|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
sukelduja
HV Guru

liitunud: 14.06.2007
|
08.09.2017 10:37:24
|
|
|
| PontuLontu kirjutas: |
| sukelduja kirjutas: |
| Millest sa eeldad, et mobiil-id on mingistki otsast turvalisem kui id-kaart? |
Turvalisuses ja turvalisuses on vahe. Mul on näiteks töökohal üks Rhode instrument, mis töötab Windows NT-l - mis sa arvad, palju seal turvaauke on ????
Turvalisus oleneb tihti rohkem sellest, kuhu on seade ühendatud, kui seadmest endast. |
No võtame keskmise nutitelefoni ja paneme mobiil-id sinna sisse ... kas ma pean edasi rääkima igasugu ühendustest?
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
08.09.2017 11:04:36
|
|
|
| sukelduja kirjutas: |
No võtame keskmise nutitelefoni ja paneme mobiil-id sinna sisse ... kas ma pean edasi rääkima igasugu ühendustest?  |
Ja oledki teenusepakkuja sisevõrgus.
Ei tea täpselt ( teadjamad vast parandavad ), aga eeldan, et teenusepakkujal, kelle käest sa uue sim kaardi said MobiilID kasutamiseks pole mingit vajadust sellega seonduvaid andmesidepakette oma sisevõrgust välja lasta.
Võrdle seda seika nüüd kinnipandud avalike võtmete andmebaasiga.....
Ja veel. MobiilID kasutamiseks ei peagi olema nutitelefon. käib ka tavaline !!!
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
degreal
HV veteran
liitunud: 07.01.2002
|
08.09.2017 11:14:34
|
|
|
| Ma ka ei saa aru kust tekkis see veendumus, et mobiil-id on turvaauguvaba, et selline tormijooks lahti läks. Võibolla ID-kaardil oligi see viimane viga, mis ära parandatud ja mobiil-ID'l on veel 10 auku lahendamata.
|
|
| Kommentaarid: 27 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
08.09.2017 11:29:35
|
|
|
| PontuLontu kirjutas: |
| sukelduja kirjutas: |
No võtame keskmise nutitelefoni ja paneme mobiil-id sinna sisse ... kas ma pean edasi rääkima igasugu ühendustest?  |
Ja oledki teenusepakkuja sisevõrgus.
Ei tea täpselt ( teadjamad vast parandavad ), aga eeldan, et teenusepakkujal, kelle käest sa uue sim kaardi said MobiilID kasutamiseks pole mingit vajadust sellega seonduvaid andmesidepakette oma sisevõrgust välja lasta.
Võrdle seda seika nüüd kinnipandud avalike võtmete andmebaasiga.....
Ja veel. MobiilID kasutamiseks ei peagi olema nutitelefon. käib ka tavaline !!! |
Avalike võtmete andmebaasi mõte ongi selles, et see on avalik, et sa saaksid teisele inimesele saata krüpteeritud faile, mida ainult tema saab lahti võtta. m-id eelis on selles antud juhul, et sellega ei saagi krüptida, ehk funktsionaalsus on poolik.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
rv30
HV kasutaja
liitunud: 24.06.2007
|
08.09.2017 11:44:23
|
|
|
| Selgitaks siin siis veidi, seda avalike võtmete teemat. Nimelt jaguneb krüpteerimine kaheks – sümmeetriline krüpteerimine ja asümmeetriline krüpteerimine. Esimese puhul kasutatakse krüpteerimisel ja dekrüpteerimisel üht ja sama võtit. Asümmeetrilise krüpteerimise puhul kasutakse faili krüpteerimiseks üht võtit ja dekrüpteerimiseks teist võtit. Krüpteerimiseks kasutatav võti on avalik ja dekrüpteerimiseks kasutatav võti on salajane. Krüpteerimise aluspõhimõte on, et avalikust võtmest ei ole mingil moel võimalik tuletada salajast võtit. Kuidas id-kaardi puhul selline võimalus sinna on tekkinud ei oska arvata. Selles mõttes ei ole m-id poolik. Lihtsalt ühel juhul on tegemist sümmeetrilise krüpteerimisega ja teisel juhul asümmeetriline krüpteerimisega
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
08.09.2017 11:54:16
|
|
|
| rv30 kirjutas: |
| Selgitaks siin siis veidi, seda avalike võtmete teemat. Nimelt jaguneb krüpteerimine kaheks – sümmeetriline krüpteerimine ja asümmeetriline krüpteerimine. Esimese puhul kasutatakse krüpteerimisel ja dekrüpteerimisel üht ja sama võtit. Asümmeetrilise krüpteerimise puhul kasutakse faili krüpteerimiseks üht võtit ja dekrüpteerimiseks teist võtit. Krüpteerimiseks kasutatav võti on avalik ja dekrüpteerimiseks kasutatav võti on salajane. Krüpteerimise aluspõhimõte on, et avalikust võtmest ei ole mingil moel võimalik tuletada salajast võtit. Kuidas id-kaardi puhul selline võimalus sinna on tekkinud ei oska arvata. Selles mõttes ei ole m-id poolik. Lihtsalt ühel juhul on tegemist sümmeetrilise krüpteerimisega ja teisel juhul asümmeetriline krüpteerimisega |
Avalikust võtmest on alati olnud võimalik salajast võtit arvutada. Ainult see on väga keeruline.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
-vodafone-
HV Guru

liitunud: 26.04.2005
|
|
| Kommentaarid: 247 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
3 :: |
217 |
|
| tagasi üles |
|
 |
Mnator
HV Guru
liitunud: 18.10.2007
|
08.09.2017 12:19:54
|
|
|
| PontuLontu kirjutas: |
| sukelduja kirjutas: |
No võtame keskmise nutitelefoni ja paneme mobiil-id sinna sisse ... kas ma pean edasi rääkima igasugu ühendustest?  |
Ja oledki teenusepakkuja sisevõrgus.
Ei tea täpselt ( teadjamad vast parandavad ), aga eeldan, et teenusepakkujal, kelle käest sa uue sim kaardi said MobiilID kasutamiseks pole mingit vajadust sellega seonduvaid andmesidepakette oma sisevõrgust välja lasta.
Võrdle seda seika nüüd kinnipandud avalike võtmete andmebaasiga.....
Ja veel. MobiilID kasutamiseks ei peagi olema nutitelefon. käib ka tavaline !!! |
Muideks, kõik mis levib õhu kaudu on teoorias kinnipüütav/pealtkuulatav ja mingi, seni veel ehk mitte reaalselt olemasoleva aga peatselt siiski võimaliku, superarvuti abil lahtiharutatav. Lahtiharutatavuse hirmus ju tehti id-kaardilegi tarkvarauuendus kuna senist räsialgoritmi SHA-1 peeti ajale jalgujäänuks.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
08.09.2017 13:57:56
|
|
|
| Mnator kirjutas: |
| Muideks, kõik mis levib õhu kaudu on teoorias kinnipüütav/pealtkuulatav ja mingi, seni veel ehk mitte reaalselt olemasoleva aga peatselt siiski võimaliku, superarvuti abil lahtiharutatav. Lahtiharutatavuse hirmus ju tehti id-kaardilegi tarkvarauuendus kuna senist räsialgoritmi SHA-1 peeti ajale jalgujäänuks. |
huvitav, kui andmebaasist saadud avalike võtmete kogu (750 000 võtit) sai kätte lihtsa vaevaga , siis kui palju ressurssi ja aega võtaks mobiilID samaväärse koguse pealtkuulamine-kinnipüüdmine ?
Arvan et sellises mahus ei hakka keegi seda tegema.
Kui aga mingil häkkeril on ees baas 750 000 võtmega, ja tal on teada salajase võtme avalikust võtmest tuletamise meetod, siis ülejäänu on lihtsalt arvutusvõimsuse küsimus.
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
Sold OUT
no credit

