Comments | sporaw: Идиоты от криптографии продолжают жечь

sporaw

Идиоты от криптографии продолжают жечь

Jul 06, 2013 04:32

А ведь я реально знаю идиотов, кто это дерьмо использовал :))

Типичный опенсорц, типичное поделье специалистов типа как вот с этим чудом (практически то же :)) или с Debian random()

Специалист по информационной безопасности Стив Томас (Steve Thomas) опубликовал критический обзор программы для «защищенных» чатов» Cryptocat. Эту программу и раньше ( Read more... )

weak cryptography, bugs, cryptocat, мессенджеры, cryptography, opensource

Comments 7

wizzard0 July 6 2013, 00:50:50 UTC

инфобез вообще очень печальная штука если не думать про defense in depth и graceful degradation - потому что тогда вероятность наличия дырок растет экспоненциально от размера кода.

но все ж идеалисты и graceful degradation бьет по ихней гордости, как же так, как можно допустить что вот это сломают, оно же математически невозможно, то-се...

sporaw July 6 2013, 00:54:32 UTC

Да просто криптография не для дебилов.
Чтобы понимать все тонкости, нужно нереально глубокие теоретические знания иметь, нереально обширный опыт. А уж чтобы писать еще хорошо, применяя все это, так же и с программированием нужно опыт соответствующий иметь. Не удивительно, если люди оперируют понятиями на уровне яблок и слонов, выходит и результат такой.

wizzard0 July 6 2013, 01:05:41 UTC

кстати конкретно криптокот хотя бы пытаются сознательно мейнтейнить, процессы пытаются прописывать, аудит им Veracode делали тоже - но увы аудит по безопасности вебприложений а не по soundness крипто-части

вообщем это еще не самый плохой вариант, провтыкали и провтыкали, тут есть хотя бы Кобеисси на которого все шишки сыплются, а в случае дебиана и ко там есть просто тусовка мейнтейнеров которым нефиг делать и репутация которых практически не зависит от того что они релизнут

wizzard0 July 6 2013, 01:15:52 UTC

кстати, насчет multiparty key generation - ты видел какие-нибудь адекватные решения этой задачи?

сколько-нибудь серьезно подошли на моей памяти только в mpOTR, но в итоге получился ебической сложности оверкилл который я не рискну имплементировать...

uncle_rus July 6 2013, 15:24:33 UTC

типичный опенсорц - это GnuPG, а не это странное говно.

netch September 8 2013, 06:09:33 UTC

Увы, в случае GnuPG имеем тот факт, что "узок их круг, страшно далеки они от народа" ([некто В.И.Ульянов]). Сама по себе как поделка для своей целевой задачи она неплоха. Но кто, простите, сейчас использует почту как основное средство общение, кроме закоренелых старперов? И как GnuPG поможет программе чата? Постоянно возникают новые применения, новые протоколы взаимодействия, которые не укладываются в старые схемы ( ... )

konstevs July 7 2013, 16:57:43 UTC