19 806 läst · 207 svar
20k läst
207 svar
Mäklarfirma inför krav om bank-ID på budgivare
Det spelar väl ingen roll om de är var mans egendom? Det räcker att en person/organisation har dem, så är tekniken osäker. Kan någon hacka den så är den hackningsbar. Är något tekniskt möjligt så är det bara en tidsfråga innan det görs på bred front.BirgitS skrev:
Sedan, det finns system för kvantsäker kryptering, men de är inte public key, och kan inte vara public key. Private key, som tex XOR, är opraktiska.
Det är inte omöjligt, och det behövs inte en oändligt lång nyckel. Nyckeln behöver bara vara lika lång som det krypterade datat.Fairlane skrev:
Eftersom du inte klarar det själv: https://sv.lmgtfy.com/?q=digital+signature+hacking&pp=1Fairlane skrev:
BirgitS
Medlem
· Stockholms län
· 40 049 inlägg
BirgitS
Medlem
- Stockholms län
- 40 049 inlägg
Jo, det gör det. Om bara ett fåtal utrustningar finns är det rätt lätt att komma fram till vem som utför brottet.T Troberg skrev:
Det blir ju rätt ointressanta svar på det, hackade PDF-filer och liknande, inget som ens är i närheten av Bank-ID. Lägger jag till ordet bank-id så får jag i stället upp information om e-legitimationer och inget om hackat Bank-id.T Troberg skrev:
Nu är vi OT så det skriker men måste ändå undra hur kunskap om förövaren hjälper mig om någon lyckats "hacka" Bank-ID och därigenom gjort mig utfattig?BirgitS skrev:
Vare sig förövaren är målvaktskalle på gatan, staten Nordkorea eller hackerorganisationen "kapitalbefriarna", torde det vara tämligen svårt att få igen pengar från dom.
Anser däremot "banken"/domstolarna att jag ska hållas skadeslös, kvittar det väl om jag vet vem som är "boven".
BirgitS
Medlem
· Stockholms län
· 40 049 inlägg
BirgitS
Medlem
- Stockholms län
- 40 049 inlägg
Risken för att åka fast blir ju mycket högre om det endast är ett fåtal personer som finns att välja på och det är ju avskräckande för kriminella. Troberg skrev ju om breda attacker och det drar till sig polisresurser och liknande.
Fairlane
Medlem
· Stockholms Län
· 12 165 inlägg
Fairlane
Medlem
- Stockholms Län
- 12 165 inlägg
Självklart, det är ju uppenbart när vi talar om XOR. Det är bara det att vi ändå måste kunna tänka oss att skicka väldigt många meddelanden som är väldigt långa till väldigt många olika mottagare så det är ändå rätt ointressant för praktiskt bruk. Nyckeldistributionen blir helt enkelt omöjlig.T Troberg skrev:
Jodå jag kan googla, men det var för det första inte det du skrev. Du skrev inte hackning av digitala signaturer utan du skrev "Alla de stora systemen för elektroniskt ID är hackade." En digital signatur är inte samma sak som ett elektroniskt ID. Det vore ju som att påstå att en namnteckning är samma sak som en fysisk legitimation.T Troberg skrev:
Sen pratar du om hotellnycklar, SMS-kod till bussen, ZIP-filer och PDF. Inget av detta är något med elektroniskt ID att göra och ingen seriöst säkerhetsintresserad person har någonsin påstått att ovan nämnda är säkra, utan på sin höjd duger baserat på ändamål.
Du har för övrigt också påstått:
Vilket vi motbevisatLägg till det att EU-regler gör att man inte kan neka en giltig e-legitimiering, samtidigt som det inte finns några kvalitetskrav. Så, om jag tex skulle skapa en e-legitimeringsstjänst som går ut på att du kommer till en websida och där måste klicka "ja" på frågan "Lovar du att du verkligen är X?", så är det tveksamt som man kan vägra det som en giltig legitimering.
och
PGP som använder sig av RSA är alltså starkare än RSA. Kedjan blev helt plötsligt mycket startare än svagaste länken? PGP och RSA är inte konkurrenterer, så PGP inte är en krypteringsalgoritm.