liitunud: 30.07.2002
|
08.09.2017 14:08:58
|
|
|
see meetod on teada ja lihtsamaid võtmeid, või noh, täiesti ülilihtsat võtit saab käsitsi lahti teha ning seda tehakse andmeturbe kursusel tahvlil käsitsi...aga kui sul on sadu ja tuhandeid ühest suuremaid naturaalarve algarvulisteks teguriteks taandada, siis jääb see lahendamine ka tänapäeva võimsamatel superarvutitel sadadesse aastatesse ja siin tulebki mängu andmete ajakohasus. ajaloos on arvutite arengu pärast krüoptoalgoritme turvalisemaks muudetud või üldse nende kasutamine keelatud, ehk et see mis 70ndatel oli murdmatu, avanes 90ndatel juba minutitega.
_________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist. |
|
| Kommentaarid: 94 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
1 :: |
81 |
|
| tagasi üles |
|
 |
rv30
HV kasutaja
liitunud: 24.06.2007
|
08.09.2017 14:26:40
|
|
|
Iseenesest on SHA-256 sellise tugevusega krüpteering, mille murdmiseks „brute force“ meetodil kuluv aeg on tänaste arvutusvõimsuse juures tunduvalt suurem kui universumi vanus ja vajalik energia on võrreldav supernoova plahvatuses vabaneva energiaga. Küsimus ongi nüüd selles, kui palju on kaartidel olevad võtmed nõrgemad standardiga ettenähtust. Ilmselt on võtmed ikka palju nõrgemad kui räägitakse mingist närusest 60 miljardist eurost.
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
08.09.2017 14:42:01
|
|
|
| PontuLontu kirjutas: |
| Mnator kirjutas: |
| Muideks, kõik mis levib õhu kaudu on teoorias kinnipüütav/pealtkuulatav ja mingi, seni veel ehk mitte reaalselt olemasoleva aga peatselt siiski võimaliku, superarvuti abil lahtiharutatav. Lahtiharutatavuse hirmus ju tehti id-kaardilegi tarkvarauuendus kuna senist räsialgoritmi SHA-1 peeti ajale jalgujäänuks. |
huvitav, kui andmebaasist saadud avalike võtmete kogu (750 000 võtit) sai kätte lihtsa vaevaga , siis kui palju ressurssi ja aega võtaks mobiilID samaväärse koguse pealtkuulamine-kinnipüüdmine ?
Arvan et sellises mahus ei hakka keegi seda tegema.
Kui aga mingil häkkeril on ees baas 750 000 võtmega, ja tal on teada salajase võtme avalikust võtmest tuletamise meetod, siis ülejäänu on lihtsalt arvutusvõimsuse küsimus. |
Ega sa ei saanud seda avalikke võtmete baasi ka kogu täiega alla laadida. Said pärida isikukoodi järgi. Ja minumeelest olid lisaks piirangud kui kiiresti said neid päringuid teha ka. https://www.sk.ee/repositoorium/ldap/ldap-kataloogi-kasutamine/
| tsitaat: |
| Isikusertifikaatide otsingule on seatud piirang, mis takistab mustri alusel andmete otsimist. Sertifikaadi leidmiseks kataloogist tuleb päringusse sisestada täpne cn või serialNumber välja väärtus. |
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
08.09.2017 15:24:52
|
|
|
| Super AMOLED kirjutas: |
| ehk et see mis 70ndatel oli murdmatu, avanes 90ndatel juba minutitega. |
| sukelduja kirjutas: |
Ega sa ei saanud seda avalikke võtmete baasi ka kogu täiega alla laadida. Said pärida isikukoodi järgi. Ja minumeelest olid lisaks piirangud kui kiiresti said neid päringuid teha ka. https://www.sk.ee/repositoorium/ldap/ldap-kataloogi-kasutamine/
| tsitaat: |
| Isikusertifikaatide otsingule on seatud piirang, mis takistab mustri alusel andmete otsimist. Sertifikaadi leidmiseks kataloogist tuleb päringusse sisestada täpne cn või serialNumber välja väärtus. |
|
Nüüd oleks paslik meelde tuletada, kui kaua meil ID kaardid kasutusel on ja palju aega oli andmete päringuteks ))
Mäletan küll seda aega, kus müüdi üsna avalikult mingit politsei andmebaasi kõikide eesti elanike andmetega ....
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
sooty
HV veteran
liitunud: 12.06.2004
|
08.09.2017 15:31:29
|
|
|
| Kus müüdi andmebaasi kõigi elanike andmetega?
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
12 |
|
| tagasi üles |
|
 |
Sold OUT
no credit

liitunud: 30.07.2002
|
08.09.2017 15:32:06
|
|
|
Miski andmebaas oli kunagi datanetis üleval. Mul kuskil cd peal alles isegi raudselt. Autode andmed, lauatelefonid jms
_________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist. |
|
| Kommentaarid: 94 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
1 :: |
81 |
|
| tagasi üles |
|
 |
attrs
HV Guru

liitunud: 04.03.2004
|
08.09.2017 15:42:50
|
|
|
Mingi plaat käis ringi jah, ARK-ist vist pärit 90ndatel. Nimed, aadressid, sõidukite ja juhilubade andmed. Telefoni numbrid olid veel 6-kohalised. Mobiile, kui üldse liikus, oli väga vähe.
viimati muutis attrs 08.09.2017 15:43:35, muudetud 1 kord |
|
| Kommentaarid: 418 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
368 |
|
| tagasi üles |
|
 |
bugbrake
HV kasutaja
liitunud: 10.12.2006
|
08.09.2017 15:43:20
|
|
|
Natuke kuulamist ka sellel teemal:
Spoiler 
_________________ Alati teadke, et kuulujutte mõtlevad välja vihkajad, levitavad lollid, aga usuvad idioodid. |
|
| Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
6 |
|
| tagasi üles |
|
 |
netcat
Kreisi kasutaja

