On 2016-03-20 19:28, Rafal Jankowski wrote:
>> Z punktu widzenia banku istnieje zasada domniemanego zarażenia
>> malware. I słusznie, klient nie ma jak udowodnić że malware nie było
>> więc bank nie jest nigdy stratny.
> To samo możesz powiedzieć o każdym innym systemie, który nie jest OS.

Czekaj, bo to zdanie nie ma sensu. Co masz pod skrótem OS? Open Source?
Operating System?

Open Source nie sluzy do ochrony przed kompromitacją systemu przez malware.

> A
> Twojego kolegi (czy to prawnik czy nie to akurat bez znaczenia) równie
> dobrze mogło nie być i wtedy wszystkie poszlaki świadczą przeciwko Tobie.

Domniemanie niewinności w akcji :)

> Podany przez Ciebie przykład TPMa to tylko dodatkowa warstwa
> zabezpieczeń która rownie dobrze może być skompromitowana jak i OS

Dawaj. Mozesz pokazać przykład kompromitacji jakiegoś współczesnego
TPMa? Żeby nie było: Ja moge, ale mocno niepraktyczny w analizowanym
scenariuszu. A z uwagi na unikatowośc kluczy należy nie tyle złamać
jeden, co konkretny egemplarz.

, więc
> z tą "absolutną" pewnością to trochę pojechałeś. Nie mówiąc już o tym,
> że podobnie jak numer w totolotku można go "zgadnąć", chociaż w
> zależności od implementacji pewnie trochę więcej bitów jest do odgadnięcia.

TPM i inne metody zabezpieczania kryptograficznego planuje się i
impelmentuje z myślą o *NIEŁAMALNOŚCI* w realnych warunkach dzisiaj i za
kilkanascie lat. Jesli masz śladowe pojęcie o fizyce, połprzewodnikach
itp duperelach proponuje poczytać jakiego typu zabezpieczenia stosowane
są w scalakach TPM. Nigdzie sobie nie pojechałem. Odgadnięcie
czegokolwiek z TPMa jest niemożliwe w sensownym czasie, szczegolnie w
scenariuszu gdzie masz dostep do niego tylko przez interfejs. A do
komputerów kwantowych daleko. Prezentujesz rozumowanie typowego
debilomanagera z banku: przeciez wszystko można złamać, więc lepiej
spierdolić od razu. Chwilowo sprzętowy token jest niełamalny o ile nie
zrobili go debile co się czasem zdarza w świecie inżynierii.

Wykonanie nielamalnego, nawet profesjonalnie, tokena to kwestia max
kilku dolarow. Jestem gotów je zaplacić. Problem w tym że nie mam komu,
bo wszędzie uważa się że najlepszą ochorna moich pieniedzy jest stado
studentów developujących na produkcji tony gówna w javascripcie.