Jag har redan tidigare skrivit att BankID på fil har brister, men det är för att hanteringen av den privata nyckeln inte är säker, inte att BankID i sig är osäkert. Ligger nyckeln på ett kort blir det annorlunda. På samma sätt så finns det forskningsresultat på hur man kan kan snabba upp beräkningen av den privata nyckeln. Dessa kan dock delas upp i matematiska attacker och attacker mot mjukvaran som utför operationerna.
De kända matematiska attackerna räcker inte för att knäcka RSA på långa vägar och attacker mot mjukvaran kräver att man har åtkomst till enheten som utför operationerna och då finns det enklare vägar.
En text från Wikipedia (ok, du kanske inte gillar källan, men det som står är korrekt)
Ok, säg att datorerna blivit 1000 ggr snabbare sen dess. Det skulle då räcka med att öka nyckellängden till 778 bitar för att nå samma resultat (2^10=1024). Säg att angriparen har 1000 ggr fler CPUer, ja då behövs ytterligare 10 bitar. Dvs hackbart, men det tar cirka 2 år. Vill va bryta en nyckel på 1024 bitar på 2 år så behövs det att antalet CPUer ökar, att hastigheten ökar och att de matematiska metoderna gör att det går snabbare. Ökningen måste vara 2^256, vilket är ett riktigt stort tal, ungefär i paritet med antalet atomer i universum. allt detta för att bryta 1 nyckel....As of 2010, the largest factored RSA number was 768 bits long (232 decimal digits, see RSA-768). Its factorization, by a state-of-the-art distributed implementation, took around fifteen hundred CPU years (two years of real time, on many hundreds of computers). No larger RSA key is known publicly to have been factored
Problemet är att de breda attackerna tenderar att komma från länder som inte bryr sig ett skit, eller som ligger bakom attacken.BirgitS skrev:
Instämmer, vilket är anledningen till att kvantdatorerna är ett jätteproblem.Fairlane skrev:
Samma teknologi i botten.Fairlane skrev:
Det var exempel för att på ett begripligt sätt förklara hur en svag algoritm, som tex elektroniskt ID har, kan exploateras, så att även en icke-teknisk person förstår.Fairlane skrev:
Nej. Du har bara påstått att det inte är så. Men, sure, hittar du en kvalitetsspec från EU så säg till.Fairlane skrev:
PHP är en starkare algoritm, även om den i ett steg i kedjan använder RSA. PGP lägger på några lager till.Fairlane skrev:
Sedan fattar jag inte hur du tänker om du inte ser PGP som en kryptering.
Jag skulle säga att inget datorsystem är säkert. Feck, till och med Linux har haft säkerhetsluckor. Desstum, mänskliga faktorn finns i all utveckling, så hur vet du att ingen lagt in en bakdörr, speciellt när man av någon anledning valt att göra implementationen closed source?Fairlane skrev:
Så, den kan knäckas. What's your point? Det handlar bara om att applicera datorkraft. Lägg till det att kvantdatorerna är extremt mycket effektivare på sådant som att faktorisera stora tal.Fairlane skrev:
Desstuom, det är lätt att vara kaxig. Ta tex MD5, som ansågs vara säker mot reverse engineering, men som senare visade sig ha stora brister, vilket gjort att den inte längre räknas som kryptografikt säker och att många system idag är sårbara. Hittar man en bug/sårbarhet i algoritmen, då åker all säkerhet ut genom fönstret.
Vi har dessutom problemet att inget som körs i en dator kan betraktas som säkert längre. Med exploits som Rowhammer, Meltdown, Spectre och Intel ME så är det nästa bara att ge upp.
Besserwisser
· Västra Götalands
· 9 834 inlägg
Njae, jag kan lugna dig med att det redan har hänt i UK på nittiotalet. Och de åtalade friades. (Fast de hade fällts i lägre rätt). Så domstolarna är inte helt ovana vid problemet.Alfredo skrev:Ur åtminstone en aspekt gör det faktiskt det!