liitunud: 13.01.2010
|
08.09.2017 18:38:06
|
|
|
| attrs kirjutas: |
| Mingi plaat käis ringi jah, ARK-ist vist pärit 90ndatel. Nimed, aadressid, sõidukite ja juhilubade andmed. Telefoni numbrid olid veel 6-kohalised. Mobiile, kui üldse liikus, oli väga vähe. |
Perli baas oli selle asja nimi, rahu Imre Perli põrmule... leidus omal ajal kõigis hästivarustatud kodudes.
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
ab79
HV kasutaja
liitunud: 17.10.2012
|
08.09.2017 21:41:30
|
|
|
| PontuLontu kirjutas: |
| Mnator kirjutas: |
| Muideks, kõik mis levib õhu kaudu on teoorias kinnipüütav/pealtkuulatav ja mingi, seni veel ehk mitte reaalselt olemasoleva aga peatselt siiski võimaliku, superarvuti abil lahtiharutatav. Lahtiharutatavuse hirmus ju tehti id-kaardilegi tarkvarauuendus kuna senist räsialgoritmi SHA-1 peeti ajale jalgujäänuks. |
huvitav, kui andmebaasist saadud avalike võtmete kogu (750 000 võtit) sai kätte lihtsa vaevaga , siis kui palju ressurssi ja aega võtaks mobiilID samaväärse koguse pealtkuulamine-kinnipüüdmine ?
Arvan et sellises mahus ei hakka keegi seda tegema.
Kui aga mingil häkkeril on ees baas 750 000 võtmega, ja tal on teada salajase võtme avalikust võtmest tuletamise meetod, siis ülejäänu on lihtsalt arvutusvõimsuse küsimus. |
mID puhul on üks aga. Nimelt selleks et avalikku võtit saada, tuleb päring teha kaardi valdaja mobiilile ehk saata nõue, kus inimene veendub 4 kohalise kontrollkoodi ehtsuses.. Kui sa pole ise seanssi algatanud, siis selle õnge vast ikka ei lähe. No aga risk on muidugi olemas, sest kui keegi loob mingi liba netipanga (seb/swed), siis on kõik võimalik, kui kasutaja seda tähele ei pane, et vales keskkonnas on. Kui serdi omaniku mobiilinumbrit ei tea, siis on suht võimatu. Küll aga saab välja peilida libaveebi abil. noh näiteks, mingi liba e-pood/portaal, millele poogid mID külge ja pärast koostad andmebaasi. Salajast võtit, aga pealt kuulata ei saa, see ei lähe kaardi pealt välja, isegi siis, kui PIN2-ga kinnitusssõnumi vastu saadad. Päringu tegija saab vastuseks kas jah või ei. Ahjah, lugesin teema kohta uut infot- Kõik 750 000 serti lähevad asendamisele. Ok, sellega lükatakse riski realiseerumise tõenäosus küll tulevikku, kuid ära ei lahendata. Kipun arvama, et praegune algoritm ja metoodika vist ikka pole enam usaldusväärsed ehk kokkuvõttes, kui saan õigesti aru, siis löögi all on kogu e-riiklus ja digibürokraatia. Selleks et asja turvalisemaks teha, tuleb kõik nullist uuesti üles ehitada, teistel alustel, millistel, ma arvan, et see saab olema suurim küsimus. Asi pole isegi mitte arvutusvõimsuses, kuivõrd algoritmi lihtsuses ja lisaks kõigele muule, ega kõiki võtmeid hakata lahti murdma. Ikka need, kellel pangaarved suuremad, kui neljakohalised numbrid+ poliitikud jne jne. Seda eeldusel, et algoritmi kasutamise eesmärk oleks näiteks raha ülekandmine kusagile Panamasse vms. Lihtsa vaese eestlase salajane võti pole seda väärt, et teha nii suuri kulutusi lahtimuukimisele. E-residentsus on siinjuures väga-väga suur risk minu meelest. Tuleb keegi, estileb ennast investorina, saab omale legaalsed õigused ajada siin äri, paneb püsti veebiteenused, laseb oma veebile lisada mID/ID funktsionaalsuse ja ongi kõik. Ülejäänud must töö (võtmete lahtimuukimine) tehakse ära kusagil mujal arvutipargis, mis ei ole veebi ühendatud.
http://epl.delfi.ee/news/arvamus/juri-ratas-usaldusega-peab-kaasnema-avatus-ja-probleemide-aus-tunnistamine?id=79450978 Ja asja tõsidusele viitav tsitaat tekstist:" 750 000 kaardi praegu kehtivad sertifikaadid tuleb asendada
Täpsemalt töötame lahendusega, kus nõrkus ID-kaardi kiibil kompenseeritakse uue tarkvara ja sertifikaatide kauguuendamisega. Isegi edukas lahendus tähendab seega, et 750 000 kaardi praegu kehtivad sertifikaadid tuleb lõpuks asendada, et need saaks turvaliselt edasi toimida. See on vajalik, et meie e-riik oleks jätkuvalt usaldusväärne ka edaspidi.".
|
|
| tagasi üles |
|
 |
indrpo
HV Guru
liitunud: 14.11.2004
|
08.09.2017 21:54:36
|
|
|
kõige suurem turvarisk on inimene, vahepeal tuli tihti telefonile mID päring suvalisel ajal suvalise koodiga, pane ainult pin ja saabki keegi kusagile sisse. õnneks rakendus isegi näitab, kuhu üritati siseneda.
minujaoks on see turvariski teema ammendatud, kõik on võmalik aga ilma kurjami rahasummasid omamata, on oht olematu.
|
|
| Kommentaarid: 262 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
0 :: |
228 |
|
| tagasi üles |
|
 |
ab79
HV kasutaja
liitunud: 17.10.2012
|
08.09.2017 22:10:29
|
|
|
| indrekp kirjutas: |
kõige suurem turvarisk on inimene, vahepeal tuli tihti telefonile mID päring suvalisel ajal suvalise koodiga, pane ainult pin ja saabki keegi kusagile sisse. õnneks rakendus isegi näitab, kuhu üritati siseneda.
minujaoks on see turvariski teema ammendatud, kõik on võmalik aga ilma kurjami rahasummasid omamata, on oht olematu. |
Nõus, et inimene on suurim risk, aga siis polegi midagi teha, kui sellest digiprogressist loobuda. Pole olemas isegi võimalust mis välistaks näiteks, et rakenduse koostaja ise on topeltagent . Aga mis puudutab mID suva päringuid, mul pole juhtunud. On juhtunud, et kui üks päring panga poolt tuleb suure viivitusega, et jõuan vahepeal juba vana sessi katkestada, et alustada uut, siis esmalt saabub vana sessi kinnitussõnum.
Kord niiviisi 2 aegunud kinnitussõnumit järjest tulid.
Oht on küll olematu, aga kui juba teoreetilisest võimalusest tehakse nii suur probleem, siis mis juhtuks, kui see oleks realiseerunud risk?!?
Kui ma seda viimast uudist teema kohta lugesin, siis juba mõtlesin, et ah sa raisk, panevad serdid kinni ja ajutiselt peab siis asju ajama samamoodi, kui aastal 2000 ja enne seda. Kujutaks ette, et osad riigiteenused jookseksid siis kohe kokku, sest andmebaasidesse on ka ametnikel ligipääs ID põhiselt. Hakata seda kõike ümber korraldama nagu vanasti, kus paberil allkirjastatud dokumendid liiguvad tigupostiga, arveid maksad pangakontoris letiääres 3 tunnise sabas seismise järel ja ülla ülla palju õnne maksumaksjatest residentidele EMTAle TSD erinevate vormide täitmisel , digiretseptid tagasi pabrretseptideks, maanteeametiga toimingud samuti statsionaarseks. Kas võib tegelikult üldse ette kujutada, et tänapäeva kiire elutempo juures selle kõige jaoks aega jääks?!?
|
|
| tagasi üles |
|
 |
rv30
HV kasutaja
liitunud: 24.06.2007
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
09.09.2017 11:50:16
|
|
|
| PontuLontu kirjutas: |
| Super AMOLED kirjutas: |
| ehk et see mis 70ndatel oli murdmatu, avanes 90ndatel juba minutitega. |
| sukelduja kirjutas: |
Ega sa ei saanud seda avalikke võtmete baasi ka kogu täiega alla laadida. Said pärida isikukoodi järgi. Ja minumeelest olid lisaks piirangud kui kiiresti said neid päringuid teha ka. https://www.sk.ee/repositoorium/ldap/ldap-kataloogi-kasutamine/
| tsitaat: |
| Isikusertifikaatide otsingule on seatud piirang, mis takistab mustri alusel andmete otsimist. Sertifikaadi leidmiseks kataloogist tuleb päringusse sisestada täpne cn või serialNumber välja väärtus. |
|
Nüüd oleks paslik meelde tuletada, kui kaua meil ID kaardid kasutusel on ja palju aega oli andmete päringuteks ))
Mäletan küll seda aega, kus müüdi üsna avalikult mingit politsei andmebaasi kõikide eesti elanike andmetega .... |
Teeme väikese matemaatika, 750 000 serti kehtivusajaga 5 aastat. Et kõik kätte saada tuleb alla laadida 410 serti päevas. See jääb päris ruttu admini silma. Sellised päringud tarpititakse ära päris ruttu. Pealegi ei ole 750 000 serti ohus, tegelikult on nendest ainult väike osa. Kuna riigi pool pole ka salajasi võtmeid, siis pole neil võimalik otsustada millised võtmed on nõrgad ja millised mitte. Ainuke mõistlik lahendus on kõik võtmepaarid asendada. Ja need nõrgad võtmed nõuavad ka murdmiseks päris palju arvutusvõimsust. See ei ole mingi bitcoini arvutamine, me räägime superarvuti klassis ülesandest.
Kokkuvõtteks on praegu kõik õigesti tehtud andmeturbe seisukohalt. See et meie jobu peaminister ja sõbrad kukkusid asjast isiklikku kasu lõikama on kurb kaasnähtus.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
Dogbert
HV Guru

