3/10/2013
O Lavabicie po raz pierwszy pisaliśmy kilka tygodni temu, w kontekście Edwarda Snowdena. Były analityk NSA korzystał z tego serwisu do bezpiecznej komunikacji e-mailowej. Niestety, po głośnych artykułach dotyczących wycieków Snowdena, właściciel serwisu Lavabit w enigmatycznym oświadczeniu zdecydował się zamknąć swój biznes, tłumacząc tę decyzję dbaniem o bezpieczeństwo swoich użytkowników. Teraz wiemy, co konkretnie było powodem…
Dawaj klucze SSL, Lavabit! — zakrzyknęło NSA
Jak donosi Wired, NSA zażądało od Lavabitu udostępnienia kluczy prywatnych SSL, co pozwoliłoby agencji na podsłuchiwanie ruchu HTTPS kierowanego do serwisu (to, że NSA ma dostęp do zaszfrowanego ruchu internetowego ujawnił sam Snowden).
Zanim NSA poprosiła o klucze SSL, trzeba przyznać lojalnie, że chciała po prostu dostępu do danych na temat Snowdena, ale Lavabit odmówił. Odmówił, bo NSA chciała wszystkich metadanych dotyczących Snowdena; kto pisał, skąd pisał, kiedy pisał, z jakich adresów, itp. — czego, nawet gdyby Lavabit chciał, nie mógł zdobyć bez modyfikacji swojej infrastruktury.
Lavabit dał klucze SSL, ale…
Wykonał przy tym uber-trollerski ruch. Klucze przekazano na wydruku składającym się z 11 stron. Zapisanych czcionką o wielkości 4. NSA uznało wydruki za “nieczytelne” :-)
Kolejnym ruchem rządu USA było wydanie nakazu udostępnienia kluczy w bardziej czytelnym formacie, ale Lavabit odmówił… za co na serwis nałożono karę w wysokości 5 000 dolarów za każdy dzień zwłoki, począwszy od 6 sierpnia 2013. 8 sierpnia Lavabit ogłosił swoje zamknięcie.
Brawo Lavabit! Czapki z głów. Kurtyna.
bez przesady, przed chwilą wydrukowałem sobie kartkę
zapisaną czcionką 4 i idzie odczytać, zwykły OCR dałby sobie
radę
Pewnie jeszcze użył comic sans. ;)
Może użył Webdings? :P
No nie wiem… Wystarczyłaby pomyłka w jednym znaku :-)
drukarka miała już swoje lata a przy okazji ostro brudziła wydruk ;)
brawo :D
Numer z czcionką – mega. Ale czy opłaty nie będą rosły po zamknięciu? :P Poza tym, mogli dać SSL w czcionce 4,1 albo 4,01. Większe? Większe. Czytelniejsze? Czytelniejsze. Ale że o jedną setną, nie ich problem ;)
Lepiej czcionką 72 :]
@Marcin
Zapomniec ponumerowac stron i przemieszac? :)
Pozdrawiam.
Andrzej
@AndrzejL
To by dało tylko 11! kombinacji czyli da się sprawdzić
@sojuz – 11 stron było czcionką 4, czcionką 72 byłoby więcej :)
@sojuz151 – mowa była o mieszaniu przy czcionce 72… a to już by dało ~4700! (internety twierdzą, że to >15000 cyfr) czyli chyba trochę dużo do sprawdzania ;)
sojuz151 11 nieponumerowanych stron, dałoby 11 kombinacji? Ktoś nie uważał na matematyce :).
@Szewc
11! = 39916800 ≠ 11
Korzystałem z Lavabit przez 2 lata i pomimo utrudnień spowodowanych jego zamknięciem (zmienianie adresu kontaktowego w paypalu = maksymalna upierdliwość), z każdym takim newsem jestem coraz bardziej zadowolony z tego, komu wówczas powierzyłem bezpieczeństwo swoich danych.
Co teraz?
ja otworzylem konto u ruskich na Yandex, bo chinczycy nie mieli “czytelnego” interfejsu i uwazam, ze ani ruscy, ani chinczycy nie mogliby sie interesowac kims takim jak ja, podczas gdy zachodnie rzady chca wiedziec wszystko o wszystkich.
nei ma innej alternatywy niz ruski serwis, poki co.
