推 Schottky : SHA-3 煉蠱大會過程中其實證明了 SHA-2 沒什麼問題 04/09 21:00
→ Schottky : 但像我就有打死不用 SHA-2 的情結,因為他是 NSA 04/09 21:04
→ Schottky : 出品,我就是不要黑箱只要公開徵選出來的 04/09 21:04
→ Schottky : 純粹一個被害妄想症患者的奇檬子問題 04/09 21:05
→ xyz168 : 我本身也是有資安潔癖的人,不過沒辦法,做這行的 04/09 21:09
→ xyz168 : 該要有這樣的覺悟呀 04/09 21:09
※ 編輯: xyz168 (49.159.208.154 臺灣), 04/09/2023 21:20:30
※ 編輯: xyz168 (49.159.208.154 臺灣), 04/09/2023 21:22:15
→ haoboo : 實務上不可能為了你這一點潔癖就全部把輪子重造吧.. 04/09 21:24
→ xyz168 : 我剛剛最後有說,並非再造,而是要isolation 04/09 21:25
→ xyz168 : 技術本身是中性,採用公開標準方法無不可,但世界 04/09 21:25
→ xyz168 : 各國軍方還是都會有一個屬於自己不為人知的秘密武器 04/09 21:26
→ xyz168 : 我想平行採用並無任何問題 04/09 21:26
推 kwht : 推 04/09 21:30
推 cangming : 好了啦 強如美軍 前線野戰單位用的也是wifi 你可以 04/09 21:53
→ cangming : 先跟美軍吵說wifi不安全 04/09 21:53
→ xyz168 : 沒有人跟你吵不用Wi-Fi吧,Wi-Fi是商用標準,我說 04/09 21:54
→ xyz168 : 過標準是中性的,但是系統商用跟軍用不該混在一起 04/09 21:54
→ xyz168 : :) 04/09 21:54
→ xyz168 : 美軍也用微波爐呀,哈哈哈哈哈 04/09 21:55
→ xyz168 : 另外我前面討論的是對於WiFi WPA2安全性夠了這點 04/09 21:59
→ xyz168 : 是不太能認同的,我並沒有反對整個WiFi標準 04/09 21:59
→ xyz168 : @cangming 兄台有機會可以往前文章翻閱 04/09 22:00
→ cangming : 不要跳針啊 美軍野戰營級以下的通訊指管系統就是走w 04/09 22:09
→ cangming : ifi 難道你要說那個不算軍用? 04/09 22:09
→ cangming : 然後我到很好奇openssl外部連結了啥lib 不要跟我說 04/09 22:11
→ cangming : 啥libc zlib 04/09 22:11
→ cangming : 不要當這板上大家都不懂ldd指令 看不懂configure 04/09 22:13
→ cangming : 那個下下去 link了啥一番兩瞪眼 04/09 22:13
→ cangming : 然後不要再吵side channel attack這種一點意義都沒 04/09 22:20
→ cangming : 有的問題 你都能做到這個直接幹對方硬碟不是比較快 04/09 22:20
→ cangming : 這根本僞議題 04/09 22:20
→ wahaha99 : 是有remote的側信道攻擊方案啦 只是又更嚴苛 04/09 22:21
→ wahaha99 : 像前年CPU爆出來的那一堆側信道攻擊 基本上都要你 04/09 22:22
→ wahaha99 : 連上的網站含有惡意代碼 才會中招 04/09 22:22
→ wahaha99 : 那如果拿來打仗的戰術平板還去連什麼不該連的 04/09 22:23
→ wahaha99 : 槍斃比較快 那種人給他手榴彈大概也會當芭樂吃 04/09 22:23
→ wahaha99 : 不差這一個平板 04/09 22:24
→ xyz168 : 好像只有你們覺得open source不是資安風險?XD 04/09 23:00
→ xyz168 : 所以有沒有side-channel attacks? XD 04/09 23:00
→ xyz168 : 不過大家能投入資安討論是好事 04/09 23:01
推 wahaha99 : open source比起close source確實不是資安風險 04/09 23:07
→ wahaha99 : 至於side-channel attacks 跟是不是open source 04/09 23:07
→ wahaha99 : 有什麼關聯? 04/09 23:07
→ xyz168 : 你自己亂組合,問我有什麼關聯? 04/09 23:08
→ xyz168 : 你覺得軍級資安可以就可以吧,我想你聰明別人也不笨 04/09 23:09
→ wahaha99 : 你的那句 所以有沒有 是不是指 opensource? 04/09 23:09
→ xyz168 : 該怎麼做就怎麼做吧,發表想法大家歡迎不是? 04/09 23:09
