Sebastian Biały <h...@p...onet.pl> writes:

> Nie ma bezpiecznego rozwiązania. Jedynym jakie znam to odpalanie za
> każdym razem systemu z LiveCD.

No to musisz się zdecydować - jest czy go nie ma :-)

> Tak, wiem że może się skompilować sam, ale nie kązda distro ma
> kompilator. Można tez napisać bootnet w bashu zapewne. Mozna. Tylko po
> ch...

O to musiałbyś zapytać autorów. Bo wiesz, takie rzeczy są spotykane
w naturze (w szczególności na starszych maszynach pozbawionych opieki).

Obserwowałeś kiedyś pakiety TCP SYN na jakiś publiczny port 22?
To chyba nie jest celowane w MS Windows?

> TPM jest w tej dyskucji tylko *przykładem* zabezpieczeń w krzemie.

Jest przykładem niepasującym do sytuacji.
Zabezpieczenia w samym krzemie są na tym poziomie całkowicie nieistotne,
wystarczy odpowiednia obudowa. To zupełnie nie ta klasa bezpieczeństwa.

>> W tak zmienionych warunkach rzeczywiście można to zrobić bezpiecznie,
>> co zresztą od początku pisałem. Z tym że proponuję skasować USB
>> i zastosować małą kamerę - jest to bardzo dobre rozwiązanie, sprawdzone
>> w praktyce.
>
> Bardzo dobrze że sefie tak latwo wydrukować. Ja proponuje jeszcze
> rozpoznawanie głosu póki nie wynaleziono magnetofonów.
>
> http://www.computerworld.com/article/2531298/windows
-pcs/laptop-face-recognition-tech-easy-to-hack--warn
s-black-hat-researcher.html

Mam odpowiedzieć argumentem, że złącze USB da się "podrobić"?
Kamera nie służy przecież do rozpoznawania niczego oprócz kodu QR.
Może być kserokopia.

> Żeby udowodnić że trojany na linuxie się problemem w kernelu należy
> podać przykłady takich prób bądź ich istnienia.

Przecież był nawet podany przykład. Faktem jest, że zwykle trudno
udowodnić (poza takimi przypadkami), że wprowadzony przez kogoś bug jest
celowym trojanem. Aczkolwiek, jeśli exploit nieznanego publicznie
wcześniej buga systemu napisanego przez Agencję znajdujemy w sofcie
przeznaczonym dla "służb" do włamań, to różnie można to oceniać.

BTW: W bezpieczeństwie to tak nie działa - udowadnia się, że coś jest
bezpieczne, w przeciwnym przypadku nie jest takie. Ten pierwszy dowód
też często życie weryfikuje.

> Przecież ipsec to tylko jeden przykład z wielu.

Niereprezentatywny.

> Obecnie majstrowanie
> przy kryptografii jest o tyle dobre że mało jest na świecie osob ktore
> znajdą backdoor w wartwie matematycznej.

Jak nietrudno zauważyć nie jesteś osamotniony w tym poglądzie,
aczkolwiek życie pokazuje, że nie jest to takie proste.

> TPM bedzie podpisywał bezpiecznie w każdych warunkach kiedy nie doszło
> do kompromitacji fizycznej chipa. Ale my chcemy nie tylko wiedzieć że
> chip istniał. Chcemy jeszcze wiedzieć że wlasciciel istniał i wiedział
> co podpisuje. Do tego potrzebny jest wyświetlacz (pewnośc że to bank)
> + klawiatura (pewnośc że to user).

Sam widzisz: TPM ma się do tego dokładnie nijak.
--
Krzysztof Hałasa