看板 Soft_Job 關於我們 聯絡資訊
作者asdfghjklasd (中華民國政府已經沒救了)
看板Soft_Job
標題Re: [閒聊] 有沒有憑證都不用檢查的八卦?
時間Wed Oct 1 00:39:25 2014
一個軟體除了美國外,沒有人能規定能不能監聽 就算是美國也是偷偷來的. 以IM的訊息交換或者Voice(VoIP)只要沒有下車 (特二類電信/E.164/非E.164/ISR(國際語音批發轉售)<--這是台灣 是沒有被要求是需要被監聽的. 以Skype為例,除了中國以外訊息間傳遞誰會去看的到? 而Skype在台灣下車是跟PCHome 子公司合作下車(非E.164) 這部份是有被要求是能調的出紀錄的也必須要符合通訊監察要求. → ggg12345: 別忽略任何國家都要手機通話能被合法監聽,否則就不放照! 09/30 20:54 這只是指手機用GSM 2G/3G/4G 等語音通話且配有E.164 門號之用戶 就是固網市話E.164/非E.164 門號,070等有話務下車或者交換的語音通話 都需能監聽錄音. 而不是在軟體的語音都要能監聽,那個什麼長的說要什麼二類電信執照才合法的 可以趕快下台了,不要再被別人笑你不懂還說. : 推 ggg12345: 規格並沒有講fixed key對收送雙方如何fixed!沒那麼笨啦! 09/30 20:50 : → ggg12345: 別忽略任何國家都要手機通話能被合法監聽,否則就不放照! 09/30 20:54 : 它從頭到尾都沒解釋 fixed key 怎麼來的 只說以 ecivreSpiS 做為 fixed key : 也沒見到任何 fixed key 的交換機制 那我就只能解讀為 fixed key : 就只是做為擴增密鑰長度的一個手段 沒有任何資訊安全的考量在裡面 : (當然這手段也是.... 外行囉 正常都用 key derivation function) : : 好吧 就算他改用其它的字串當 fixed key 問題出在於沒有安全的交換機制 : 不是走 HTTPS 就叫安全 因為像它最基本的憑證都沒驗 有走等於沒走 : 如果 fixed key 是跟著手機 app 和各套軟體一起送出來的 : 那很簡單 我去看一下軟體裡的 fixed key 是什麼就好了 : 簡單的邏輯推論 沒有交換機制 也只能真的 fixed : : 要做到國家可以監聽 也不代表也要做到任何阿貓阿狗攔了就可以輕易解開 : ※ 編輯: StubbornLin (76.21.8.197), 10/01/2014 00:05:30 : 推 asdfghjklasd: 一個軟體能不能被合法監聽不是國定機構能管的 10/01 00:28 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.166.145 ※ 文章網址: http://www.ptt.cc/bbs/Soft_Job/M.1412095168.A.449.html
ccccboom: 下車都出來了,業內的喔 10/01 07:08
rumicco: 請問什麼是下車 10/01 08:20
eplis: 網路轉電話吧 10/01 10:20
下車不一定是網路轉電話,一般來說是指到用戶端
Obb: http://www.doc88.com/p-907997623212.html 七、FXO 10/01 10:29
這個說法是一般說法 所以下車是指[誰] offload 這個話務到用戶終端.. 1.VoIP 分機->PBX->VoIP Gateway->IP->Trunk Gateway->E1交換機-+ | +----------------------------------------------------+ | +->POI/固網/行動局端/國際->Core ->BTS(基地台)->手機 ->Core ->分區PBX(局端)->市話 ->Core ->各國/市話/行動 2.市話/行動080上車 後走ISR 下車 3.PBX接E1 走ISR/固網下車
mrbigmouth: 請問上篇文章為啥不見了? 10/01 10:57
momokokuo: 不只文章不見了,連那個文件都不見了 10/01 11:14
Blueshiva: 只是改標題了而已 10/01 12:01
※ 編輯: asdfghjklasd (125.227.166.145), 10/01/2014 13:29:05
ggg12345: 換了標題不再談key distribution.那個fixed key只要加密 10/01 16:34
ggg12345: 通信前,收送雙方甚至監聽方能彼此安全地說定就行了.這裡 10/01 16:37
