To: kulibin
Termotuumapommi valmistamise õpetus levis juba 1993. aasta alguses. Aga lõbusa plõksimise asemel võiksid tõesti ühe sellise valmis ka teha. Iga inimene magab rahulikult, kui ta teab et tema kodu kaitseb termotuumapomm.
Tuletaks vahemärkusena meelde, et e-hääletuse kontekstis on kogu see viimaste postituste jutt siin suht mõttetu.
Keegi ei hakka kliendi riistvara häkkima, kui meil on “ID-kaardi tarkvara”.
3 Likes
To: kulibin
Kuidas aga sa nende kaartide tegemise sertifikaadid olemasolevasse ajatempliga seotud plokiahelasse sisestad, olemasolevate kirjete vahele? Sa ei tahaks ju välja anda ID kaarti mis on alles täna valmis tehtud? Ja isegi kui selle saad välja anda, siis kuidas sa seda olemasolevatesse ahelatesse sisestad?
See on firmasaladus, esita infopäring NSA-le )))
Kõigile Etherneti-Endlitele ja Wifi-Wollidele suure pildi kirjeldus Kuuspaki-Kallelt, et kuidas saab:
- Kõik oleme enamvähem kursis, misasi on side-channel attack
- Sellest hoolimata otsime kahtlast datat kahtlaste pakkettide seest nagu korralikust perest pärit korralikud viielised koolipoisid, sest õpetaja koolis omalaajal ütles, et data käib pakketide sisse ja mitte koolipingi alla nagu maitse kaotanud vana näts?
- Et oleme kindlad, et kindlasti pole ju ometigi võimalik andmeside täiesti süütuna tunduvate pakettide täiesti süütuna tunduvate metaparameetrite - näiteks ajastuse ja omavahelise järjestuse jms. - kavala logistamise-lõgistamise kaudu, egaju, noumbes sarnaselt sellele kuidas meile kõigile SQL injectionite turvakoolitusel õpetati? Eriti kui teame juba, et ME on obfuskeeritud must kast?
- Ärihuvisid muide kaitseb ka Copyright, obfuskeerimine ja dokumenteerimata jätmine pole äri jaoks hädavajalik, seetõttu peame seda hämamist tõlgendama tahtliku auditeeritavuse välistusmeetmena ja on täiesti eluterve käsitleda sellist päkapikku tagauksena kuni pole tõendatud vastupidist, seejuures tõendamiskoormus lasub tootjal
1 Like
Vastamiseks peaks täpsemalt aru saama, kuidas sa mõistad terminit “kindlasti pole ju ometigi võimalik”.
Kui sa praegu istud arvuti taha ja genereerid endale võtmepaari.
Kas on võimalik, et selle privaatvõti kattub BC suurima saldo omaniku kasutatud privaatvõtmega?
1 Like
Kui vihjad sellega, et pakettide teekond läbi ruuterite jt. võrguseadmete rägastiku muudab juhuslikult pakettide metaparameetreid niivõrd palju, et side-channel attack muutub samavõrd ebapraktiliseks nagu ülalkirjeldatud olukord, siis lõviosas ruuteritest jt. võrguseadmetest on ju kah päkapikk sees - nüüd on meil siis juba mesh network of black-box agents. Need saavad ju lõdvalt koostööd teha, et side-channel pikal teekonnal säiliks. Ja isegi kui vahele satub mõni isepäine koostööst keelduv seade, siis isegi mürase sidekanali kaudu on andmeside võimalik, nii ütlesid meile kunagi ammu Shannon ja Hartley.
Pmst piisab ühest kompromiteeritud võrguseadmest teekonnal, et tekitada kanal kas kompromiteeritud kliendist selleni, või siis sellest ründajani. St andmevoog võib teekonnal vahetada tunneldamise mehhanismi.
Aga selline rünnak on suht ebatõenäoline.
Igatsugu võtmete osas tasuks mõelda ka neile ilma aiata rangelt lukus väravatele.
Ma oma arust ei vihja millelegi. Üritan aru saada, kas mõistet “võimalik” kasutame siinses arutluses absoluutses skaalas, või arvestame mingeid tõenäosuslikke tegureid.
Kui sa vastaksid eelmisele küsimusele, siis oleks sellest lihtsam aru saada.
Abiks võik olla ka vastus küsimusele:
Kas Eesti paberhääletusel oli hea optika ja õige rakursi korral võimalik loetavalt kaadrisse saada konkreetse inimese hääletusvalik? Või seda käe liikumist jälgides tuvastada? ( side-channel attack)
Silma jäi kaader err valimisvideost:
https://www.err.ee/1609827639/esmaspaeval-algas-kohalike-valimiste-eel-ja-e-haaletamine
To: marker
Ja kui isegi sedasi saab paari inimese häältevalikut teada, siis valimistulemuse muutmiseks on vaja, et seda saaks tuhandete inimeste pealt.
