Security Professionals - ipfw add deny all from eindgebruikers to any

Bob, Alice en Trent

11-05-2021, 16:12 door Anoniem, 20 reacties
Iedereen heeft het tegenwoordig over end-to-end encryptie, maar wie weet nog hoe het werkt?

Vroeger had je sites als pgpi.org, maar die redirect nu naar een ander domein. Ik ben met de wayback machine gaan zoeken naar oude handleidingen, maar de hele ftp server van pgpi.org waarop die stonden is verdwenen uit de wayback machine. Misschien heb ik een backup die nog leesbaar is. Ik zocht naar de IntroToCrypto van PGP 6.0.2. Dat waren de gouden tijden van PGP.

Hoe moet je tegenwoordig nog iets leren over crypto? Van het OM in Nederland misschien? Hebben die er veel verstand van en is hun mening op die kennis gebaseerd?

Okee, een vraag.

Je hebt Alice die een bericht naar Bob wil verzenden. Misschien een liefdesbrief, het gaat mij niets aan. Op de weg van Alice naar Bob zit Trent. Deze wil het bericht van Alice onderscheppen en doorsturen naar Bob via een Man-in-the-middle aanval.

In mijn herinneringen is Trent kwaadaardig, maar op Wikipedia staat dat deze een neutraal tussenpersoon is in het berichtenverkeer.

Zijn mijn herinneringen fout? Of is hier iets heel sinisters aan de gang. Worden end-to-end encryptie en de werking van TOR langzaam uit onze geschiedenis gewist? Net als alle apocriefe boeken die de katholieke kerk heeft vernietigd aan het begin van onze jaartelling? Hoe heeft dat uitgepakt toen? Nooit meer oorlog?
Reacties (20)
11-05-2021, 18:02 door majortom
Zie https://nl.wikipedia.org/wiki/Alice_en_Bob.
Eve is de eavesdropper (passieve afluisteraar) en Malloy (van malicious) de actieve MitM. Dus in je voorbeeld zou Eve/Mallory als "kwaadaardige" MitM fungeren. Trent is de niet kwaadaardige bemiddelaar.
11-05-2021, 18:42 door Anoniem
Door majortom: Zie https://nl.wikipedia.org/wiki/Alice_en_Bob.
Eve is de eavesdropper (passieve afluisteraar) en Malloy (van malicious) de actieve MitM. Dus in je voorbeeld zou Eve/Mallory als "kwaadaardige" MitM fungeren. Trent is de niet kwaadaardige bemiddelaar.

Dank! Eve was het die afluisterde.

Ik heb ook een oud artikel over Trent gevonden, op de site van Arnoud Engelfriet: https://www.iusmentis.com/technology/encryption/crashcourse/certificates/. Trent is hier een CA. En een 'goede' dus.

TS
11-05-2021, 18:50 door Anoniem
Door Anoniem: Hoe moet je tegenwoordig nog iets leren over crypto?

Uit een goed boek over cryptologie van de universiteitsbibliotheek. Een studie wiskunde achter de kiezen is wel handig.

https://en.wikipedia.org/wiki/Books_on_cryptography
11-05-2021, 19:09 door Anoniem
Pas op met verwijzingen naar Apocryfe boeken en bijbelse praat want lees het jaarverslag van de AIVD er maar op na.

Het is net net als een baard dragen in de dagen van de ISIS scare. Isis is trouwens een mooie Godin. Maar ook die naam moest bezoedeld worden.
12-05-2021, 00:30 door Anoniem
Door Anoniem:
Door Anoniem: Hoe moet je tegenwoordig nog iets leren over crypto?

Uit een goed boek over cryptologie van de universiteitsbibliotheek. Een studie wiskunde achter de kiezen is wel handig.

https://en.wikipedia.org/wiki/Books_on_cryptography

Inderdaad. Beter dan paranoia geneuzel over verdwijnende informatie.

Wat moet je nou denken van iemand die al sinds de dagen van pgp op internet zit, maar er niet in slaagt om basisinformatie te vinden , en dan maar complot theorie verzint waarom dat niet lukt ?