ggg12345: 的憑證是指甚麼?下載的server?下載的程式文檔內容,還是 10/01 16:39
ggg12345: 指收送雙方的身份證明?那個公權力機關(戶政)能核發證明? 10/01 16:44
ggg12345: 所謂先佔先機,就是大家還迷糊中就已經到位經營,邊改邊建 10/01 16:47
ggg12345: 工研院的苦處就在此,都講清楚就不必收技轉金了,少了伯樂 10/01 16:50
ggg12345: 網路支付也有同樣更嚴重問題.所以不懂的師範生能做成上 10/01 16:52
ggg12345: 市,會重視技術人員.這種想學習的技術人員常無法佔有先機 10/01 16:54
ggg12345: 台灣另一問題就是法令多如牛毛,卻又靠爪扒子有獎檢舉,彼 10/01 16:58
ggg12345: 此就用黑函檢舉來牽制,先做先倒霉,註定佔不了先機長不大 10/01 17:00
ggg12345: 工研院III就永遠做半成品,碰上技術人員就被看成是垃圾! 10/01 18:54
StubbornLin: 樓上的大大 這裡憑證指的是 x.509 10/02 00:51
StubbornLin: 不是由公權力機關 戶政事務所發出來的呦 10/02 00:52
StubbornLin: 現在有個很方便的網站叫 google 呦 10/02 00:52
ggg12345: 用x.509那是否也要用x.500?還有由誰來做CA(戶政)的服務? 10/02 02:06
StubbornLin: 以他們的使用案例 其實可以自己發憑證 10/02 02:46
StubbornLin: 然後 app 裡就跟著憑證夾在一起 要驗就直接用內建的 10/02 02:47
StubbornLin: 憑證驗 當然這是在 app 能和憑證一起安全地送達 10/02 02:47
StubbornLin: 的前提下 如果不能的話 就只能使用機器裡內建的憑證 10/02 02:48
StubbornLin: 花錢去買 由憑證商簽一張給你 10/02 02:48
StubbornLin: 經由 chain of trust 最終 機器上的內建憑證 10/02 02:49
StubbornLin: 可以一路驗下來 到你買的那張憑證 10/02 02:49
StubbornLin: 不過不是說憑證驗了就是安全的 也有憑證商被入侵 10/02 02:49
StubbornLin: 被拿來亂發憑證的事情發生過 但因為高價值 10/02 02:50
StubbornLin: 一般都只用來針對 Google 之類的高價目標 10/02 02:50
StubbornLin: 亂發的憑證被發現 可能整個被註消 所以最終 10/02 02:51
StubbornLin: 這都是攻擊成本與獲利的問題 10/02 02:51
StubbornLin: 驗了都有可能還是有問題了 更何況是連驗都沒有.... 10/02 02:54
StubbornLin: http://www.ithome.com.tw/news/91198 10/02 02:57
StubbornLin: 別人都已經親自操作證實了有中間人問題 10/02 02:57
StubbornLin: 結果他們說 "有多把金鑰 多台伺服器 沒中間人問題" 10/02 02:57
StubbornLin: 這... 我該說什麼 = = 10/02 02:57
StubbornLin: 資安不單是技術問題 更是態度問題 10/02 02:58
StubbornLin: 算了 跟你們認真什麼 反正到時國家機密被偷 10/02 03:02
StubbornLin: 再來凹說我們都有用 HTTPS 很安全 不是我們的錯 10/02 03:02
ggg12345: HTTPS就是使用SSL透過VeriSign提供的CA做server身份認證 10/02 08:42
ggg12345: VeriSign流傳是美CIA投資的公司.網路信用卡支付一定要先 10/02 08:50
ggg12345: 對來往的server做身份認證.利用此可被認證的server做通 10/02 08:56
ggg12345: 話雙方的通話身份CA,再藉HTTPS對之認證彼此身份.您覺得 10/02 09:09
ggg12345: 此一重大利益的通話身份CA server工研院或III不想做?! 10/02 09:10
ggg12345: 做完身份認證,彼此透過SSL提供加解密要共用的fixed key 10/02 09:18
ggg12345: 關鍵利益還要用罵法人方式等其將大餅塞到嘴上?? 10/02 09:23