→ xyz168 : 你自己說沒有side channel attack問題的吧 04/09 23:10
→ xyz168 : 我只是給你看有的,你該翻翻自己的發言... 04/09 23:10
→ xyz168 : 我可沒有把這兩個東西聯結起來.... 04/09 23:10
→ wahaha99 : 老實說,側信道很少管用啦,有沒有問題,誰知道, 04/09 23:10
→ xyz168 : side channel attack is to openssl not opensource 04/09 23:10
→ wahaha99 : 你以為軍用的就沒問題? 這到底是什麼假議題? 04/09 23:11
→ xyz168 : 你這亂扯了 04/09 23:11
→ xyz168 : 軍用不是現成,是朝向軍規需求去發展或是建構 04/09 23:12
→ wahaha99 : 我確實根本不知道你在扯啥 04/09 23:12
→ xyz168 : 還有如果你覺得我是亂來,那請紅隊打的也是亂來 04/09 23:12
→ xyz168 : 你都說安全了,幹嘛請紅隊,浪費錢! 04/09 23:13
→ wahaha99 : 那好啊,你要自己發展一套NewAES還是用現成的? 04/09 23:13
→ xyz168 : 應該要請wahaha99大來才是 04/09 23:13
→ wahaha99 : 請紅隊也不會有人拿來攻AES啊,哪招 04/09 23:13
→ xyz168 : 你請重新閱讀我的文字好嗎... 04/09 23:13
→ xyz168 : 不要一直超譯 04/09 23:13
→ xyz168 : 完蛋了...我在AES什麼了... 04/09 23:14
→ wahaha99 : 我也不想超譯你的文,但說實話,我看不懂你在說啥 04/09 23:14
→ xyz168 : 你不懂也好...懂也好,你想懂可以好好討論 04/09 23:14
→ xyz168 : 說真的,那種覺得自己講的才是對的,別人都是亂講 04/09 23:15
→ wahaha99 : 你先說的Opensource的問題,所以啊,你AES要怎麼實作, 04/09 23:15
→ xyz168 : 這種本位討論也不必了 04/09 23:15
→ wahaha99 : 不用Opensource庫,那要自己來? 04/09 23:15
→ xyz168 : AES is standard not open source.... 04/09 23:15
→ wahaha99 : 還是連AES也不要用了? 你想表達啥? 04/09 23:15
→ wahaha99 : AES 是 Standard沒錯啊, 所以你要怎麼實作嘛? 04/09 23:16
→ xyz168 : wahaha99大,你可能先冷靜一下 04/09 23:16
→ xyz168 : 這樣吵真的沒必要吧?你想講什麼 04/09 23:16
→ wahaha99 : 我看不出自己寫AES庫的意義在什麼地方, 04/09 23:16
→ xyz168 : 你找找開源軟體資安威脅與防護 04/09 23:17
→ xyz168 : 這真的不是我瞎掰的... 04/09 23:17
→ wahaha99 : 為了躲避側信道攻擊嘛? 還有我現在很冷靜呀, 04/09 23:17
→ wahaha99 : 我不冷靜早就開噴了,只是真的不知道你想表達啥 04/09 23:17
→ xyz168 : 你開噴?你是誰啊?講那什麼話 04/09 23:18
→ xyz168 : 發文章多不代表你權威,只是你愛發言,我喜歡看文章 04/09 23:18
→ xyz168 : 這次發文單純是我專業領域,分享而已,不必要聽你 04/09 23:18
→ wahaha99 : 呵,我的意思是,我遇到人胡說八道才會不冷靜, 04/09 23:18
→ xyz168 : 講那種是是而非的移花接木式發炎 04/09 23:18
推 mmmimi11tw : 好啦 你們理性一點☺ 04/09 23:19
→ wahaha99 : (才會開噴),我連你想表達啥都沒看懂,我要不冷靜什麼 04/09 23:19
→ xyz168 : 你歐...哈哈...有趣,典型 04/09 23:19
→ xyz168 : 版大,我很冷靜,不過你真可以看看他推文推什麼 04/09 23:19
→ mmmimi11tw : 沒什麼好爭執的(′▽‵)ノ 04/09 23:19
→ wahaha99 : 我推文就推了我看不懂你在說什麼 不然還推了什麼 04/09 23:20
→ xyz168 : 笑死不是我打的::: 04/09 23:20
→ xyz168 : 你打笑死,那可不是嘲諷? 04/09 23:21
→ xyz168 : 你回文擺明嘲諷,我認真回你,真有其事,你又開扯 04/09 23:21
→ wahaha99 : 那不是推文啊? 我上一篇該噴的噴過了啊 04/09 23:21
→ xyz168 : 說就算有又怎樣,沒什麼影響呀,那你是想討論資安 04/09 23:21
→ wahaha99 : 所以現在的我很冷靜啊? 我真心不懂耶 04/09 23:21
→ xyz168 : 還是想討論你自己的想法是對的 04/09 23:21