liitunud: 03.05.2004
|
09.09.2017 12:24:10
|
|
|
| sukelduja kirjutas: |
| PontuLontu kirjutas: |
| Super AMOLED kirjutas: |
| ehk et see mis 70ndatel oli murdmatu, avanes 90ndatel juba minutitega. |
| sukelduja kirjutas: |
Ega sa ei saanud seda avalikke võtmete baasi ka kogu täiega alla laadida. Said pärida isikukoodi järgi. Ja minumeelest olid lisaks piirangud kui kiiresti said neid päringuid teha ka. https://www.sk.ee/repositoorium/ldap/ldap-kataloogi-kasutamine/
| tsitaat: |
| Isikusertifikaatide otsingule on seatud piirang, mis takistab mustri alusel andmete otsimist. Sertifikaadi leidmiseks kataloogist tuleb päringusse sisestada täpne cn või serialNumber välja väärtus. |
|
Nüüd oleks paslik meelde tuletada, kui kaua meil ID kaardid kasutusel on ja palju aega oli andmete päringuteks ))
Mäletan küll seda aega, kus müüdi üsna avalikult mingit politsei andmebaasi kõikide eesti elanike andmetega .... |
Teeme väikese matemaatika, 750 000 serti kehtivusajaga 5 aastat. Et kõik kätte saada tuleb alla laadida 410 serti päevas. See jääb päris ruttu admini silma. Sellised päringud tarpititakse ära päris ruttu. Pealegi ei ole 750 000 serti ohus, tegelikult on nendest ainult väike osa. Kuna riigi pool pole ka salajasi võtmeid, siis pole neil võimalik otsustada millised võtmed on nõrgad ja millised mitte. Ainuke mõistlik lahendus on kõik võtmepaarid asendada. Ja need nõrgad võtmed nõuavad ka murdmiseks päris palju arvutusvõimsust. See ei ole mingi bitcoini arvutamine, me räägime superarvuti klassis ülesandest.
Kokkuvõtteks on praegu kõik õigesti tehtud andmeturbe seisukohalt. See et meie jobu peaminister ja sõbrad kukkusid asjast isiklikku kasu lõikama on kurb kaasnähtus. |
Justnimelt. Ohus on vaid mingi osa neist ja mitte keegi ei tea, kui suur osa ja veel vähem, millised konkreetselt. Nii et nõrkade võtmete leidmiseks tuleb läbi hekseldada kas kõik või vähemalt väga suur osa sellest 750000-st. Juba suure hulga avalike võtmete kättesaamine on problemaatiline, rääkimata arvutusvõimsusest, mis kulub suuremas osas täitsa tühja töö tegemisele, millel üldse mingit tulemust ei pruugi olla ega tulla.
Küllap oleks lihtsam ja odavam üks ports eesti turiste kusagil pantvangi võtta koos oma idukaartidega ja neilt PIN-id välja pinnida. Aeg, mille jooksul kompromiteeritud võtmed blokeeritakse, on nagunii ligilähedaselt sarnane.
Oht on ikkagi puhtteoreetiline praeguse seisuga, teoreetilisem kui pantvangide stsenaarium. Ei ole põhjust seda ignoreerida, st et tuleb seda auku lappima hakata, aga ei ole põhjust ka paanikaks, mis on praeguse seisuga üles keeratud. Veel vähem on põhjust süsteemi turvalisuses kahelda või selle sulgemisest jutlustada.
mID kampaania on täpselt see mis ta on - reklaamikampaania, mis õnnetut olukorda ära kasutada ja naiivsetele oma kaupa kaela määrida üritab. Häbi peaks olema neil.
_________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
32 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
09.09.2017 13:59:52
|
|
|
Dogbert,
vaata, tänases kukus oli hea võrdlus.
sõnasõnalt ei mäleta, aga a la
"Toyota teatab, et kaasistuja turvapadi võib mitte rakenduda juhul kui auto sõidab kiirusega 46,6 km tunnis, paiskub teelt välja parema esiuksega vastu puud. Kõik autod selle teoreetilise ( mitte ükski neist pole veel sellel kiirusel teelt välja sõitnud, ja kui on, pole olnud puud, mitte ükski turvapadi ei ole veel mitte rakendunud, keegi pole hukkunud jne.jne) veaga kutsutakse tagasi softavea parandamiseks."
Kas keegi tahab tõesti öelda, et Toyota reageeris üle ?????
Ei reageerinud.
Oht on küll teoreetiline, kuid selle praktilisuseni jõudmiseni on vaja ainult aega.
Ja kui mingi autoomanik ei reageeri, ja esindusse ei ilmu, siis teoreetiles ohu realiseerumisel saab ta süüdistada ainult iseennast. Teda oli teavitatud ohust / teoreetilisest /...
Sellise reaktsiooni põhjuste kohta käib veel tõik, et arenenud maailmas taolise juhtumi järel tekib kohe kohtukaasus mingi üüratu kahjusummaga autotootja kahjuks. Ja iga autotootja on sellest teadlik.
Eestis ei kaitse ID-kaardi kasutajaid riigi eest mitte keegi.
Samamoodi on ID kaardi probleemiga.
Mine ei tahaks olla selle inimese nahas, kes äkki avastab et on oma maise vara kuskile somaaliasse kinkinud - allkiri on dokumendil olemas, riik ( EESTI RIIK ) on öelnud, et see allkiri on kehtiv ja juriidiliselt ehtne.
Mine tõesta, et sa ei ole eesel ja sellist dokumenti pole allkirjastanud....
IMHO,
Sertifikaadid tuleb uuendada kohe ( tühistades vanad ) , nii avalikud kui ka salajased. See meede vähendaks võimalust, et mingi 90-aastate andmebaasi alusel tehtud päringutega on kuskil serverites N+1 olemas mingi kogu kehtivaid avalikke serte, millest saab tuletada salajased..
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
09.09.2017 15:24:59
|
|
|
| PontuLontu kirjutas: |
Dogbert,
vaata, tänases kukus oli hea võrdlus.
sõnasõnalt ei mäleta, aga a la
"Toyota teatab, et kaasistuja turvapadi võib mitte rakenduda juhul kui auto sõidab kiirusega 46,6 km tunnis, paiskub teelt välja parema esiuksega vastu puud. Kõik autod selle teoreetilise ( mitte ükski neist pole veel sellel kiirusel teelt välja sõitnud, ja kui on, pole olnud puud, mitte ükski turvapadi ei ole veel mitte rakendunud, keegi pole hukkunud jne.jne) veaga kutsutakse tagasi softavea parandamiseks."
Kas keegi tahab tõesti öelda, et Toyota reageeris üle ?????
|
Soovitaks vaadata "Fight Club" veelkord üle. Seal on täpselt selline situatsioon lahti seletatud. Igasuguse riskianalüüsi raudvara. potentsiaalne kahju vs parandamise maksumus. Kui kahju on väiksem kui kulu siis ei parandata.
| tsitaat: |
Oht on küll teoreetiline, kuid selle praktilisuseni jõudmiseni on vaja ainult aega.
Ja kui mingi autoomanik ei reageeri, ja esindusse ei ilmu, siis teoreetiles ohu realiseerumisel saab ta süüdistada ainult iseennast. Teda oli teavitatud ohust / teoreetilisest /...
|
Meie juhul on sertide kasutusaeg väga konkreetselt piiratud. 5 aasta pärast on teema maas igal juhul.
| tsitaat: |
Sellise reaktsiooni põhjuste kohta käib veel tõik, et arenenud maailmas taolise juhtumi järel tekib kohe kohtukaasus mingi üüratu kahjusummaga autotootja kahjuks. Ja iga autotootja on sellest teadlik.