Taka czcionka to jak na sciąge do szkoły
Zapomnieliście o najważniejszym: Źródło:
http://lavabit.com/ This experience has taught me one very
important lesson: without congressional action or a strong judicial
precedent, I would _strongly_ recommend against anyone trusting
their private data to a company with physical ties to the United
States. Sincerely, Ladar Levison Owner and Operator, Lavabit
LLC
Nie zapomnieliśmy – pisaliśmy o tym z silnym akcencie w poprzednim tekscie o Lavabit, ktory jest tu silnie linkowany :)
Jakiś ich najniższy rangą pracownik w 2 godziny te 11 stron
wklepał do komputera. NSA certyfikaty dostała? Dostała. Do tego dał
im 10,000USD na opłacenie kolejnych operacji, nie widzę gdzie ten
“uber-trollerski ruch”?
Wyssałeś sobie te dwie godziny z palca. Poza tym spróbuj
przepisać tyle tekstu bez ani jednego znaku pomyłki, bo wtedy klucz
nie zabangla. A jak już się pomylisz, to znajdź ten błąd.
czyli Stefan wydruk danych małą czcionką jest zabezpieczeniem nie do obejścia? Nie da się tego przepisać do kompa już nigdy?
Prawda jest taka, jak by tego nie wydrukował, dopóki da się odczytać to im ten klucz dał, czy załadują go z pendrive czy ktoś go będzie musiał przepisać jest bez różnicy. Do tego za te 10,000USD mogą wsiąść 100 maszynistek, dać każdej po 100USD dniówki i dzieląc pracę między nimi wklepać to w minutę, a pozostałe 7 godzin i 59minut niech sprawdzają czy dobrze.
Pomijam takie rzeczy jak ocr.
Przecież wyraźnie widać, że grał na zwłokę, postaw się w jego sytuacji.
Dwa dni później zamknął serwis więc szkody wielkiej to nie wyrządziło.
OCRnąć tego nie mogli?
Może użył tej drukarki co myliła cyfry? :)
Coś się hameryka miota wokół szyfrowania:
http://cryptome.org/2013/09/police-crypto-illegal.htm
Ależ jaki tam trolling, po prostu facet robił swoje. Dbał o
bezpieczeństwo użytkowników do samego końca :)
Zamiast to dać do NCIS: Kryminalne zagadki czegokolwiek –
oni tam mają super urządzenia powiększające i wyostrzające to się
bawią w zastraszanie i kary pieniężne… jak dzieci :)
Ja bym w drugim przypadku wysłał te klucze czcionką Comic Sans 120pt. O wiele większa i czytelniejsza.
Przepiękne :) Tomku – ciekawe, ile razy ten najniższy rangą
pracownik pomylił się przy przepisywaniu. Na zdrowie, niech sobie
dziubią do woli.
Podobnej metody użył Zimmermann do wyeksportowania źródeł
PGP – wydrukował (wydał w formie książki) i legalnie wyeksportował.
Ale na pewno użył większego fontu :-) Takie luźne
skojarzenie.
Ciekawe kiedy komuś przytrafi się jakiś wypadek…
Łezka się w oku kręci gdy w dawnych czasach drukowano i
przemycano za granicę PGP by uniknąć nałożonej blokady -.-
Wystarczyłoby zmienić jakiś znak gdzieś wewnątrz każdego klucza przed wydrukiem, stałyby się bezużyteczne nawet po przepisaniu.
PS. Ogarnijcie proszę komentarze w wersji mobilnej — brak rozróżnienia na komentarze główne i odpowiedzi do nich mocno utrudnia czytanie.
Może NSA używa drukarek Xeroxa?
Skan z maksymalna rozdzielczością i pózniej ocr.