→ xyz168 : 有開噴齁,你開噴得對了嗎 04/09 23:22
→ wahaha99 : 我下面那篇回文 有噴你嗎? 04/09 23:22
→ lockheart : SHA-1已經在2017年由Google及荷蘭研究團隊破解了 04/09 23:22
→ xyz168 : 也沒對啊,硬要扯人家錯,你的點在哪裡? 04/09 23:22
→ wahaha99 : 開噴的對不對喔? 那你先把RSA2048跟SHA-2被破解的 04/09 23:22
→ wahaha99 : 證據拿出來啊? 怎麼會是問我? 04/09 23:22
→ lockheart : NIST的網址其實有提到廢棄SHA-1,並禁止2013年後的 04/09 23:23
→ xyz168 : 我跟你說明的破解的定義,你不會去閱讀? 04/09 23:23
→ wahaha99 : SHA-1確實是被破了 04/09 23:24
→ lockheart : 數位簽章使用SHA-1,還在使用是因為過渡期需要時間 04/09 23:24
→ wahaha99 : 問題是現在我們是在軍武版,討論的是連級作戰指管, 04/09 23:24
→ xyz168 : 密碼學的破解認定,只要未達到認定強度,就算破解 04/09 23:24
→ xyz168 : 就算是要一千年一萬年才能破也算 04/09 23:25
→ wahaha99 : "你跟我講那個我有什麼辦法" 04/09 23:25
→ xyz168 : 該不會說我不是密碼學專家了吧.... 04/09 23:25
→ xyz168 : 你要講你的論點,我接受,不過你不接受亂噴人 04/09 23:25
→ xyz168 : 你到底想幹麻? 04/09 23:25
→ xyz168 : 你要講連級指揮我沒意見,那你噴我的看法幹嘛? 04/09 23:26
→ wahaha99 : 好嘛,破解了,然後咧? 改用SHA-3行不行? ChaCha? 04/09 23:26
→ xyz168 : 你用連擊指揮概念噴我嗎 04/09 23:27
→ wahaha99 : 這些是不是商用加密? 04/09 23:27
→ xyz168 : 你很冷靜噴人,被你噴的人就不能講?你誰? 04/09 23:27
→ xyz168 : 我就說你誰? 04/09 23:27
→ wahaha99 : 連級指管本來就只需要幾天等級的保密 04/09 23:27
→ xyz168 : 躲在ptt後面就可以大放厥詞? 04/09 23:28
→ wahaha99 : 你要在那扯幾百萬年降低到幾十萬年的破解, 04/09 23:28
→ xyz168 : 不然我們可以約出來喝喝茶,看看你本人是不是如此 04/09 23:28
→ wahaha99 : 進而否定商業加密的可靠性,我真的不知道該說啥 04/09 23:28
→ xyz168 : 學識淵博? 04/09 23:28
→ xyz168 : 你在說什麼你知道嗎?你可以看清楚別人說的嗎 04/09 23:28
→ xyz168 : 你看不懂不代表別人說錯,兄台 04/09 23:29
→ wahaha99 : 打從一開始就在講連級指管系統喔,難不成你還以為 04/09 23:29
→ wahaha99 : 無人機是營級在派的? 04/09 23:29
→ xyz168 : 你在講open ssl在講通訊安全標準在講密碼學 04/09 23:29
→ wahaha99 : 所以咧? SHA-2跟AES-256變弱了一點點,影響什麼了? 04/09 23:29
→ xyz168 : 你的連擊指揮呢? 04/09 23:30
→ wahaha99 : 哪個單位棄用了? 04/09 23:30
→ xyz168 : 你可以看一下我前一篇文章嗎..拜託拜託 04/09 23:30
→ wahaha99 : 我在講open ssl? 我從頭到尾沒主動提過喔.... 04/09 23:31
→ xyz168 : 你講遠端side channel沒用,我講是對open ssl 04/09 23:32
→ xyz168 : = = 04/09 23:32
→ wahaha99 : 我下一篇不是主張用專用設備, 所以預載AES金鑰, 04/09 23:32
→ wahaha99 : 根本不會去用ssl啊,有對稱式加密幹嘛用不對稱? 04/09 23:32
→ xyz168 : 好了啦,突然覺得加起來都超過80歲的人吵架= = 04/09 23:33
→ wahaha99 : 所以我說我看不懂你在說什麼是真的連語意上都沒看懂 04/09 23:33
→ wahaha99 : 不是在酸你什麼,OK? 04/09 23:33
→ xyz168 : 老實說我也不懂你想講什麼 04/09 23:34
→ xyz168 : 明明就是在講軍方通訊採用商用系統這個問題... 04/09 23:34
→ xyz168 : 我也給了很多資訊不是? 04/09 23:34
推 cangming : 講難聽點啦 連NSA自家軟體都不能保證open source 踩 04/09 23:36
→ wahaha99 : 其實也沒有什麼商不商用,記得當初AES就是用來取代 04/09 23:36