Eestis ei kaitse ID-kaardi kasutajaid riigi eest mitte keegi.
|
USA ei ole kogu arenenud maailm. (vt Rootsi delikaatsete isikuandmete lekitamise lugu) Ameerika sarjade vaatamine ei tee kedagi veel juuraeksperdiks! Tõsiselt!
| tsitaat: |
Samamoodi on ID kaardi probleemiga.
Mine ei tahaks olla selle inimese nahas, kes äkki avastab et on oma maise vara kuskile somaaliasse kinkinud - allkiri on dokumendil olemas, riik ( EESTI RIIK ) on öelnud, et see allkiri on kehtiv ja juriidiliselt ehtne.
Mine tõesta, et sa ei ole eesel ja sellist dokumenti pole allkirjastanud....
|
Sellise stsenaariumi realiseerumise tõenäosus on väga väike. Miks? Sest isegi kui sul õnnestub inimese isikukood ja avalik võti hankida, ei saa sa teada, kas see on rünnatav. Ja kui isegi on, vajab see palju raha ja arvutusvõimsust. Ja kui see kõik on olemas, siis saab sellise tehingu ikkagi kohtus tühistada. Sellisel asjal pole eriti praktilist väärtust. Ainuke tõsine saavutatav väärtus on mainekahju tekitamine.
| tsitaat: |
Sertifikaadid tuleb uuendada kohe ( tühistades vanad ) , nii avalikud kui ka salajased. See meede vähendaks võimalust, et mingi 90-aastate andmebaasi alusel tehtud päringutega on kuskil serverites N+1 olemas mingi kogu kehtivaid avalikke serte, millest saab tuletada salajased.. |
90-ndate andmebaasist üksi ei piisa. Ja ma hakkan tõsiselt su pädevuses kahtlema kui sa räägid avalike ja salajaste võtmete eraldi tühistamisest. Võtab nüüd lahti https://en.wikipedia.org/wiki/Public_key_infrastructure ja loeb läbi!
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
09.09.2017 19:18:18
|
|
|
sukelduja,
1. Ei ole ma üldse kirjutanud midagi USA-st. See on sinu soovmõtlemine.
2. Samuti ei ola ma kuskil end positsioneerinud IT guruks.
salajase võtme tuletamisest avalikust võtmest kirjutas geenius.ee - kaldun neid uskuma rohkem, kui oma huve kaitsvaid süsteemi töötajaid, kele mundriau pihta see seik käib.
on ju toonitatud et viga tekib riistvara ja meie spetsialistide kirjutatud programmi koostöös.....
Nagu ka enne räägitud ja kirjutatud, kusjuures mitte minu poolt, on see "suur rahahunnik" vajalik juhul, et alustad nullist.
Keegi pole hinnanud võimalust, et arvutipark ja spetsialistid ülesande lahendamiseks on juba olemas.....
Ja nagu ikka - sertide uuendamisest ainuüksi ei piisa, arvan et tead seda isegi. Pea liivaalla peitmisest ja probleemi olematuks rääklimisest ei piisa.
Ma tahaks näha, kuidas keegi tühistab kohtus oma digiallkirja juhul, kui "midagi pole ju juhtunud. kõik on parimas korras"
Mis puudutab "Fight clubi" siis seda ma vaadanud ei ole.
On isiklik kogemus Chrysleriga aastast 2000 mille 2 recalli tehti tasuta silberautos korda aastal 2015. Kas see kvalifitseerub teistsugusele lähenemisele ???
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
sooty
HV veteran
liitunud: 12.06.2004
|
09.09.2017 19:40:30
|
|
|
Geenius ütles seda ka, et nüüd jäävad kõik kodudest ilma. Ometi pidid pärast arvatavat klobimist nende kinnimakstud ja enda huvisid teenivate ekspertide poolt üles panema sellise täpsustuse:
ID-kaardi turvarisk notaritehinguid ei ohusta
https://geenius.ee/uudis/id-kaardi-turvarisk-notaritehinguid-ei-ohusta/
Täitsa kohutav, millised vandenõuteoreetikud ja "ekspertide" arvamustele tuginevad tarkpead siin foorumist vahest välja ujuvad. Prantsuse tsensuuri teemas sain tarkpeas kriitilise kognitiivse dissonantsi taseme tekitamisel päris hea sõimu osaliseks.
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
12 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
09.09.2017 20:02:08
|
|
|
| PontuLontu kirjutas: |
sukelduja,
1. Ei ole ma üldse kirjutanud midagi USA-st. See on sinu soovmõtlemine.
2. Samuti ei ola ma kuskil end positsioneerinud IT guruks.
salajase võtme tuletamisest avalikust võtmest kirjutas geenius.ee - kaldun neid uskuma rohkem, kui oma huve kaitsvaid süsteemi töötajaid, kele mundriau pihta see seik käib.
|
Siin pole mingit mundriau küsimust, kui oleks, siis poleks keegi iitsatanud ka enne oktoobri keskpaika. Tehti nii nagu peaks, avalikustati täpselt niipalju kui vaja ja piirati niipalju kui vaja ka samas niivähe kui võimalik. Geenius on ikkagi 21. sajandi ajakirjandus, sensatsioon, fame ja klikid on kõige tähtsam.
| tsitaat: |
Nagu ka enne räägitud ja kirjutatud, kusjuures mitte minu poolt, on see "suur rahahunnik" vajalik juhul, et alustad nullist.
Keegi pole hinnanud võimalust, et arvutipark ja spetsialistid ülesande lahendamiseks on juba olemas.....
|
Selline arvutipark ei seisa kellelgi jõude kuskil nurgas. Seda ei arvuta 1 videokaardiga. Juba elektrikulud sellises mahus arvutamiseks on märkimisväärsed. Teine võimalus on osta arvutusvõimsust Compute Cloudist. Selle puhul on asi üsna lihtne, kindel hulk protsessoreid, mälu, võrku ja IOd maksab konkreetse summa. Ei pea midagi soetama, aga raha läheb kõvasti. Selliste summade puhul ei räägi keegi riistvara või tarkvara maksumusest vaid TCO-st.
| tsitaat: |
Ja nagu ikka - sertide uuendamisest ainuüksi ei piisa, arvan et tead seda isegi. Pea liivaalla peitmisest ja probleemi olematuks rääklimisest ei piisa.
|
Täpsemalt miks ei piisa? Kui eeldame, et uued serdid on korrektselt genereeritud.
| tsitaat: |
Ma tahaks näha, kuidas keegi tühistab kohtus oma digiallkirja juhul, kui "midagi pole ju juhtunud. kõik on parimas korras"
|
Kohtus on ka notariaalselt kinnitatud tehinguid tühistatud.
| tsitaat: |
Mis puudutab "Fight clubi" siis seda ma vaadanud ei ole.
|
Aga võiks.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
Jänes
HV kasutaja
liitunud: 16.11.2003
|
09.09.2017 22:02:38
|
|
|
| sooty kirjutas: |
| Geenius ütles seda ka, et nüüd jäävad kõik kodudest ilma. |
Linki !
|
|
| Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
1 :: |
5 |
|
| tagasi üles |
|
 |
sooty
HV veteran
liitunud: 12.06.2004
|
09.09.2017 23:01:52
|
|
|
Andsin ju. Miks quotest lingi välja jätsid?
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
12 |
|
| tagasi üles |
|
 |
ab79
HV kasutaja
liitunud: 17.10.2012
|
09.09.2017 23:58:51
|
|
|
Praegu on ilmselt varuvariandiks mID serdid. Sellega võidab riik aega juurde, et probleem lahendada.
|
|
| tagasi üles |
|
 |
kriimsilm
HV kasutaja