Czytając o czcionce kojarzy mi się akcja Samsung vs Apple,
gdzie samsung zapłacił ~1mld pięciocentówkami = 30 ciężarówek
pięciocentówek :D Czapki z głów, ruch mega :D
http://www.theguardian.com/technology/blog/2012/aug/29/apple-samsung-trucks-nickels-fake
Thx za info, człowiek uczy się całe życie ;)
A nie mógł tego zapisać Wingdingsem?
Strasznie zalatuje mi bullshitem. Jeśli NSA ma dane zaszyfrowane, to mniej więcej wie, co siedzi w środku (np. nagłówki SMTP).
Dostali klucz w którym pewna, raczej niewielka, ilość bitów jest niepewna – z artykułu nie wynika żadna komplikacja poza formą i małym rozmiarem. OCR powinien dać radę, podobnie ręczny wklepywacz.
Mają więc ten obarczony błędem klucz. Czy to taki problem zbruteforceować transmisję sprawdzając kilka trefnych bitów?
Czegoś brakuje w artykule, bo albo było dodatkowe utrudnienie dla NSA i brakowało znacznie więcej bitów, albo pracują tam “urzędnicy” rodem z małego miasteczka, a nie agenci, albo ktoś tu sieje dezinformacje.
Przecież z czcionki 4 da się odczytać tekst….
Ej, serio można zażądać od serwisu wydania kluczy prywatnych? Jakim prawem? I do tego jeszcze nałożyć karę? Więc jak założę serwis na którym ktoś będzie trzymał tajne dokumenty, to inna firma (takie np NSA) może żądać ujawnienia tajemnicy korespondencji? A jak nie ujawnię wszystkiego, to jeszcze ktoś na mnie karę nałoży? No śmiechłem…
Można i jak widać, można jeszcze kazać serwisowi nic nie mówić na ten temat. Nakazy były objęte klauzulą tajności.
Ciekawi mnie jedna rzecz. Skoro “nakazy były objęte klauzulą tajności”, to skąd my o nich w ogóle wiemy? Ktoś sypnął?
@Piotr orientujesz się co z apelacją? Może nawet nie da się zaskarżyć nakazu ujawnienia danych, ale co z grzywną?
Czy jest na sali specjalista od prawa amerykańskiego?
eno Panowie…. ja na studiach miałem ściągi w rozmiarze 3. Odnośnie pomysłu, rewelacja, tyle że w drugim wariancie, zapodziałbym gdzieś jeden znak i potem by się jakoś wyjaśniło. No chyba, że podczas długiego poszukiwania usterki moje serwery by szlag trafił… tyle nieszczęść po ludziach chodzi przecież.
Panowie, piszecie głupoty.
Po pierwsze nie „11 stron zapisanych czcionką”, bo nie używał kaszty odlewanych z ołowiu liter osadzanych na drewnianych lub metalowych trzpieniach, tylko 11 stron wypełnionych znakami alfanumerycznymi z wykorzystaniem kroju Zapf Dingbats o wysokości 4 punktów. Tu daje o sobie znać krzywda jaką Microsoft wyrządził Polakom wprowadzając polskie wersje językowe swoich programów i brak refleksji tychże w przyjmowaniu wszystkiego jak leci bez krzty krytycyzmu.
Po wtóre nie podał z jakim odstępem międzywierszowm. A mógł np. takim by kolejne wiersze nachodziły na siebie. Wówczas OCR i przepisywanie odpada bo potencjalnie liczba błędów mogła by być znaczna.
Po trzecie przy druku tekstu o wysokości 4 punktów znaczenie ma rozdzielczość druku. Mógł wydrukować np. w 300 dpi. Wówczas OCR odpada. Skanowanie w milion dpi nic nie da tak jak żadne wyostrzanie, ani pierdyliard komputerów w klastrze nic nie da. A co dopiero jak wydrukował na igłówce, hę?
Podoba mi się jak ktoś się wymądrza, najczęściej nt.
języka, bo coś tam usłyszał, ale nie sprawdził, tylko przekazuje
plotki dalej :) Język jest żywy, a niektóre słowniki notują już
wyraz “czcionka” w znaczeniu “czcionka komputerowa – zestaw znaków
pisarskich dla danego urządzenia lub programu; font”. Nawet jeśli
Microsoft wprowadził coś nieprawidłowo, to staje się to prawidłowe
przez wprowadzanie do kolejnych słowników, poprzedzone przez uzus.
