Auksinis-Lock Security Šifravimas konkursas: būkite atsargūs!

Šis pranešimas yra kalbėti apie "nesąžiningą" marketingo požiūriu Gold fiksuojamas Izraelio kompanija daro mobiliojo balso šifravimo įstatinį Izraelio gynybos ministerijos.

Po skelbimu matė dėl LinkedIn "Informacijos saugumas Bendrija" grupės:

GoldLock siūlo JAV $ 100,000 ir darbą už unencryption

GoldLock, Izraelio šifravimo ir saugumo bendrovė siūlo JAV $ 100,000 ir darbą niekam naudojant galima iššifruoti korinio pokalbį rinkmenoje paslaugos teikiamos jų svetainėje ( https://www.gold-lock.com/app/en/? varteliai: sąsaja =: 8 ::: :).
Transkripcija turi būti siunčiami atgal į GoldLock iki 1 vasaris 2010.
Konkurse gali dalyvauti visi, ir nevaldykite įrankių ar technologija gali būti naudojama.
Sėkmės visiems !!!

Aš sakė:

Neturi viešą protokolo specifikacijos nėra net moksliškai rimtas, kad rinkodaros gudrybių, kaip šis.
Sakyčiau, kad aukso spyna, galime išleisti kodą ir niekam sudaryti kriptografinio variklį jei pasitikite ne ką nors bjaurus viduje ...;)

Toni KoivunenF-Secure sakė:

Taigi ... Jie mokės $ 100k, jei jūs gaunate per AES ir vargo su raktais.
Jei kas nors būtų traukti ją išjungti jie tikrai padaryti pakrovimas daugiau pinigų kitur. Plius jie išsaugomi kodo / technologijas, kad jie sukūrė, o tai ne tas atvejis, jei jie išeina už $ 100k, nes licencija gana aiškiai sako, kad turi teisę:
# Priskyrimo raštas Gold Line, tenkinančia forma Gold Line savo technologijas ir darbo plano ("Technology"). Toks priskyrimas forma įgalina Gold Line perleisti teises į technologijos Gold Line, įskaitant teisę registruoti patentus ir visus kitus teises.
# Spaudai ir leidimo formos, tenkinančia forma Gold Line, tinkamai vykdo jūsų ir bet kurio kito dalyvio teisės į bendrą technologijos.
Plius, žinoma, aukso linija pasilieka teisę keisti žaidimo taisykles iš anksto neįspėjus. Arba kuriems pranešti vėliau nei.
Garsai sąžininga :)

Michel Scovetta nuo Computer Associates sakė:

Tai skamba kaip šio veiksmo tikslas yra gauti kai kurie pigūs išbandyti jį, ir, kad būtų galima pasakyti kažką panašaus, "Geriausi šifravimo ekspertai pasaulyje bandė jį, ir negalėjo."

Pasak kai kurių straipsnių apie Gold Lock tinklalapyje docs, jie naudoja ECC-256 ir "modifikuotus DH raktu" (kuris tingles mano Spidey pojūčiai), SHA-256, ir tada XOR už faktinį duomenų šifravimas. Jie naudoja beveik šventvagiška kalbą, pavyzdžiui, "Kiekvienas Gold Lock Enterprise sprendimo sudedamoji dalis yra išbandytas ir įrodyta, apsaugotas nuo bet kokios galimos atakos".

* Patikrinta * saugus? * Bet įmanomas * išpuolis? Oi!

Kitoje dok į savo svetainę, jie kalbėti apie savo pirmojo sluoksnio remiasi 1024 bitų RSA. GoDaddy net neleidžia 1024 bitų raktai turi būti naudojami retai generuojant $ 20 SSL sertifikatai. Jie citata 300 milijardų MIPS metų pertraukos, bet jei mano matematika yra teisinga, kad ateina į maždaug 52 dienų viršuje superkompiuterio dabar. Ne trivialus, bet tai yra autonominis ataka, todėl laikas yra dėl užpuolikas pusėje.

Aprašymas tada pasakoja apie įrenginio uždirba 16k raktus galite gauti užregistravę savo prietaisą. Jei protokolas yra "užtikrinti", tada jis turėtų būti "užtikrinti" tik vieną raktą. Jei jis nėra saugus su vienu raktu, tada generuojantys 16k raktai gali tik padaryti jį 16k kartų saugesnis, kuris yra toli nuo saugumo įrodymas.

Sutinku su Fabio - tikroji konkursas būtų įtraukti kodą ir kriptografinio specifikaciją. Taip pat, kaip kiti konkursai įrodė (pvz SecureWebMail), silpniausia paprastai nėra kriptografija. Tai visų kitų dalykų, ir jis neatrodo, kaip bet ji yra atskleista konkursui.

http://xkcd.com/538/

Mikrofonas

Sakyčiau, kad visi šie samprotavimai iš saugumo ekspertų iš gerai žinomų ir nustatytas saugumo bendrovės atneš mums manyti, kad:

  • Auksinis antiblokavimo neskaidrūs jų šifravimas ne visi, ir jie dirba lovio blogas praktiką Saugumo Trough nežinomybe (niekas žinoti, kas yra gaminio viduje)
  • Auksinis antiblokavimo negroja teisingą žaidimą siūlydama šį "saugumo konkursą"
  • Auksinis antiblokavimo duotas Izraelio gynybos ministerijos gali kelti abejonių apie galimą santykių su žvalgybos ... Skaityti paštu sertifikuota Izraelio gynybos ministerija .

Balso saugumas protingas klausimai ir trūksta skaidrumo ir Vyriausybės santykius už kriptografinių pasirinkimai paprastai neteikia nieko gero ...

Pagalvokite apie tai ...

Leave a Reply

Jūsų elektroninio pašto adresas nebus publikuojamas. Privalomi laukai yra pažymėti *

Galite naudoti šias HTML žymas ir atributus: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>