Android: Now we're talking security...

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Hvor vidt og hvor godt kan man stole på NSA? Hvad er oddsene for, de har en lille skjult bagdør i SE Android? NSA er jo kendt for godt at kan lide at overvåge.

Blot en tanke..

  • 3
  • 2
Jacob Pind

at installer den slags på baseband delen ville give mere mening, og de har så rigligt med muligheder for overvågning via mobil nettet. Baseband dele og simkortet, som jo afviker sine egen java programmer, kan opgrades uden du ved det, som selvstændig kan fortage opkald , er langt bedre steder at gemme den slags.

  • 1
  • 0
Peter Stricker

Det er ikke nødvendigt at stole på NSA

Gid man kunne sige det samme om NemID: Du behøver ikke at stole på Nets. Al kildekode, alle protokoller og alle procedurer er lagt åbent frem.

Og hvis du beslutter, at du ikke kan stole på Nets, så kan du bare vælge en af de andre udbydere af NemID.

Og hvis du ikke vil anvende den samme NemID nøgle til banken som til lægen, så laver du bare en ny, afledt nøgle.

  • 7
  • 3
Lars Lundin

Hvad er oddsene for, de har en lille skjult bagdør i SE Android? NSA er jo kendt for godt at kan lide at overvåge.

Ja, den famøse NSAKEY i Windows blev i hvert fald meget omtalt, og en overbevisende forklaring kom aldrig rigtig, se (fra imorgen :-) http://en.wikipedia.org/wiki/NSAKEY

Så risikoen for en Android bagdør er nok væsentlig mindre end for een på en Windows phone.

Men der skulle være formidable programmører hos NSA, så måske prøver de at snige en bagdør ind, der er camoufleret som en programmeringsfejl, der er svær at se i kildeteksten.

Noget lignende er forsøgt før med Linux, se f.eks. http://kerneltrap.org/node/1584

  • 0
  • 0
Jan Gundtofte-Bruun

Det er ikke nødvendigt at stole på NSA: De har releaset kildeteksten.

[2011-11-14 09:47] Det er ikke et spørgsmål om ikke at kunne overskue, det er et spørgsmål om tid. [...] Hvis jeg skal investere en eller 3 mandmåneder før det kan lade sig gøre, er det ikke besværet værd og jeg slæber bare laptoppen med i stedet.

Vil det sige at du nu har (besluttet dig for at få) læst hele kildeteksten til din telefon, som du tidligere anså for uoverkommeligt? Det ville være suverænt, for jeg er sikker på at store dele af den danske IT-befolkning ville tage det som en blåstempling. :-)

  • 1
  • 0
Casper Bang

Cyanogenmod og andre bruger kildeteksten til at fylde flim-flam og features på.

Tja, ikke at forglemme drivere til de forskellige chipsets og basebands. Men det vil du også stå for selv?

Ja, den famøse NSAKEY i Windows blev i hvert fald meget omtalt, og en overbevisende forklaring kom aldrig rigtig, se (fra imorgen :-) http://en.wikipedia.org/wiki/NSAKEY

Bare slå JavaScript fra i browseren når du går ind på siden. :)

  • 0
  • 0
Casper Bang

Jeg har pålagt mig selv en dags wikipedia-"faste", til dels for at se hvordan det opleves, og til dels fordi jeg som wikipedia-editor har stemt for protesten.

Det kan jeg sagtens sympatisere med, men som Wikipedia donator og nørd der både kender til Google webcache og JavaScipt browserfunktionalitet, forbeholder jeg mig ret til stadig at få fat i det indhold jeg står og skal bruge. Tilgængæld har jeg lovet mig selv at drikke kaffen sort i dag, som protest imod SOPA.

  • 3
  • 2
Maciej Szeliga

NSA har efter 11. sept. fået indført begrænsninger i al komerciel kryptering til max 256 bits og alle har akcepteret det, hvilket gør at NSA sandsynligvis kan dekryptere alt med brute force på under 3 timer. Alle krypteringslogaritmer er godkendte af NSA. De behøver ingen bagdøre, industrien gør som NSA siger for det er lov i guds eget land.

  • 1
  • 2
Maciej Szeliga

Det er blandt andet noget vås fordi du ikke kan sige "256 bit kryptering" uden at angive den chiffer der benyttes. Ellers kan vi ikke bestemme om det er svært eller nemt :)

Rijndael (som bruges i AES med begrænsning til max 256 bit). DES og 3DES blev også begrænset på anmodning af NSA (en hel del tidligere) hvilket gør det meget påfaldende at AES også blev begrænset. Jeg skulle nok have specficeret at det var kommercielle løsninger jeg mente.

  • 1
  • 0
Henrik Kramselund Jereminsen Blogger

Du skulle i det hele taget nok have et ekstra kig på dit indlæg.

Det er rigtigt at produkter fremstillet i USA ofte har været begrænset, men derfra at udlede at alle algoritmer kan brydes med bruteforce på under 3 timer?

Jeg ville hellere have du havde angivet et bestemt produkt, eller i det mindste en algoritme, som du nu nævner AES. du må også gerne lige sige om det kan bruteforces fordi tilfældighedsgeneratoren til nøglen formodes at være dårlig, eller hvorledes du mener det omtalte brute force skal ske.

  • 0
  • 0
Log ind eller Opret konto for at kommentere