Це повідомлення є говорити про "недобросовісної" маркетингового підходу Голд-Lock, ізраїльська компанія робить мобільний шифрування голосового уповноважений міністерства оборони Ізраїлю.
Після оголошення бачив на Linkedin групи «Інформаційна безпека в співтоваристві":
GoldLock пропонує US $ 100,000 і роботу для unencryption
GoldLock, ізраїльський шифрування і безпеки компанія пропонує US $ 100,000 і роботу нікому здатного розшифрувати стільниковий розмова, що міститься у файлі, представлену в їхньому сайті ( https://www.gold-lock.com/app/en/? Хвіртка: інтерфейс =: 8 ::: :).
Транскрипція не повинні бути відправлені назад в GoldLock до 1 лютого 2010.
Конкурс відкритий для всіх і можуть бути використані будь-які інструменти або технології.
Удачи всем !!!
Я прокоментував:
Не маючи специфікацію загального протоколу навіть не науково серйозними, щоб зробити маркетингові трюки, як це.
Я б сказав, в золото-замком, давайте випустити вихідний код, і нехай хто скомпілювати криптографічного двигун, якщо ви довіряєте не мати якусь гидоту всередині ...;)
Тоні Koivunen від F-Secure сказав:
Так ... Вони заплатять $ 100k, якщо ви отримаєте через AES і клопоту з ключами.
Якщо хто буде тягнути його, вони б, звичайно, зробити вантажівка більше грошей в іншому місці. Плюс вони збережуть права на код / технології, які вони створили, що не так, якщо вони йдуть на $ 100k з Ліцензія досить ясно говорить, що:
# Лист привласнення Gold Line, у формі, що задовольняє Gold Line вашого технології та Плану роботи ("Технологія"). Така форма привласнення має включити Золота лінія передати права на технології, щоб Gold Line, в тому числі правом реєстрації патентів і всі інші права.
# Реліз і відмова форма, в формі, що задовольняє Gold Line, належним чином оформлені вами і будь-яким іншим учасником будь-яких прав на технології.
Плюс, звичайно, Gold Line зберігає за собою право змінювати правила гри з попереднього повідомлення. Або необхідності повідомити згодом небудь.
Звучить справедливо :)
Мішель Scovetta від Computer Associates сказав:
Це звучить, як мета це отримати деякі дешеві тестування з нього, і, щоб бути в змозі сказати щось на кшталт: "Кращі крипто експерти в світі спробував розбити його, і були не в змозі."
Відповідно з деякими з документації на веб-сайті Gold Lock, вони використовують ЕСС-256 і "зміна обмін ключами DH" (який поколювання свої почуття SPIDEY), SHA-256, а потім виключає АБО для фактичного шифрування даних. Вони використовують практично блюзнірський мова як, "Кожен компонент рішення Gold Lock Enterprise буде перевірено і доведено захищені від будь-якого можливого нападу."
* Перевірена * забезпечити? * Будь мислимо * атака? Чорт!
В іншому док на їх сайті, вони говорять про своє першому шарі, спираючись на 1024-бітного RSA. GoDaddy навіть не дозволяє 1024-бітові ключі, які використовуватимуться більше при генерації $ 20 SSL сертифікати. Вони цитують 300000000000 MIPS-років зламати, але якщо моя математика є правильним, що зводиться до приблизно 52 днів на верхньому суперкомп'ютера прямо зараз. Чи не тривіальним, але це повідомлення атаки, так що час на стороні атакуючого.
Опис потім каже про устрій генеруючого 16K ключі при реєстрації пристрою. Якщо протокол є "забезпечити", то вона повинна бути "забезпечити" тільки за допомогою однієї клавіші. Якщо це не безпечно за допомогою однієї клавіші, то генеруючі 16k ключі могли тільки зробити його 16k раз більш безпечним, що далеко від докази безпеки.
Я згоден з Фабіо - справедливий конкурс буде включати вихідний код і специфікацію шифрування. Крім того, як інші конкурси довели (наприклад SecureWebMail), найслабшим місцем зазвичай не криптографія. Це все з іншого матеріалу, і це не виглядає як будь-який з нього розкриваються на конкурс.
Майк
Я б сказав, що всі ці міркування від експертів з безпеки з добре відомі і встановлені охоронні компанії приносять нам вважати, що:
- Золото-замок не є прозорим на їх шифрування на всіх, і вони працюють корито поганий практики Безпеки прогину Obscurity (ніхто не знає, що знаходиться всередині продукту)
- Золото-замок не грає чесну гру, запропонувавши цю «конкурс безпеки '
- Золото-замок проходить сертифікацію по Міністерство оборони Ізраїлю може підняти сумніви, пов'язані з можливою зв'язку з інтелектом ... Читати поштою Сертифікований Міністерством оборони Ізраїлю .
Голос безпеки є розумним питання і не вистачає прозорості та урядового зв'язку для вибору криптографічних зазвичай не забезпечує нічого хорошого ...
Подумайте про це ...