Om någon använder ett falskt ID-kort för att utföra handlingar i mitt namn har jag ofta en rimlig möjlighet att bevisa att det inte var jag. Jag kanske kan bevisa att jag var på annan plats, kanske kan övertyga rätten om att det inte kan vara jag på filmen, kanske kan få en analys från SKL/NFC att det troligen inte är min namnteckning och så vidare.
Påstår däremot en "teknisk expert" i rätten att det måste ha varit jag som använt mitt Bank-ID är man nog i praktiken ganska rättslös.
Nu har vi fortfarande problem med ojämnhet i de utlåtanden som fälls i domstolar av förmenta "experter". Men det är också något som vi är (och blir) alltmer medvetna om. (Här måste jag göra reklam för ett examensarbete från vår forskargrupp jag examinerade nu i år:
Fallacies when Evaluating Digital Evidence Among Prosecutors in the Norwegian Police Service, Erlandsen, Tom Erik
Nu är ju resultatet i den att det finns möjligheter för förbättringar (minst sagt!), men att forskningen görs, och att frågan väcks, är det man skall se positivt på. (Tom Erik är dessutom chef för en stor digital-forensik-avdelning i Norge, så initiativet att se närmare på frågan väcktes inom polisen. Det skall man inte glömma).
Men, om det är för abstrakt och du inte vill behöva citera den i rätten själv, så låt mig lugna dig ytterligare då. Om det händer dig, så hör av dig till mig. Jag lovar att vittna gratis om du har ett case! (Det har jag gjort hittills iaf... Jag kanske skulle börja ta betalt? )
Fairlane
Medlem
· Stockholms Län
· 12 165 inlägg
Fairlane
Medlem
- Stockholms Län
- 12 165 inlägg
Jag har iallafall en hänvisning till en officiell sida, du har bara din egenskrivna text. Så vi kan väl vända på det? Du kanske kan hitta en specifikation som stödjer din tes?T Troberg skrev:
PGP är inget krypteringsalgoritm.T Troberg skrev:
PGP använder sig av olika krypteringsalgoritmer. SSL/TLS är inte heller en krypteringsalgoritm utan ett (flera) protokoll som använder krypteringsalgoritmer.
Håller iofs ned om det, men om datorn är smartcardet så är det lite klurigare att installera malware.T Troberg skrev:
Besserwisser
· Västra Götalands
· 9 834 inlägg
Administrator
· Skåne
· 7 782 inlägg
Mäklarfirman Norban beslutar sig att gå i bräschen och ställa krav på bank-ID för de som budar på en bostad.
Du kan läsa artikeln här: Mäklarfirma inför krav om bank-ID på budgivare
Du kan läsa artikeln här: Mäklarfirma inför krav om bank-ID på budgivare
Hmm men finns det inte en risk med säkerhet, integritet etc? Fast det kanske finns någon tråd här på forumet som behandlar detMarlen Eskilsson skrev:
det är Skatteverket som delar ut samordningsnummer, inte kommunerna.Fairlane skrev:
Fairlane
Medlem
· Stockholms Län
· 12 165 inlägg
Fairlane
Medlem
- Stockholms Län
- 12 165 inlägg
Det var ett antal år sedan vi fick problem med att kommunerna delade ut egna nummer till asylsökande, vilket gjorde att en person i en kommun kunde få samma nummer som en person i en annan kommun. 2016 tror jag det var som man kan ett förslag på att Skatteverket skulle dela ut samordningsnummer till asylsökande.AndersPS skrev:
Det verkar administreras av Skatteverket, Helsingborg stad har inte ens möjligheten att ansöka om samordningsnummer.Fairlane skrev:Det var ett antal år sedan vi fick problem med att kommunerna delade ut egna nummer till asylsökande, vilket gjorde att en person i en kommun kunde få samma nummer som en person i en annan kommun. 2016 tror jag det var som man kan ett förslag på att Skatteverket skulle dela ut samordningsnummer till asylsökande.
För övrigt är det ganska många mer än asylsökande som behöver samordningsnummer.