liitunud: 19.05.2002
|
10.09.2017 00:19:06
|
|
|
| Nad võiksid mängu tuua PIN3-e mida küsitaks teatud juhtudel PIN2-le lisaks, et saada allkirjale kehtivuskinnitus. PIN3 ei oleks otseselt ID-kaardiga seotud, see saadetaks kehtivuskinnituse serverile. Tegelikkuses oleks see nii suur muudatus protsessi, et seda tõenäoliselt ei realiseerita.
|
|
| Kommentaarid: 12 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
12 |
|
| tagasi üles |
|
 |
jeesus188
kodustatud

liitunud: 14.04.2003

|
10.09.2017 00:48:58
|
|
|
Pin4,5,6 oleks veel kindlam
_________________ This message was sent from space using stargate
Inimene on troopiline AHV Aga kes on naine? Valge on ka inimene !
"Vaese inimese juttu räägid. Kui tundub kallis, siis on see kellelegi teisele mõeldud" |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
64 |
|
| tagasi üles |
|
 |
rv30
HV kasutaja
liitunud: 24.06.2007
|
10.09.2017 07:53:01
|
|
|
| ab79 kirjutas: |
Praegu on ilmselt varuvariandiks mID serdid. Sellega võidab riik aega juurde, et probleem lahendada. |
Täna puudub võimalus m-ID aktiveerimiseks olukorras, kus ID-kaardi sertifikaadid ei kehti.
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
10.09.2017 08:34:44
|
|
|
| sukelduja kirjutas: |
| Siin pole mingit mundriau küsimust, kui oleks, siis poleks keegi iitsatanud ka enne oktoobri keskpaika. |
kas ikka ei ole ???
tsitaat " et riskipõhjus selgitati välja – selleks oli kaardi kiip "
http://pluss.postimees.ee/4238025/vastasele-kasulik-risk-avalikustati-ajaga-voidu-joostes
samal ajal
"Turvarisk tekkis uue kiibi ja tarkvara koosmõjus."
http://www.err.ee/616783/id-kaardi-turvarisk-politsei-vastused-korduma-kippuvatele-kusimustele
| tsitaat: |
Täpsemalt miks ei piisa? Kui eeldame, et uued serdid on korrektselt genereeritud.
|
kuna - vaata tsitaat number 2 eelpool.
| tsitaat: |
Kohtus on ka notariaalselt kinnitatud tehinguid tühistatud.
|
hahahaaaa - proovi kujutleda kohtukeissi kus mingi X erakonna võtmeisik püüab tõestada, et tema ei ole teinut paarimillist ülekannet enda poolt vastasutatud firma kontole "yyy" millelt see raha ilusti mingi ISISe grupi kontoni jõudis.
Eriti kui selgitatakse välja kõik need tegevused tehti riigikogu saalis asuvast arvutist....
Muuseas, ega ma notariaalsetest tehingutest pole samuti rääkinud.
Maise vara võib inimeselt võtta ka muut moodi, notari teenuseid kasutamata. Näiteks piisaks isikliku pankrotini viiva võla tekitamisest.
| tsitaat: |
Aga võiks.  |
aga ei peaks. Igal meist on oma huvid vaba aja täitmiseks tegevusega. Telekavahtimine pole minu hobi kuna IMHO see zombeerib.
kuskil oli selles topikus küsimus, et "mitu korda öeldi" ....
mõtle selle peale, kui mitu korda on vaja ühte lauset öelda, et inimesed seda uskuma jääksid , Ja kas usu ja fakti vahel on üldse mingi seos.
PS
fooliumimütsi pole vaja pakkuda, ja seemneid pole ma ka söönud.
veel lisaks, kuna sa näivat teadvat, kui palju arvutusvõimsust oneks vaja sellise ülesande lahendamiseks, ja isegi, kui palju see elektrivõimsust sööks, siis juhiks tähelepanu sellele, et mingid tšehhi teadlased on selle võimaluse tuvastanud. Vaevalt nad paberil selle tuvastusega tegelesid. Olis neil siis selline arvutivõimsus juba kasutada ????
Lugema peaks pressiteateid ikka ka ridadevahelt ...
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
Jänes
HV kasutaja
liitunud: 16.11.2003
|
10.09.2017 11:05:46
|
|
|
| sooty kirjutas: |
Andsin ju. Miks quotest lingi välja jätsid?  |
Miks trollid ? Sinu antud lingil pole sõnagi --et nüüd jäävad kõik kodudest ilma.
Nägid ka mida ma küsisin ?
|
|
| Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
1 :: |
5 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
10.09.2017 12:15:06
|
|
|
| PontuLontu kirjutas: |
veel lisaks, kuna sa näivat teadvat, kui palju arvutusvõimsust oneks vaja sellise ülesande lahendamiseks, ja isegi, kui palju see elektrivõimsust sööks, siis juhiks tähelepanu sellele, et mingid tšehhi teadlased on selle võimaluse tuvastanud. Vaevalt nad paberil selle tuvastusega tegelesid. Olis neil siis selline arvutivõimsus juba kasutada ????
Lugema peaks pressiteateid ikka ka ridadevahelt ... |
Selle aja, mida sa kulutad vandenõuteooriatele, võiksid pühendada Turingi, Hilberti, Gödeli ja teiste suurte matemaatikute tööde uurimisele. Teoreetiline nõrkus avastataksegi just nimelt paberil või siis näiteks võtmepaari genereerimise käigus. Sellest, et teoreetilisest nõrkusest praktiline proof of concept saaks on veel pikk tee. Väga tõenäoliselt on tegu nõrkusega võtmepaari genereerimisel ja analüüsijatel on käes mõlemad - nii avalik kui salajane võti ja võimalus genereerida väga palju võtmepaare. Näiteks genereeritakse miljon võtmepaari ja siis kontrollitakse nende statistilist jaotust. Kui selle käigus näiteks selgub, et juhuslikkus, millega võtmeid genereeritakse, on väiksem kui peaks, siis ongi teoreetiline nõrkus leitud. See ei tähenda veel kuidagi, et analüüsijatel on ühtegi salajast võtit leitud ilma seda eelnevalt teadmata. Üldiselt kipubki krüptoloogiliste lahenduste kõige nõrgem koht olema juhuslikke arvude genereerimine. Üldiselt on teada kui palju arvutusvõimsust kulub mingi biti-pikkusega arvu faktoriseerimiseks. Kui arvu kohta on teada, et algtegurid kuuluvad mingisse kindlasse vahemikku või hulka, siis on sellevõrra vähem ka vajaminevaid arvutusi vaja teha. Ehk siis on võimalik hinnata kui palju arvutusvõimsust reaalselt kulub ilma seda tegelikult läbiarvutamata. Matemaatika mõned distsipliinid tegelevadki hindamisega kui suur mingi funktsiooni tulemus on ja kui suur on võimalik viga. Reaalarvuliste väärtuste korral pole täpset tulemust niikuinii võimalik leida. Ainult täpsuse suurusjärku.