→ cangming : 過的東西自己不會踩到 扯那些有的沒有的 就問一句 04/09 23:36
→ cangming : 你敢擔保人家open source踩到的問題 你就沒踩到? 04/09 23:36
→ wahaha99 : DES的,AES出生就是個軍用的東西 04/09 23:36
→ wahaha99 : 重點來了,怎麼實作,你一定要堅持自己寫庫比OS好嗎, 04/09 23:36
→ wahaha99 : 那我才會問你到底為了啥,防側信道嗎? 04/09 23:37
→ xyz168 : 這我在本篇不是講了嗎?技術是中性的 04/09 23:37
→ xyz168 : 我以為這很清楚吧 04/09 23:37
→ xyz168 : 從頭到尾我說的商用是指商用系統,並非技術 04/09 23:37
→ xyz168 : open source是開源,openssl是實現TLS/SSL的軟體 04/09 23:38
→ cangming : 見過太多自以為是 以為自己做的比open source 好的 04/09 23:38
→ cangming : 結果一個溢位漏洞就一波帶走 04/09 23:38
→ xyz168 : 技術本身是沒問題的,不過說到無線通訊安全標準 04/09 23:38
→ xyz168 : 那可是大大有問題,千萬不能只用那一層 04/09 23:38
→ xyz168 : 而且那一層本身就只保護裝置到基站 04/09 23:39
推 wahaha99 : 這樣說好了1.我根本沒提SSL 因為我是主張專用設備 04/09 23:39
→ cangming : 還不要說碰到protocol本身的漏洞 光修一堆低階問題 04/09 23:39
→ xyz168 : 你真正要end-to-end一定是走到application layer 04/09 23:39
→ cangming : 就修補完了 然後那個說好的CI? 04/09 23:39
→ wahaha99 : 2.這裡所謂的商用 確實不準確 應該說民用/非軍用 04/09 23:39
→ xyz168 : open source可以用,但是一定要嚴格檢驗 04/09 23:40
→ wahaha99 : 但實現AES到底除了自己寫跟用現成庫外 還要怎麼用 04/09 23:40
→ xyz168 : 另外商用軍用分開,軍用走商用網路是大問題 04/09 23:40
→ wahaha99 : 我也不知道 只是說自己寫就能算的上軍用嗎? 04/09 23:40
→ wahaha99 : 大部分的庫都在網路上被檢視到爛掉啦? 04/09 23:41
→ xyz168 : 寫成lib也是有要授權的crypto library 04/09 23:41
→ cangming : 人家有CI每天測 每筆commit測 你敢保證你close sour 04/09 23:41
→ cangming : ce有人家的測試密度 04/09 23:41
→ xyz168 : 滿多的 04/09 23:41
→ cangming : 就不要修一筆commit 拖出一狗票regression big 04/09 23:42
→ wahaha99 : 就上面網友提過的啊 security by obscurity 04/09 23:42
→ wahaha99 : 然後業界經驗還是別 比較好 04/09 23:43
→ cangming : 我到很好奇那家的業界自家寫的code比得上FAANG每天 04/09 23:44
→ cangming : 幫openssl測bug 04/09 23:45
→ xyz168 : 800-160 Volume 2 04/09 23:45
→ xyz168 : 看一下 04/09 23:45
推 wahaha99 : 不要說別的 AES SHA 這種等級的庫 都是語言自帶的 04/09 23:45
→ wahaha99 : 這何止被檢視到爛掉... 04/09 23:45
→ wahaha99 : 多少駭客天天在打... 04/09 23:45
→ lockheart : 商用軍用是否區隔,還是要裸奔,端看政府政策及資源 04/09 23:46
→ wahaha99 : win上AES跟SHA的庫還是Windows自帶的 .net只是介面 04/09 23:46
→ wahaha99 : 如果這有問題 Windows早就死光了... 04/09 23:46
推 cangming : 都甚麼年代了 還在ssl compression 然後這只要對稱 04/09 23:48
→ cangming : 加密加動態內容壓縮就會中 管你什麼實作 04/09 23:48
→ cangming : 還是你有可以不用對稱加密傳動態壓縮內容的方法 麻 04/09 23:49
→ cangming : 煩提出來讓密碼界聞香一下 04/09 23:49
→ cangming : 另外ssl compression不是一定不安全 靜態內容你怎麼 04/09 23:50
→ cangming : 開沒人管你 04/09 23:50
→ xyz168 : ??? 04/09 23:50