Погонял сегодня ctypescrypto на разных платформах (после того как мне отрепортили баг, что на MacOS у меня динамическая библиотека неправильно ищется)

Под Windows пришлось поправить 1 тест. Любимая моя привычка - создавать временный файл и не закрывать. А потом удивляться - а что это на некторых платформах его по второму разу открыть не могут.

Под linx/armhf - ну даже не интересно.

Под pypy - работает. Сходу.

Под python3 - ожидаемо не работает. Для модуля который активно работает как с байтами, так и с юникодом, это неудивительно. Вопрос в том, а можно ли принципиально сделать этот модуль таким, чтобы был совместим с обоими версиями. По-моему нет.
Потому что полно объектов, у которых определены методы __str__ и __unicode__, которые должны быть переименованы, соответственно, в __bytes__ и __str__

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1103559.html. Please comment there using OpenID. Now there are comments

Вообще. интересно, а можно ли сделать протокол, обеспечивающий надежную криптографическую защиту от инжекции или подмены данных, но без шифрования, и при этом экономящий ресурсы более чем вдвое, по сравнению с полноценным TLS.

Про существование в TLS ciphersuit-ов с NULL-шифрованием я в курсе.

Там как раз получается, что остается только (H)MAC для контроля целостности.
Поскольку затраты на вычисление MAC и на шифрование сравнимы, то экономия на длинных сессиях (а речь в предыдущем посте шла про rsync) примерно вдвое.

На первый взгляд кажется что ограничение принципиально. Хочешь, не хочешь, а для защиты от подмены траффика нужно считать криптографически защищенную контрольную сумму на общем секрете. Вычисление общего секрета неизбежно дорогое, но оно встроено в хэндшейк, который относительно редок.

Вычисление криптографически защищенной контрольной суммы сильно дешевле шифрования не будет.

Но есть ведь альтшуллеровский подход - когда подсистемы нет, а функция её выполняется.

Вот, например, тот же rsync считает контрольные суммы с целью проверки, а надо ли вообще этот блок передавать, или он не менялся. Соответственно, если там не просто хэш, а (H)MAC, то приехали - инжекция невозможна - прежде чем обмениваться данными, стороны обменялись MAC-ом. (правда, я не уверен, что в rsync передается хэш от новых данных, а не от старых. С точки зрения заведомо надежного канала это логично - передавать хэш-сумму посчитанную получателем, чтобы отправитель мог принять решение - слать или не слать блок).

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102503.html. Please comment there using OpenID. Now there are comments

Попробовал тут поставить putty посвежее, текущий снапшот, и выяснил что генерировать ключи с нормальным алгоритмом puttygen уже научили, а вот работать с ними - ни pageant, ни сам putty - нет.

pageant ругается на invalid format, a putty просто молча игнорирует и пытается аутентифицироваться с паролем (чего, конечно, ему никто не позволяет)

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102072.html. Please comment there using OpenID. Now there are comments

Попробовал поиграться с softether vpn, котрая вся из себя кроссплатформная и много чего умеет.
Командно строчный клиент там похоже дизайнили люди, ушибленные в детстве VMS-ом. Ну да ладно, я тоже когда-то VMS-ом пользовался. и продраться через их дивный интерпретатор команд вполне способен.

Но никаких средств диагностики и администрирования они не предлагают. Утверждая "Если ваша смарткарта в списке не показывается, попробуйте сапгрейдиться на более новую версию софта".

Ну да, взял исходники из GIT, посмотрел как они там ищут PKCS11 модули. Увидел, что работа с PKCS11 модулями не под Win32 у них там вообще не написана.

Не, лучше я нормальный pppd буду допинывать.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1101013.html. Please comment there using OpenID. Now there are comments

http://www.reuters.com/article/2015/06/14/us-britain-security-idUSKBN0OT0XF20150614

Тут вот пишут, что наши родные спецслужбы, и китайские тоже, расшифровали сноуденовские файлы. И по этому поводу британцы срочно выводят из под удара своих агентов, работавших со времен холодной войны.

Вообще, конечно могли и взломать. В конце концов любое симметричное шифрование сводится к паролю, который можно запомнить, а их количество конечно. И если за дело берутся спецслужбы двух крупных держав (особенно если договорятся поделить работу и честно поделятся результатами), то за несколько лет вполне можно добиться успеха.

Но ещё интереснее, если это блеф.

У любой спецслужбы всегда есть информация, которой она не может воспользоваться в оперативных целях, потому что это значит засветить источник этой информации. Так было с "Энигмой" во время Второй Мировой, и вообще этих случаев полно.

Теперь представим себе, что у России есть агент в МИ-6 который слил информацию про нескольких агентов в России. Если их сейчас взять, то британцы начнут копать, и с высокой вероятностью накопают. Размен получится (допустим) невыгодный.

А теперь представьте, что у нас есть копия сноуденовского винчестера. И британцы знают, что она у нас есть (а весь мир знает, что у русских и у китайцев эти копии есть). Мы берем и сливаем информацию, что мы расшифровали эти файлы, и в подтверждение берем нескольких агентов, данные о которых вообще-то получены из совершенно других источников.

Результат превосходит все ожидания - британцы начинают сворачивать и выводить из под удара ВСЮ свою шпионскую сеть. Спасибо АНБ за наше счастливое детство.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1096837.html. Please comment there using OpenID. Now there are comments