Handbook of Applied Cryptography - een uitstekende referentie - staat ook online :
https://cacr.uwaterloo.ca/hac/

En dan hebben we al een tijd allerhande open courseware beschikbaar.

Tik "courseware cryptography" in op youtube, en ga maar kijken.

https://www.youtube.com/watch?v=2aHkqB2-46k&list=PL2jrku-ebl3H50FiEPr4erSJiJHURM9BX
https://www.youtube.com/playlist?list=PL6ogFv-ieghe8MOIcpD6UDtdK-UMHG8oH

(etc)

Dat is eerder een reden dat de FAQs van de enthousiastelingen niet meer zo hard nodig zijn - er is _meer_ en _betere_ informatie te vinden dan in de dagen van PGP 2.6
12-05-2021, 01:22 door Anoniem
@ anoniem van 19:09,

Ja, die "trend"is me ook al opgevallen.

Vooral het orthodoxe patriottische woord wordt gedemoniseerd. (vreemde zin wordt dat zo),
soms tot op zo'n hoogte dat een demoon er zich zelfs voor zou moeten schamen.

Ik hoop niet dat de "oude g*den" wederom wraak zullen gaan nemen op een zelfde wijze,
zoals dat de oude heidense deden met een WO II. Karma is a bitch.

Gaat wel hard met het verliezen van onze vrijheid van meningsuiting en zo.

Jodocus Oyevaer
12-05-2021, 12:28 door Anoniem

Het is heel leuk dat je kan leren hoe je een crypto algoritme in elkaar kan zetten en gebruiken, maar daar hebben Alice en Bob natuurlijk geen zak aan.

Hetzelfde geldt voor HAC. Dit boek is nutteloos voor iedereen op de wereld behalve de paar cryptografen die het in zich hebben om de opvolger van AES te ontwerpen.

Wat wel nuttig is voor Alice en Bob is dat ze weten welke aanvallen ze kunnen verwachten, van bijvoorbeeld het OM in Nederland, en wat ze wel en niet over zo'n verbinding kunnen sturen. Apocriefe geschriften kennelijk niet (het hele nieuwe testament is apocrief voor bepaalde religies, dus zo bijzonder is het ook weer niet AIVD).

TS
12-05-2021, 13:31 door Anoniem
Door Anoniem:
Het is heel leuk dat je kan leren hoe je een crypto algoritme in elkaar kan zetten en gebruiken, maar daar hebben Alice en Bob natuurlijk geen zak aan.

Hetzelfde geldt voor HAC. Dit boek is nutteloos voor iedereen op de wereld behalve de paar cryptografen die het in zich hebben om de opvolger van AES te ontwerpen.


Nou nee. HAC heeft gewoon studenten als doelgroep, en wellicht programmeurs.

Het is een prima boek, maar het bespreekt weinig aan analyse techniek . Wie werkelijk iets kan bijdragen aan nieuwe algorithmen is HAC ver voorbij.

Wie nog moet vragen 'hoe end to end encryptie werkt' en op niveau 'handleiding PGP zit' heeft er wel veel aan.


Wat wel nuttig is voor Alice en Bob is dat ze weten welke aanvallen ze kunnen verwachten, van bijvoorbeeld het OM in Nederland, en wat ze wel en niet over zo'n verbinding kunnen sturen. Apocriefe geschriften kennelijk niet (het hele nieuwe testament is apocrief voor bepaalde religies, dus zo bijzonder is het ook weer niet AIVD).

TS

Je zit op niveau 'handleiding pgp' , vraagt over 'end to end encryptie en hoe het werkt' , dan krijg je wat linken hoe het echt werkt, en blijk je eigenlijk weer te zoeken naar (?) "alle manieren waarop Alice en Bob aangevallen kunnen worden"

Alice en Bob kunnen van alles verwachten BEHALVE een frontale aanval op de encryptie, want daar zit ongeveer nooit meer de zwakheid .
12-05-2021, 14:15 door Anoniem
Door Anoniem:...

Alice en Bob kunnen van alles verwachten BEHALVE een frontale aanval op de encryptie, want daar zit ongeveer nooit meer de zwakheid.

