eax#25"Olvass el egy kriptográfia történelmével foglalkozó művet. Feltörhetetlennek számító titkosításokat előbb-utóbb feltörtek. Ha nem ment egyik módon, ment a másikon."
Akkor bizonyitsuk:
Az OTP (One Time Pad) mukodesi elve, hogy veszunk a P nyilt szoveggel azonos hosszusagu, kriptografiailag megbizhatoan veletlen K kulcsot, majd szepen felosztjuk tetszoleges, de egyenlo hosszusagu blokkokra. Ezutan veszunk egy ketvaltozos muveletet, ami a blokkokkal egyutt kommutativ (Abel-fele) csoportot alkot, tipikusan ilyen pl. a modulo-osszeadas, vagy pl. a bitenkenti XOR, mi nezzuk az utobbit. A C kriptoszoveg pedig igy kepzodik: Ci=Pi*Ki, a * esetunkben a bitenkenti XOR-t jeloli.
Fontos megjegyezni, hogy a XOR muvelet, ha az egyik bemenete egyenletes eloszlasu veletlen, ezt a tulajdonsagat a kimeneten is tartani fogja (ezt most hadd ne bizonyitsam).
Csak nyilt szoveg alapu tamadast feltetelezve a tamadonak van egy C sorozata, es semmi mas, ebbol pedig a K ismerete nelkul semmilyen kovetkeztetest nem tud levonni a P sorozatra, pontosan azert, mert az egyik bemenet veletlen (szemleletesen: egy bitet nezve ugyanakkora a valoszinusege, hogy azert 1, mert P-ben is 1 volt, es akkor K ezen bitje 0 vagy K itt 1 volt, es akkor P-nek kell nullanak lennie, es ez minden bitre kulon-kulon igaz, mert a veletlen sorozat bitjei is fuggetlenek egymastol).
Amiert ezt ritkan hasznaljak a gyakorlatban: tokeletes veletlen bitsorozat eloallitasa nem egyszeru, es a kulcsot csak egyszer hasznalhatjak, tehat a tovabbitando P hosszusagaval megegyezo K-t elobb el kell juttatni biztonsagban a masik vegponthoz.
"1. Van preventív hatása"
A tizeneves h.lyegyerekek ellen lehet, de ok a penzert, szervezetten dolgozo profikkal osszevetve minimalis kart okoznak, rajuk pedig nincs preventiv hatasa, a 300/E. § (2)-nek legalabbis.
"Ha nincsenek megfelelő védelmi eszközök (pénz/hozzáértés hiánya)"...
Akkor ki kell huzni a dugot. Aki bizonyos minimalis felteteleket nem tud biztositani a sajat vedelme erdekeben, az nem csak sajat magat, de mindenki mast is veszelybe sodor, amire pedig senkinek sincs szuksege. Es ez csak egy ici-picivel jobb annal, mint amikor az illeto szantszandekkal valami aljassagot kovet el.
"ha egy magyar cég spamekkel bomáz, akkor jogosan jelentem fel őket az NHH-nál - mert megtehetem, annak ellenére, hogy a spamszűröm a többit megfogja"
Ez mar az utolagos csunyannezes kategoria, a torveny direktben nem oldja meg a problemat, kulonben nem lenne 1 db spam sem.
(Egyebkent ha nem csak a feljelentes a celod, hanem a problema megoldasa is, akkor inkabb a szolgaltato abuse cimen, vagy a HUN-CERT-nel jelentsd, az NHH ilyen esetekben igencsak alacsony hatekonysaggal mukodik.)
"Ha te valóban fejleszted, akkor te neked tudni kell, mire használhatják. ;)"
Ebben az iparagban az a szep, hogy szinte minden hasznalhato jora es rosszra is. Pl. exploit scanner. Hasznalhato egyreszt arra, hogy a rg egy mozdulattal lassa, hogy a ceg 13000 gepe kozul melyik sebezheto egy bizonyos serulekenyseggel szemben (ami mondjuk hw konfiguracio fuggo, es kiprobalas nelkul nem trivialis eldonteni), es hasznalhato arra is, hogy K. Geza, fiatalkoru elkoveto raengedi egy random cimtartomanyra, es mar van is egy listaja a sebezheto gepekrol (ami az illegalis cselekmenyek elkoveteset nyilvanvaloan nagyban megkonnyiti). Utolag hogy bizonyitod, hogy te ezt az 1. celra gyartottad, a 2. meg sem fordult a fejedben?
"Egy vírust általában szándékos károkozásra használnak. ;))"
Nem feltetlenul, egy letezo virus egy letezo peldanya pl. elengedhetetlen ahhoz, hogy az antivirus sw-ek biztosan felismerjek, pl. en is szoktam rendszeresen ilyen formaban "számítástechnikai rendszerbe való belépést lehetővé tevő adatot" "hozzaferhetove tenni" az AV-vendorok reszere.
Masreszt meg leteznek PoC virusok is.
"Már megbocsáss, de egy lópikulát."
Tapasztalat.
"Előadást tarthatnál a vírusokról is (szoktak is, sőt könyveket is adnak ki róla). Csak egy szakmai közönség nem feltétlenül fogja ezt kihasználni (sőt lehet, hogy pont ezt a tudást használja fel védelemként)."
Igen, epp errol van szo, hogy hasznalhato vedelemre is. Viszont a 300/E. § (2) szinte szo szerint ezt tiltja (kiveve talan a " buncselekmeny elkovetese celjabol" reszt, de nem hiszem, hogy el tudnam magyarazni a birosagnak, hogy az hazkutatas soran talalt virust csak azert irtam, hogy tanulmanyozni tudjam a kulonbozo polimorf engine-ek detektalasi lehetosegeit.
"Ha egy A cég által gyengén megírt program biztonsági hibájából egy B cég kárt szenved, akkor a B cégnek nincs joga/módja arra, hogy a kárt megtérítsék?
Ha egy cég hibásan ír meg egy szoftvert, akkor nekik áll feljebb (inkább javítanák ki a hibát minél előbb)? Hol élnek ezek?"
Szinte az osszes EULA-ban benne van, hogy a program hasznalatabol eredo karokert felelosseget nem vallalnak.