door Anoniem
Wat een onzin @ vorige post.

Maar APT dat woord moest ik zelf even opzoeken, ik ben er alweer een tijd uit.

Wikipedia: An advanced persistent threat (APT) is a stealthy computer network attack in which a person or group gains unauthorized access to a network and remains undetected for an extended period.The term's definition was traditionally associated with state sponsorship, but over the last few years there have been multiple examples of non-state sponsored groups conducting large-scale targeted intrusion...


What is APT?

An advanced persistent threat (APT) is a broad term used to describe an attack campaign in which an intruder, or team of intruders, establishes an illicit, long-term presence on a network in order to mine highly sensitive data.

The targets of these assaults, which are very carefully chosen and researched, typically include large enterprises or governmental networks. The consequences of such intrusions are vast, and include:

Intellectual property theft (e.g., trade secrets or patents)
Compromised sensitive information (e.g., employee and user private data)
The sabotaging of critical organizational infrastructures (e.g., database deletion)
Total site takeovers

Executing an APT assault requires more resources than a standard web application attack. The perpetrators are usually teams of experienced cybercriminals having substantial financial backing. Some APT attacks are government-funded and used as cyber warfare weapons.

APT attacks differ from traditional web application threats, in that:

They’re significantly more complex.
They’re not hit and run attacks—once a network is infiltrated, the perpetrator remains in order to attain as much information as possible.
They’re manually executed (not automated) against a specific mark and indiscriminately launched against a large pool of targets.
They often aim to infiltrate an entire network, as opposed to one specific part.

More common attacks, such as remote file inclusion (RFI), SQL injection and cross-site scripting (XSS), are frequently used by perpetrators to establish a foothold in a targeted network. Next, Trojans and backdoor shells are often used to expand that foothold and create a persistent presence within the targeted perimeter.


Link: https://www.imperva.com/learn/application-security/apt-advanced-persistent-threat/
21-05-2019, 11:13 door Anoniem
Door Anoniem: Hoe zou een communicatieprotocol eruit zien dat:
- even fijn werkt als gewoon e-mail
- wat niet afluisterbaar is
- waar je niet van tevoren sleutels hoeft te weten om iemand veilig iets te zenden (zoals bij s/mime of pgp)
- waar enumeratie (zoals bij signal op telefoonnummer) niet mogelijk is
- waar corporates wel inspectie kunnen doen, maar die inspectie duidelijk is dan (zoals bij TLS interceptie)
- waar phishing en spam niet anoniem mogelijk zijn (onmogelijk zal het nooit zijn, omdat verzenders altijd gecompromiteerd kunnen worden)


Als je dat neerzet help je de wereld aanzienlijk.
Dat heet Certificate-Less Authenticated Encryption (CLAE). Aan de TS: vraag je studiebegeleider, of bedenk zelf iets.
21-05-2019, 11:44 door Bitwiper - Bijgewerkt: 21-05-2019, 11:55
Door Anoniem: [...]
Certificate-Less Authenticated Encryption (CLAE)
[...]
Als ik CLAE goed begrijp heb je een third party nodig die door beide partijen vertrouwd moet worden. De verzender moet dan nog steeds eerst de public key van de ontvanger in handen krijgen (en er voldoende op kunnen vertrouwen dat die public key daadwerkelijk van de ontvanger is) om iets veilig naar die ontvanger te kunnen versturen.

Door Anoniem: [...]
- wat niet afluisterbaar is
- waar je niet van tevoren sleutels hoeft te weten om iemand veilig iets te zenden (zoals bij s/mime of pgp)
[...]
Ik vermoed dat die combinatie onmogelijk is - maar mocht ik het mis hebben, dan hoor/lees ik dat graag!

Aanvulling 11:55: zoiets lijkt toch te bestaan, met kort zoeken vond ik https://csrc.nist.gov/Projects/Pairing-Based-Cryptography. Er is (of wordt) onderzoek gedaan naar " identity-based encryption" (IBE), waarbij je een public key afleidt van een uniek identiteits-kenmerk van een entiteit, zoals een e-mail adres.

Hoe uitsluitend de eigenaar van zo'n uniek identiteits-kenmerk (zoals toegang hebben tot een specifieke mailbox) de bijbehorende private key zou kunnen genereren (en niemand anders), heb ik nog niet gelezen - maar wellicht hebben de bedenkers daar iets slims voor bedacht.
21-05-2019, 13:08 door Anoniem
AI,
Machine learning,
Quantum encryptie
21-05-2019, 15:51 door Krakatau
Door Bitwiper: Aanvulling 11:55: zoiets lijkt toch te bestaan, met kort zoeken vond ik https://csrc.nist.gov/Projects/Pairing-Based-Cryptography.

Interessante link; dank je.
23-05-2019, 14:27 door Anoniem
Door Bitwiper:
Door Anoniem: [...]
Certificate-Less Authenticated Encryption (CLAE)
[...]
Als ik CLAE goed begrijp heb je een third party nodig die door beide partijen vertrouwd moet worden.
Dat is bijvoorbeeld je eigen email server - ik vertrouw mijn eigen email server, jij niet? En als jij mij mail wilt sturen, dan heb je mijn email server maar te vertrouwen. Zo niet - geen mail (en dus geen spam)

Aanvulling 11:55: zoiets lijkt toch te bestaan, met kort zoeken vond ik https://csrc.nist.gov/Projects/Pairing-Based-Cryptography. Er is (of wordt) onderzoek gedaan naar " identity-based encryption" (IBE), waarbij je een public key afleidt van een uniek identiteits-kenmerk van een entiteit, zoals een e-mail adres.
CLAE is de opvolger van IBE, of (betere, imho) uitwerking ervan, zo je wilt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.