See valimisargumentidega noa tera peal käimine kõik paistab olemuselt sarnane nagu Veerpalu poja dopinguskandaaliga seotu - manustati dopingut, et saada võistlustel võidujärjestuse 60. koha asemel 40. koht.
Valimistulemust see muuta ei saagi.
Ma lihtsalt võrdluseks Märt Põderi videoga, kus viidates protseduurireeglite rikkumisele nõuti e-hääletuse tulemuste tühistamist. Kusjuures see juhtum ka halvimal juhul ei saanud samuti muuta hääletustulemust (mida Põder ausalt välja tõi) ja hääletussaladuse reaalseks rikkumiseks on vajalik veel hulk vähetõenäolisi lisatingimusi.
Ma iskuklikult pean nii “Märdi juhtumit”, kui hääletuskabiinide ebaõnnestunud asendit piisavalt ebaoluliseks. (kui selline info kellelegi oluline on)
To: marker
Poliitiline aktivist Märt Põder on ka varem teinud sarnaseid “ajaloolisi” avastusi, aga need pole kuhugi eriti jõudnud.
Eks näib kuidas seekord läheb. Kas keegi veel haarab sellest asjast kinni või … siiamaani pole keegi muu nagu sõna võtnud antud teemal.
Aega on juba piisavalt kulunud, et igalühel, kes kogu asjade käiku pingsalt jälgib, saaks tekkida pädev argumentatsioon, et hakata üldse vaidlemagi.
Väga kahtlane on just see, et protseduurireeglite rikkumine toimus konkreetse isiku käsul.
Hääli kastis lugeda võimaldav võti on tegelikult väga kasulik kui tahta teha häälte asendamise rünnakut.
Kusjuures see paljukiidetud e-häälekontroll toimis vaid piiratud aja, vist? St peale valimisi ei saa enam kontrollida, et kas e-hääl, mida loeti oli ikka minu valik?
Totu Cool, ära üllata meid. Vanad inimesed võivad veel sedasi kohvi kurku tõmmata, kuuldes “uutest” ja “ennenägematutest” tehnoloogiatest, näiteks “steganograafia”, “parasite computing” või “port knocking” ja ehk koguni “magic packets”.
Kuhu on kõige parem peita liivatera? Ilmselt kõrbesse. Kuhu on kõige parem peita inimest? Ilmselt kusagile “anonüümsesse miljonilinna”.
Peaks nüüd “jalgrataste leiutamise” ja “ameerikate avastamisega” vähe hoogu.
Tore on ju jaurata, et “igal pool on päkapikud” ja loopida tõenduseks ammu teada-tuntud meetodeid päkapike ära peitmiseks. Seda me teame isegi, et päkapikud on “tehniliselt võiamlikud”. Mõni siin on koguni ise selliseid “päkapikke” äs proof of consept tarindanud. See, et “päkapikud on võimalikud” ei ole tõestus, et “seal on päkapikk peidus” väitele. Leia mõni üles ja tiri kõrvupidi lagedale. Siis on millestki rääkida ehk.
Kogu eelnev jutt oli ajendatud sellest, et “on/ei ole võimalik” argumenti tundub siin kasutatavat tihti “absoluutses tähenduses”. Mittevõimalikkus peab olema 0.
Ma lihtsalt mainiks, et ka paberhääletust on võimatu läbi viia nii, et kõigi konstitutsionaalsete hääletuse põhiõiguste riivete tekkimise tõenäosus oleks 0.
Sellega on lepitud.
1 Like
Va juhul kui tegemist ei olnud juhusliku audiitoripoolse käsuga protseduuri rikkuda, vaid sihitud rünnakuga.
Näiteks korvpallis pole võimalik palliga korvi tabada, kuna võrreldes väljaku pindalaga on korvi pindala tühiselt väike. Seetõttu viske tabamine nõuab hulka vähetõenäolisi lisatingimusi?
Kui sul on tiim käpa all ja võimalus tulemust omatahtsi muuta, siis oleks äärmine rumalus selliselt ennast paljastada. Mingit vajadust ei ole võtmeid “selliselt hankida”
marker, ise sa võtad asju absoluutsena.
Teema on ikkagi selles, et paberhääletuse võltsimisel on kompromiteeritud häälte osakaal näiteks 0,01%, aga e-hääletusel näiteks 50,00%.
Selle peale sa ütled, et kuna kummalgi korral on tõenäosus 0 ja 1 vahel, siis käsitleme neid võrdsetena. See ongi absoluutne lähenemine, mis on vale.
Kliendis hääle asendamine tuleb suures mahus kasutusel välja häälekontrolli rakendusega. Loendamisel asendamisel tuleb välja uuestiloendamisega e-häältest. Suures mahus kasutamine avastatakse suure tõenäosusega
Sest mingeid näilisi tseremooniaid pidi järgima? Näiteks ei ole absoluutselt kõik ruumisviibijad “käpa all”?