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
ab79
HV kasutaja
liitunud: 17.10.2012
|
10.09.2017 13:17:09
|
|
|
| rv30 kirjutas: |
| ab79 kirjutas: |
Praegu on ilmselt varuvariandiks mID serdid. Sellega võidab riik aega juurde, et probleem lahendada. |
Täna puudub võimalus m-ID aktiveerimiseks olukorras, kus ID-kaardi sertifikaadid ei kehti. |
Ma arvan, et praeguses olukorras lastakse inimestel mID ära teha ja siis vaikselt hakatakse ID serte peatama ja asendama. Ega ilmaaegu polnud pressikal peaministri ja majandus.kom. ministri poolt antud soovitus võtta kasutusele mID lisaks ID kaardile.
Teine lugu on sellega, et kui paljud seda soovitust kuulda võtavad ja reaalselt kasutusele võtavad, sest ega sertide asendamine proleemi ei lahenda, kaugemas tulevikus võib osutuda vajalikuks tõesti serdid tühistada. Aga seda ei saa enne teha, kui on olemas 100%-line alternatiiv praegusele lahendusele.
|
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
10.09.2017 18:09:28
|
|
|
sukelduja,
ei viitsi vaielda- Sul nähtavasti otseside selle teadlaste grupiga, ja võimalik et isegi info RIA-ni jõudis läbi sinu. Nii hästi tead, kuidas asjad tegelikkuses on Eks ootame konverentsi ära....
Mis puudutab MobiilID-d, siis enne maksana ma pangale PIN kalkulaatori olemasolu eest ( selle turvalisuse eest vastutab tema ), kui mobiilioperaatorile lõivu mingi olematu teenuse eest ainult selletõttu, et lobimeeskond oma tööd hästi teeb.
Mingit allkirja dokumendile riigiga suheldes on mul vaja 1 kord 5 aasta jooksul.
Tihedamini ma riigiga nii kui nii ei suhtle.
Seega suht savi kogu ID-kaardi süsteemi põhjamineku suhtes.
Lisaks nendele mõtetele, mis siin foorumis juba avalikuks olen toonud meenutaks veel ühte fakti.
Teada tuntud fakt - internetipankade alguspäevist kuni tänapävani on kliendi identifitseerimiseks kasutusel nn "koodikaart".
Pärast ID kaardi turuletulekut /just turule - miks ma nii arvan - sellest hiljem/ hakkasid pangad koodikaartide kasutajate võimalusi piirama.
ja seda "koodikaartide väikese turvalisuse" ettekäändel.
Tänapäeval on paljudes pankades ( ei saa öelda kõikides, kuna pole kõikide pankade klient ) tehingulimiit koodikaarti kasutades 200 euri.
Seega kui tuletada meelde
| tsitaat: |
| potentsiaalne kahju vs parandamise maksumus. |
väidet, peaks nagu järeldama, et pangad on hinnanud koodikardiga tehingute turvalisuse potentsiaalse kahju 200 euroga......
Ja nüüd tuletame meelde pankade reageeringut olukorrale "Pangad andsid märku, et nad on sellise riskiga arvestanud ning probleem ei ole nii tõsine, kui kardeti." ///http://pluss.postimees.ee/4238025/vastasele-kasulik-risk-avalikustati-ajaga-voidu-joostes
siis selgub üks huvitav moment.
Vaatamata hinnangule 200 euri on enamus riigiameteid nõus identifitserima kasutajat läbi panga, isegi kui see kasutab sisselogimiseks koodikaarti !!!
niipalju võimalikest ja tõenäolistest lobidest meie riigis.
Ja ID kaart toodi justnimelt turule, kuna mingi grupp lobistas selle idee omakasu eesmärgil. Väga tõenäoline on, et sama grupp teeb ka praegu lobitööd, sisendamaks kõigile et "probleemi pole".
Rääkida "kohustuslikust isikut tõendavast dokumentist, mis ei ole pass, ja mille kasutus päädib lihtsa ettenäitamisega, kuna kiip ja selle kasutamine on suht mõttetu - on ikkagi lihtsalt turundustrikk.
E riik võib vabalt toimuda ka ilma ID kaardita.
Jah, võib olla lima digiallkirjata.
See on aga liiga väike argument, et kogu elanikkonnale pähe määrida praktiliselt mittevajalik / kuku tõi statistikat allkirjade andmise kohta ID kaardiga ja sai migi 75 tuhat - vähem kui 1/5 täiskasvanud elanikkonnast riigis / ja nüüd ka mittetoimiv asi.
Ülaltoodu on otse loomilikult IMHO ja ei pretendeeri mingil määral millelegi muule.
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
sukelduja
HV Guru

liitunud: 14.06.2007
|
10.09.2017 18:17:50
|
|
|
| PontuLontu kirjutas: |
ei viitsi vaielda- Sul nähtavasti otseside selle teadlaste grupiga, ja võimalik et isegi info RIA-ni jõudis läbi sinu. Nii hästi tead, kuidas asjad tegelikkuses on Eks ootame konverentsi ära....
|
Ma ei tunnegi, et ma kellelegagi vaidlen, ma üritan selgitada kuidas asjad töötavad. See ei ole kaugeltki esimene kord kui PKI-ga "ekskrement ventilaatorisse" lendab. Nii et profide/huviliste ringkonnas on üsna hea ülevaade, mis on varem viltu läinud ja mis võib viltu minna.
| tsitaat: |
Mis puudutab MobiilID-d, siis enne maksana ma pandale PIN kalkulaatori olemasolu eest, kui mobiilioperaatorile lõivu mingi olematu teenuse eest ainult selletõttu, et lobimeeskond oma tööd hästi teeb.
|
Kas sa arvad, et PIN kalkulaatori sees on mingi teistsugune tehnoloogia kui mID või id-kaardi sees?
|
|
| Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
25 |
|
| tagasi üles |
|
 |
Sold OUT
no credit