Może Ci się nie podobać to znaczenie, możesz go nie używać.
http://poradnia.pwn.pl/lista.php?id=629 “(…) Możliwe, że taka
czcionka nie została zainstalowana na Pana komputerze i dlatego nie
może jej Pan obejrzeć. Mirosław Bańko” Wybitny językoznawca, pan
Bańko jest dość liberalny językowo, trzeba to przyznać. Jednakże
różnice w opiniach językoznawców na różne tematy (chociażby
rzeczony Bańko kontra konserwatywny pan Bralczyk) pokazują, że nie
ma jakiegoś jednego, jedynego i prawidłowego języka. Podany przeze
mnie przykład pokazuje, że nie masz racji narzucając swoje
preferencje jako regułę. 4 pt (4/72 cala) przy 300 dpi będzie
czytelne dla OCR. Przecież można definiować własne reguły i według
mnie to jest oczywistość przy takim tekście. Jakby zrobił coś,
czego się nie da odczytać w żaden sposób, to jaki cel by miało
robienie tego? Równie dobrze mógł wtedy nic nie wysyłać, a
konsekwencje by były takie same. Moim zdaniem mogli to odczytać,
ale woleli pokazać władzę poprzez dowalenie mu kary. PS: W tym
kontekście moim zdaniem winno się pisać o glifach, nie o “znakach
alfanumerycznych”, skoro mowa o typografii.
@Krzysiu, to że p. Bańko dopuścił się lapsusa językowego
nie czyni z tego reguły językowej. Jak wiesz nie pierwszy to raz
gdy to czyni. Sam linkowany słownik PWN podaje właściwą definicję
czcionki: czcionka, dawniej trzcionka, krotło, rodzaj materiału
zecerskiego przeznaczonego do ręcznego składania tekstów;
Bezkrytyczne powielanie błędów jest po prostu głupie. Wg Ciebie
miliony much przecież nie mogą się mylić… To, że język jest
żywy jest cenną cechą ale dzięki temu, że możemy te zmiany poddawać
krytyce, ocenie i weryfikacji unikamy kretyńskich zmian. A ta
zmiana odnosząca się bezpośrednio do obowiązujących w Polsce norm
jest krzywdząca i zbędna. Gdybyś nawet się upierał, że
czcionka komputerowa to uwspółcześniona forma określająca czcionkę
drukarską to jednak wyrażenie „czcionka komputerowa” odnosi się
wyłącznie do pojedynczego znaku (glifu). Krój pisma (font) dopiero
określa pełen garnitur znaków. Wobec tego forma stosowania która
promujesz jest nie tyle niewłaściwa, bo wynikająca z Twojej
niewiedzy, braku doświadczenia i kompetencji, co z niechlujstwa
językowego. Wstyd. Stosowanie pewnych reguł jest wyrazem nie tylko
szacunku dla języka ale dla własnych wartości i dyskutantów. Ja
wyrosłem na składaniu książek, szacunku dla liter, typografów i
redaktorów, tych z prawdziwego zdarzenia. Używanie właściwego dla
dziedziny zestawu określeń językowych uważam za przejaw szacunku
dla adwersarzy. Poddawanie się pędowi motłochu lub pozycji
monopolisty świadczy o braku zasad i wątpliwym kręgosłupie
moralnym. Odnośnie OCR piszesz kompletne bzdury. W skanowaniu tego
typu treści istotna jest liczba błędów. Wystarczy jeden i klucz nie
nadaje się do użycia. A na kilku stronach możesz mieć ich co
najmniej kilkadziesiąt lub nawet kilkaset. Tak, sprawdziłem
organoleptycznie. Zrób sobie test OCR 4pt pisma np. odręcznego lub
szeryfowego i nie pogrążaj się teoretyzując. I na koniec, to nie są
moje preferencje. To lata doświadczeń zawodowych, szacunku dla
języka, składu książek, redaktorów, pisarzy i korektorów. To
zawodowe preferencje obce użytkownikowi Worda ale obowiązujące w
grafice, projektowaniu, typografii, księgoznawstwie itd.