Dat is een bold claim.

Van Elliptic Curve encryption is bekend dat het niet al te sterk is.

(/me kijkt met schuin oog naar Tor)
12-05-2021, 14:52 door Anoniem
Door Anoniem: Wat wel nuttig is voor Alice en Bob is dat ze weten welke aanvallen ze kunnen verwachten, van bijvoorbeeld het OM in Nederland, en wat ze wel en niet over zo'n verbinding kunnen sturen.

Als het Openbaar Ministerie en de Landelijke Eenheid in Nederland hun pijlen op je richten, dan heb je het er waarschijnlijk zelf naar gemaakt. Als je foute dingen doet en in hun vizier bent, dan kan daar geen enkele vorm van encryptie nog tegen opboksen. Andy grijpt je maar al te graag in de kraag.
12-05-2021, 15:53 door Anoniem
Door Anoniem:
Door Anoniem: Wat wel nuttig is voor Alice en Bob is dat ze weten welke aanvallen ze kunnen verwachten, van bijvoorbeeld het OM in Nederland, en wat ze wel en niet over zo'n verbinding kunnen sturen.

Als het Openbaar Ministerie en de Landelijke Eenheid in Nederland hun pijlen op je richten, dan heb je het er waarschijnlijk zelf naar gemaakt. Als je foute dingen doet en in hun vizier bent, dan kan daar geen enkele vorm van encryptie nog tegen opboksen. Andy grijpt je maar al te graag in de kraag.

Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
12-05-2021, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat wel nuttig is voor Alice en Bob is dat ze weten welke aanvallen ze kunnen verwachten, van bijvoorbeeld het OM in Nederland, en wat ze wel en niet over zo'n verbinding kunnen sturen.

Als het Openbaar Ministerie en de Landelijke Eenheid in Nederland hun pijlen op je richten, dan heb je het er waarschijnlijk zelf naar gemaakt. Als je foute dingen doet en in hun vizier bent, dan kan daar geen enkele vorm van encryptie nog tegen opboksen. Andy grijpt je maar al te graag in de kraag.

Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS

Yup, en daarmee ondermijnen ze de cybersecurity van Nederland.

Om even een illustratie te geven hoe duf het is: één uur nadat het MH-17 proces was begonnen, viel in de rechtszaal de presentatie computer uit. De Russische trollen lachten waarschijnlijk de ballen uit hun broek.

Hoofd FBI heeft zelf aangegeven dat het verzwakken van encryptie uiteindelijk back-fired. Maar dat is een inzicht die voor weinigen is weggelegd.
12-05-2021, 16:15 door Anoniem
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?
12-05-2021, 17:08 door Anoniem
Door Anoniem:
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?

https://www.security.nl/posting/702983/Openbaar+Ministerie%3A+encryptie+nooit+bedoeld+als+schild+voor+criminelen

Altijd als de minister van Justitie & Veiligheid, het OM of de politie breed in het nieuws zijn, en zeker het gaat om het onderwerp crypto, dan leidt dat op Security.NL tot verbale schermutselingen. Men kan de klok er op gelijk zetten.
12-05-2021, 17:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?

https://www.security.nl/posting/702983/Openbaar+Ministerie%3A+encryptie+nooit+bedoeld+als+schild+voor+criminelen

Altijd als de minister van Justitie & Veiligheid, het OM of de politie breed in het nieuws zijn, en zeker het gaat om het onderwerp crypto, dan leidt dat op Security.NL tot verbale schermutselingen. Men kan de klok er op gelijk zetten.

Terecht als die wankers mijn encryptie (proberen te) doorbreken en mij daarmee in gevaar brengen.

Duh!
12-05-2021, 18:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?

https://www.security.nl/posting/702983/Openbaar+Ministerie%3A+encryptie+nooit+bedoeld+als+schild+voor+criminelen

Altijd als de minister van Justitie & Veiligheid, het OM of de politie breed in het nieuws zijn, en zeker het gaat om het onderwerp crypto, dan leidt dat op Security.NL tot verbale schermutselingen. Men kan de klok er op gelijk zetten.