liitunud: 30.07.2002
|
10.09.2017 18:33:13
|
|
|
id kaardi eest maksad ka ju, mis vahet sel on kas maksad teenuse eest mida reaalselt hea kasutada või kaardi eest, mida hea akende kraapimiseks kasutada?
_________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist. |
|
| Kommentaarid: 94 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
1 :: |
81 |
|
| tagasi üles |
|
 |
Oompa
HV kasutaja

liitunud: 18.03.2009
|
10.09.2017 19:14:58
|
|
|
Paroolikaartide piirangud tulenevad Euroopa liidu direktiividest ja kaovad järgmine aasta arvatavasti täiesti ära. Ainult läbi panga identifitseerimisega ei saa väga kurja teha inimesele, sellepärast arvatavasti riigiametid seda ka lubavad (allkirja õigus puudub).
Ei usu et ID-kaardi võimekus kuidagi väheneb selle praeguse turvariskiga seoses. Pole kuulnud ühtegi põhjust selleks, eriti kui rõhutatakse, et risk on teoreetiline ja selle jõustumise ennetamiseks juba tehakse tööd.
_________________
 |
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
6 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
10.09.2017 19:32:23
|
|
|
| Super AMOLED kirjutas: |
| id kaardi eest maksad ka ju, mis vahet sel on kas maksad teenuse eest mida reaalselt hea kasutada või kaardi eest, mida hea akende kraapimiseks kasutada? |
selles point ju ongi. Miks peaks kohustusilk olema plastjubin, millega saab heal juhul EL piires reisida, ja talvehommikul akent kraapida , ja mis point on selle saamiseks mingit lõivu riigile maksta ????
sukelduja kiudagi ringkaitsena näib sinu soov "selgitada, kuidas asjad töötavad"
Siiamaani kõik minu poolt toodud argumendid oled sa lõpuks vastuseta jätnud
noh - ega ma ei nurise - arusaadav ju....
PIN kalkulaatori sees võib mis iganes tehnoloogia olla - põhipoint on - kelle vastutusalas on selle kalkulaatori toimimismehhanism.
ID-kaardi puhul ei näe ma, et mingigi riigiamet või muu lobistaja selle vastutuse enda omaks tunnistaks - ikka on see nn "lible tegi lible tegi - mina pole süüdi "
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
Sold OUT
no credit

liitunud: 30.07.2002
|
10.09.2017 19:36:53
|
|
|
PontuLontu, kas sa käid ID kaardiga ainult oma ühes pangas ja kõik? Kas sa saad oma PANGA PIN kalkulaatoriga kõiki e-teenuseid kasutada ja allkirjastada dokumente?
PIN kalkulaator on ju ka ERAfirma omanduses jublakas.
_________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist. |
|
| Kommentaarid: 94 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
1 :: |
81 |
|
| tagasi üles |
|
 |
rv30
HV kasutaja
liitunud: 24.06.2007
|
10.09.2017 19:59:31
|
|
|
| Niikaua kuni selle "plastjubina, millega saab heal juhul EL piires reisida, ja talvehommikul akent kraapida" sertifikaadid kehtivad ei päästa mitte kedagi ei mobiil-ID, ei koodikaardi, ei smart-ID ega ka PIN-kalkulaatori kasutamine. Alles sertifikaatide peatamine või sulgemine välistab avalikustatud turvariski. Selles mõttes oli tobe riigiametnikele antud soovitus kasutada mobiil-ID'd.
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
 |
Goon
Kreisi kasutaja

liitunud: 12.06.2005
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
 |
Sold OUT
no credit

liitunud: 30.07.2002
|
10.09.2017 20:17:26
|
|
|
kas te nagu päriselus ka kardate ja ülereageerite igas situatsioonis? või olete sellised ainult internetis?
näiteks kui rimi kassas lemmik kohupiima hind erineb 8 senti sellest mis oli riiulis
_________________ Every version of the garment appears to be sold out online, with prospective shoppers given the opportunity to join a waitlist. |
|
| Kommentaarid: 94 loe/lisa |
Kasutajad arvavad: |
   |
:: |
5 :: |
1 :: |
81 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
PontuLontu
HV kasutaja

liitunud: 23.07.2002
|
10.09.2017 21:10:35
|
|
|
| Super AMOLED kirjutas: |
kas te nagu päriselus ka kardate ja ülereageerite igas situatsioonis? või olete sellised ainult internetis?
näiteks kui rimi kassas lemmik kohupiima hind erineb 8 senti sellest mis oli riiulis |
ka 8 senti on eelkõige minu 8 senti.
Vastavalt olukorrale võib kassapidaja rõõmuks jääda selle kohipiima riiulisse tagasitoimetamise lõbu.
365 korda 8 senti teeb teatavasti 29,20 eurot aastas, joon parem 4 x sixpaki.... seni kui aktsiis ei ole jälle tõusnud
| Super AMOLED kirjutas: |
PontuLontu, kas sa käid ID kaardiga ainult oma ühes pangas ja kõik? Kas sa saad oma PANGA PIN kalkulaatoriga kõiki e-teenuseid kasutada ja allkirjastada dokumente?
PIN kalkulaator on ju ka ERAfirma omanduses jublakas. |
dokumentide allkirjastamine on teine teema.. MA saan aru et "enamik inimesi eesti vabariigis allkirjastab ühe dokumendi nädalas ja teeb seda ilmtingimata ID kaardi abil."
järelikult mina olen see inimene neist vähestest, kes riigiga suhtleb kord viie aasta jooksul, ja sedagi notariabil mingit volitust tehes
JA jah - PIN kalkulaator on ka erafirma omanduses jublakas.
aga.
Selle kasutamine ei ole mulle seadusega kohustuslikuks tehtud .
Selle töökindluse ja turvalisuse eest vastutab see sama erafirma, mis on ka selle jubina omanik. Vastutus on üheselt määratud.
rv30
kuskil oli info, et peale Mobiil-ID kasutusele võttu saabki ( peabki kindluse mõttes )ID-kaardi sertifikaadid peatada või tühistada.....
on midagi muutunud ?
Goon
see seik tuletab mulle meelde kunagist kukuraadio intervjuud ühe e-energia juhtivtöötajaga seoses keisiga Utah osariigi äri ebaõnnestumisest, kus maksumaksja rahadega opereeriva firma juhtkonna liige seletas a la
"noh et , äris tuleb ikka riskida ja vaid 1 risk kümnest õnnestub"
Kõik oleks OK , kui antud firma riskiks investeeringute tegemisel iskliku,või "naiivsete võlausaldajate", mitte maksumaksja rahaga.
kuid ka sel juhul reporter lisaküsimusi ei esitanud, ju siis oli ka kuku jaoks selline tegevus igati OK
_________________ Life is a beach, Surf. |
|
| Kommentaarid: 19 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
19 |
|
| tagasi üles |
|
 |
|