ale bullshit… mam kilkanaście certyfikatów SSL i każdy plik z kluczem prywatnym ma najwyżej po 3kB, to by się zmiesciło na jednej kartce zapisanej czcionką wystarczająco czytelną…
@Szwec Ktoś skończył za szybko matematykę. Wykrzyknikiem oznaczamy silnię tak więc 11*10*9*..*1= 39916800
Co nie zmienia faktu, że poprzednik też liczył źle ;)
Mogli dać czcionkę anty NSA : ) http://www.businessinsider.com/zxx-fonts-that-google-cant-read-2013-9
Dlaczego domniemujecie ze wydruk był na laserowce 1200dpi robiony? Przeciez mogli na starej atramentowce z częściowo pozasychanymi dyszami i na kiepskim rozlewajacym papierze to wydrukować i wtedy toz taka mała czcionka to ani OCR ani 100 maszynistek nie poradzi. Wydruk bedzie nieczytelny i tyle.
Wszyscy zachwycili się świetnym trollowaniem a prawda pewnie jest taka, że po prostu agencja potrzebowała w oficjalny i legalny (mimo, że utajniony) sposób dostać się w posiadanie czegoś co pewnie miała od dawna. A jak ktoś chce z jakąkolwiek agencją “pogrywać” to nie ma takiej możliwości aby nie podchwyciła gry, bo to jej tylko na rękę.
Co prawda jestem laikiem w dziedzinie kryptografii ale czemu mają służyć klucze o długości ponad 200k gdzie 9086 jest już dość dużą wartością (wiedza zaczerpnięta z podręcznika i kilku for gdzie na tamte czasy opisywali 1024 jako klucz “wystarczający” dla szyfrowania asymetrycznego)… I jakich algorytmów kryptograficznych używali że długość klucza nie miała aż tak wielkiego znaczenia podczas szyfrowania?
Jeśli jestem w błędzie co do długości klucza to chętnie poznam nieco aktualnych danych :)
przy pierwszym znaku ‘duze I’ albo ‘male l’ OCR i lupa nie
pomoze…
Czy przypadkiem nie jest tak, że klucze podane są w formie szesnastkowej (czyli 0-9 oraz A-F), zaś wielkość liter jest zawsze taka sama?
Prawo w USA jak widac jest juz blizsze znienawidzonej przez nich prez lata USSR, dzis w jednym rzadza oligarchowie, w drugim agencje rzadowe, nie objete prawem.
Poczytaj Bamforda – 40 lat temu, 30, 10 i teraz jest ciągle ten sam reżim, nie łudźmy się,
ten kraj to Państwo niewolników!
Przeciętny klucz prywatny 2048 bitowy zwiera jakieś 1615 znaków (nie licząc komentarzy). Skąd zatem wyszło 11 stron? Czy każdy użytkownik posiadał swój klucz i podpisany nim certyfikat?
Jeśli chodziło im tylko o “Śniegowegodena” mogli zażądać konkretnego klucza. Wystarczy skan o dużej rozdzielczości i nawet tekst czwórką da się rozczytać (pisane Wingdingsem! – trzeba tylko znaczki odpowiednio zmapować).
Ale wystarczy czionka w której I, l i 1 wyglądają identycznie. Do tego 0 i O. I już klucz staje się nieczytelny. Bez względu na rozmiar czcionki.
Też się zastanawiałem dlaczego aż 11 stron. Czy ktoś wyraźnie zaznaczył, że chodziło _tylko_ o Snowdena? No właśnie. W tym serwisie mieli konta jeszcze inni jego korespondenci. Stąd taka a nie inna ilość stron.
Udostępnił klucze w formie wydruku, bo nie sprecyzowali jaka to ma być forma… a że drukarka miała mało tonera i papier lichy i dużo do drukowania, a lasy trzeba oszczędzać, to i taki efekt.