Zou dat komen omdat de bezoekers van security.nl dagelijks met encryptie werken en het nut van encryptie inzien?

TS
12-05-2021, 21:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?

https://www.security.nl/posting/702983/Openbaar+Ministerie%3A+encryptie+nooit+bedoeld+als+schild+voor+criminelen

Altijd als de minister van Justitie & Veiligheid, het OM of de politie breed in het nieuws zijn, en zeker het gaat om het onderwerp crypto, dan leidt dat op Security.NL tot verbale schermutselingen. Men kan de klok er op gelijk zetten.

Terecht als die wankers mijn encryptie (proberen te) doorbreken en mij daarmee in gevaar brengen.

Duh!

Addendum: en zeker als een lul met vingers recht in mijn gezicht gaat beweren dat 'hun informatie' bij L vandaan komt.

Ik weet exact waar die informatie vandaan komt; en dat riekt naar fucking landverraad.
13-05-2021, 01:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het is duidelijk waar het OM haar pijlen op richt. Lees het nieuws maar.

TS
Criminelen?

https://www.security.nl/posting/702983/Openbaar+Ministerie%3A+encryptie+nooit+bedoeld+als+schild+voor+criminelen

Altijd als de minister van Justitie & Veiligheid, het OM of de politie breed in het nieuws zijn, en zeker het gaat om het onderwerp crypto, dan leidt dat op Security.NL tot verbale schermutselingen. Men kan de klok er op gelijk zetten.

Terecht als die wankers mijn encryptie (proberen te) doorbreken en mij daarmee in gevaar brengen.

Duh!

Addendum: en zeker als een lul met vingers recht in mijn gezicht gaat beweren dat 'hun informatie' bij L vandaan komt.

Ik weet exact waar die informatie vandaan komt; en dat riekt naar fucking landverraad.

J&V c.s. kan een plaatje - ja een plaatje - van een laptop hacken dat c.s. 20 jaar geleden al voor een appel en een ei aangeboden kreeg. En dan een grote bek hebben over security? Hoe dom is die organisatie?

Sorry, maar in Nederland zijn ze bij J&V en Defensie volledig de weg kwijt.

Discussies over encryptie, decryptie, security, etc. is niet een vak wat aan Nederland besteed is. Sorry, parels voor de zwijnen!
13-05-2021, 10:40 door Anoniem
Door Anoniem: J&V c.s. kan een plaatje - ja een plaatje - van een laptop hacken dat c.s. 20 jaar geleden al voor een appel en een ei aangeboden kreeg. En dan een grote bek hebben over security? Hoe dom is die organisatie?

Sorry, maar in Nederland zijn ze bij J&V en Defensie volledig de weg kwijt.

Discussies over encryptie, decryptie, security, etc. is niet een vak wat aan Nederland besteed is. Sorry, parels voor de zwijnen!

Je kan een bericht verstoppen in een plaatje. Bijvoorbeeld .jpg of .mp3. Dat heet steganography.

Tegenwoordig zal het ook wel in een filmpje op YouTube of in een videoconferentie kunnen. Ben niet zo bij op dit gebied. Je moet in ieder geval niet steeds hetzelfde plaatje hergebruiken. Dat is verdacht. Het is ook knap van J&V want het is gebruikelijk (noodzakelijk) om je bericht in sterke encryptie te stoppen bij steganography. Hoewel er natuurlijk standaard tools voor bestaan om stego te detecteren en te ontcijferen.

TS
15-05-2021, 16:16 door Anoniem
Door Anoniem:
Door Anoniem:...

Alice en Bob kunnen van alles verwachten BEHALVE een frontale aanval op de encryptie, want daar zit ongeveer nooit meer de zwakheid.

Dat is een bold claim.

Van Elliptic Curve encryption is bekend dat het niet al te sterk is.

(/me kijkt met schuin oog naar Tor)

Misschien wil je een bron delen voor je opmerkelijke kennis.

Er zijn diverse algorithmen en varianten gebaseerd op elliptic curves , maar ik kan er geen fundamentele zwakheid voor vinden - (in elk geval gegeven een correctie implementatie, en goede keuze van parameters en curve).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.