Re: [Ciotoflow] 30C3: The Year in Crypto

Delete this message

Reply to this message
Autore: Giuseppe De Marco
Data:  
To: Flussi di ciotia.
Oggetto: Re: [Ciotoflow] 30C3: The Year in Crypto
> Dico la mia: Secondo me c'│ un grande gap sul piano comunicativo. Ognuno

> > dovrebbe evitare di rappresentare una potenziale minaccia per la societ¢
> > senza rinunciare di dire ci￲ che pensa.
>
> Uh?!Non ho capito...che c'entra la parte sulla "potenziale minaccia"?
>


Ci sono infiniti modi di esprimere una cosa, la discretizzazione delle
informazioni è fatta tramite parole taggate nel testo.
Anche usando termini diversi - proprio come fanno le spie - eviti il fiato
sul collo.


>
> > Dal 2004 al 2014 - ben 10 anni - hanno affinato e continuano a sviluppare
> > algoritmi di datamining che consentono di discretizzare le cellule
> > sovversive partendo dalle relazioni digitali 2.0 e dai contenuti
> > pubblicati. Questo significa che riescono ad estrarre dati sensibili
> > attraverso parser e ricostruire il profilo politico/emotivo di un
> > individuo.
>
> Ancora non capisco. Nessuno ha parlato di sovversione o altro. Le tecniche
> di
> controllo per prendere di mira piccoli gruppi di bersagli ci sono sempre
> state
> e ci sono anche adesso (vedi l'armamentario di 0day che ha l'nsa). Il
> problema
> non e' il controllo mirato,ma il fatto che con la scusa di contrastare
> pochi
> individui (terroristi/satanisti/eccecc) spiano *tutti* (anche se in gradi
> diversi).
>


Loro controllano tutto ma usano degli algoritmi di classificazione che
consentono di distinguere e raggruppare i casi.
sulla stima dei casi stanno sperimentando le indagini.


>
> > Piuttosto che computers: I servizi segreti usano da quasi un secolo lo
> > stesso stupido metodo, ancora infallibile, cifrari statici condivisi
> > one-time-pad
>
> Gia',come dimostra questo caso balzato nella cronaca piu' che altro per il
> fatto che la spia era una "ciuccia" (ndt persona con molto fascino) [0].
> Peccato che se hai modo di trasmettere in modo sicuro una chiave lunga
> quanto
> il messaggio da proteggere tanto vale che allora comunichi il messaggio :)
> . O
> tradotto, non e' possibile contattare fisicamente tutte le persone con cui
> vuoi comunicare :)
>


Evidentemente si ricorre a chiavi più lunge degli stessi messaggi.
Se vedi una chiave di un cifrario di una spia ti rendi conto che la chiave
supera anche fino a 12 volte il messaggio inviato.


>
> > La crittografia secondo me serve solo a non farti sgamare dal vicino di
> > casa, dai tuoi amici, per fare uno scherzo o lanciare una sfida.
>
> See vabbe'..poi sono io il catastrofista :) . La stessa NSA si sta facendo
> il
> culo per aggirare o indebolire (vedi NIST ed RSA) la crittografia esistente
> visto che non e' cosi' semplice da "rompere"..il problema e' che viene
> aggirata. Anche Snowden che sapra' quello che dice non e' daccordo con te
> :) [1]



> "Encryption works. Properly implemented strong crypto systems are one of
> the
> few things that you can rely on. Unfortunately, endpoint security is so
> terrifically weak that NSA can frequently find ways around it."
>


C'è un margine di rischio tale che mi porta a pensare che sia più facile
cambiare le abitudini e il linguaggio piuttosto che chiavi e metodo di
criptazione.


>
> > Le agenzie di sicurezza sono dentro i consorzi che realizzano le backbone
> > di internet. Anche se usi TOR, anche se non riescono subito a decriptare
> > subito il flusso perch│ non hanno abbastanza nodi TOR nei quali navighi,
> > riescono a capire in quale punto del mondo sei in poco tempo.
>
> Uhm..avevo letto di vari attacchi a Tor (specialmente per localizzare gli
> hidden service),ma niente di simile. In quel talk Appelbaum parla di
> applicare
> i reset che usano in Cina per evitare che tu possa collegarti a Tor in
> scala
> mondiale,quindi "interrompere" l'utilizzo di Tor,ma non di capire chi si
> collega da dove. Hai un link a qualche paper?
>


Scusami ma sicuramente ne sai di più del sottoscritto.
Quando ti connetti a TOR acquisisci da un directory server eppoi ti
connetti.
Fra te e le risorse da te interrogate c'è una autorità che può controllare
e classificare tutti gli utenti TOR, anche se non riesce a carpire il
contenuto della navigazione.