Inna sprawa że chłopcy mogli rozłożyć te 11 stron na parkingu przed firmą i zrobić skan którymś ze swoich satelitów, a na wyjściu dostaliby zapewne bezbłędny wynik z OCR. ;)
Etam. Teraz mają i klucze, bo technologię która to przeczyta bezbłędnie, pewnie już mają od lat 70tych. A jak nie to za 5000 dolarów dziennie znajdzie się kilkadziesiąt osób (w stanach), a ze dwie setki osób w Polsce,które to przepiszą.
ONI zawsze dadzą sobie radę ze zwykłym śmiertelnikiem. ZAWSZE.
Tutaj jest zestaw dokumentów dotyczących tej sprawy https://www.documentcloud.org/documents/801182-redacted-pleadings-exhibits-1-23.html
trolling level master :D
Mógł drugim razem wydrukować drukowanymi literami. ;)
A czy przypadkiem NSA nie jest w stanie szybko faktoryzować kluczy ? Agencja z takim budżetem na 100% jest w stanie to wykonać. Skoro łamią wojskowe szyfry które są bardziej złożone i skomplikowane. Więc szyfry dla mas nie stanowią dla nich tajemnicy. Prawdopodobnie NSA nie chce się oficjalnie przyznać że już dawno wszystko rozkodowała. Tylko urządza taki teatrzyk z żądaniem klucza.
Założę się że mają odpowiednio “mocny” komputer kwantowy tylko siedzą cicho :) USA sporo wydaje na wojsko.
Mógł za drugim razem wysłać im tekst większa czcionką, ale inna mniej czytelną ;D
[…] NSA wymusza żądania do konkretnych serwisów przekierowując połączenie wychodzące z exit-node’a (NSA w końcu sniffuje ruch w różnych punktach na świecie i równie dobrze może tam wstrzykiwać w połączenia swoje treści, ang. packet-injection). Na pewno pomoże odwiedzanie stron po HTTPS i zwracanie uwagi na wszelkie problemy z certyfikatami (chyba, że NSA ma klucz prywatny…). […]
Niebezpiecznik zapomniał o jednej, istotnej informacji:
“The court ordered a $5,000-a-day fine and on Aug. 7, Levison finally relented, handing over digital copies of the keys.”
Natomiast z tekstu Niebezpiecznika można wnioskować, że NSA nie weszło w posiadanie kluczy, więc korespondencja na serwerach Lavabit jest bezpieczna. Nie jest.
Może wreszcie czas na pokazanie personelowi dyplomatycznemu USA w Polsce otwartego semafora?
Bym zapomniał – oprócz otwartego semafora sygnał Rd1 –
Nakaz jazdy. Ewentualnie, jak tego nie zrozumieją, to gwizdek (choć
w Polsce gwizdkiem sygnał podaje kierownik pociągu, a w krajach
anglosaskich – dyżurny peronowy)
Ja tam drukowałem ściągi do szkoły czcionką nawet 2,5, beznadziejną drukarką HP z tanimi zamiennikami tuszy. I powiem szczerze ciężko było, ale na kartkówkach dało się to z długopisu odczytać :p Ale gdyby było jakimiś wymyślnymi czcionkami zapisane to byłoby znacznie gorzej… więc to jest jedyne usprawiedliwienie dla NSA ;)
Ja tam nie widzę problemu z przepisywaniem. Wystarczy że
ktoś usiądzie, wklepie (albo potraktuje OCRem), następnie
sformatować jak oryginały, wydrukować, zeskanować (albo wykruk do
pliku graficznego), wrzucić do programu graficznego jako 2 warstwy
– oryginał i na to przepisane z filtrem różnicowym i ewentualne
błędy widoczne jak na dłoni. Ewentualnie powtórzyć po skorygowaniu
(jeśli było pominięcie jakiegoś znaku).
[…] nie mają i wnioskować o niego? Przypomnijmy, że właśnie o klucz prywatny do certyfikatu SSL NSA prosiła właściciela serwisu Lavabit, na którym skrzynkę miał Edward Snowden. Dlaczego nie skorzystali z Heartbleedu do wycągnięcia klucza? A może jednak skorzystali i […]