Gå til innhold

barfoo

Medlemmer
  • Innlegg

    3 439
  • Ble med

  • Besøkte siden sist

Alt skrevet av barfoo

  1. Du må fortsett forstå trafikken. Alt er i praksis kryptert, og om du antar at Microsoft forsøker på skjule det vil du i tillegg måtte ta høgde for at det er gjømt på ulogiske plassert - i ytterste konsekvens kan du jo hente ut informasjon med tid mellom pakker eller pakkestørrelse. Kanskje enkoder MS serienummer på disken i pakkestørrelse når dei spør etter update catalog...? Så i praksis er det klin umulig å bevise at Microsoft ikkje sender ting dei påstår dei ikkje sender. Du har ingen andre valg enn å stole på dei. For å sjå skalaen på problemet kan du likte på ioccc. Det er korte c-program, typisk et par hundre linjer, som gjer ting ...som ikkje er åpenbart. Du kjem ikkje til å sjå det. Også skal du leite i et heilt operativsystem på mange milliardar linjer. Det enkle svaret er at du kan ikkje, du må stole på Microsoft.
  2. Om Microsoft lyger i all dokumentasjonen sin, så får dei nok data ut på et vis som ikkje er trivielt å oppdage. F.eks. gjennom udokumenterte felt i headere for Windows update. Du skal ikkje bare sjå trafikken, du skal forstå den og være i stand til år utelukke sidekanaler i den. Det er i praksis mulig oppgåve i alle moderne OS. Uansett er det videoen som oppstår Microsoft lyger i dokumentasjonen, så da bør du forvente at den beviser det, ikkje at resten av verden motbeviser det. Men igjen; stoler du ikkje på OSet ditt har du tapt. Du kan ikkje ha meiningsfull sikkerhet uten det.
  3. Det er ikkje poenget mitt. Tråden handler spesifikt om TPM. Om forutsetninga di er Microsoft sender data tilbake til seg. Microsoft er ute etter å identifisere sluttbrukere så er svaret at TPM er irrelevant, fordi operativsystemet allerede har tilgang til serienummer på disk, hovedkort, nettverkskort eller titalls andre unike parametere. Det var åpningspremisset ditt: Poenget her er at du må velge: du kan stole på at Microsoft ikkje gjer det, eller du kan anta at dei gjer det. TPM er irrelevant i så måte, og det er irrelevant kva du måtte greie å disable av funksjonalitet, for det er mulig å komme på måter å få ut data på som er nær umulig å oppdage, f.eks. ved å enkode det i DNS-header i kryptert form... Stoler du ikkje på operativsystemet ditt kan du gi opp. Du har bare komt med påstander uten teknisk argumentasjon. Glodde fem minutter, og fyren har jo ei spinnvill forestilling om at Microsoft Platform Cryptographic Provider er en cloudfunksjon som sender alt til skya, som er stikk motsatt av det som er tilfelle; det er TPM-funksjonalitet som garanterer at det aldri kan delast. Det er grundig dokumentert på lenken eg ga deg, og all anna uavhengig dokumentasjon av TPM, og kan verifiserast ved å sjekke at nøkkelmateriale er generert i TPM, og markert som ikkje eksportabelt. Men igjen; det å måtte diskutere youtubevideoer er _veldig_ uaktuelt; det tar deg ti sekunder å paste lenke, men du forventer omtrent at folk skal lage lab for å tilbakevise det videoen påstår.
  4. I tillegg så ville eg vore veldig lite bekymra om BankID har kopi av passet. Personopplysningane har dei allerede, og dei har tross alt eit IT-driftsmiljø som greier å lage et system som tilfredsstiller sikkerhetskrava til kryptografisk nøkkelmateriale for å lage sertifikat som kan identifisere folk på sikkerhetsnivå høgt. Samanlikna med dei fleste andre aktører så har dei altså svært god sikkerhetskompetanse, og er nokså sikkert offer for revisjoner av sikkerhet. Dvs. ganske gode loggspor over kven i firmaet som har sett det....
  5. Dette er ikkje lite arrogant. Eg skal altså bruke en halvtime på å sjå en film for å fortelle kva som er galt i den, slik at du kan lære? Det må du i så fall betale meg for... Forøvrig kaller eg ikkje deg dum. Problemet er ikkje at du ikkje kan ting; problemet er at du ignorerer absolutt alle svar du får som du ikkje liker, og turer på om det samme mantraet som du har fått for deg. Så også her. Om temaet TPM interesserer deg så har Microsoft (som vanlig) veldig god dokumentasjon. Begynn med å lese den, og forstå korleis OSet bruker TPM. Eg har ikkje interesse av å skrive pensum for deg, men ytrer du ting som er feil eller opp etter staur og vegger så må du forvente å bli korrigert. Du presenterer heller ingen argumentasjon for ditt syn, du kaster ut påstander, uten å forklare kvifor du meiner det. Om du kjem med ei koherent forklaring er det mulig å peike på kva som er galt; når du ikkje gjer det så er det vanskelig.
  6. Nei. TPM kan ikkje hente inn brukerdata. TPM kan utføre kryptografiske operasjoner uten å gi fra seg nøkkelmateriale, som gjer at t.d. malware ikkje kan stjele passkeys. Igjen: stoler du ikkje på programvaren du kjører er ikkje TPM problemet. Om eg skulle brukt tid på å etterprøve tilfeldige youtubevideoer hadde eg ikkje hatt tid til anna. Det eg derimot har gjort er å sette meg inn i korleis TPM funker. Korleis vil du gå fram for å verifisere at ikkje Microsoft Update-tjenesta lekker krypterte data som del av oppdateringsnedlastinga? Eller ved hjelp av DNS? Eller ved hjelp av crafting av klientsertifikat for AAD/Microsoft-konto? Lykke til. Det er kjent som The Immutable Laws of Security: I praksis går du enda lenger, du seier at produsenten av operativsystemet er bad actor. Og da er svaret at du kan gi opp; ingenting du gjer av modifikasjoner eller tiltak kan sikre deg. Kompleksiteten og mulighetene er for store. Du har ikkje kontroll på fundamentale begrep, forstår ikkje funksjonen til hardware, operativsystem også viare, og ignorerer tilbakemeldinger. Det er nøyaktig samme mønster som du oppviser i andre diskusjoner, inkludert IPv6. Den gong ga ein brukar deg eit godt tips om å droppe IT, og fokusere på studieteknikk. (Det finst legitim kritikk av TPM også - f.eks. bruken av trust anchors og platformlåsing, som gjer at du ikkje kan kjøre usignert software. På x86_64 kan brukeren styre det gjennom MOK eller disable secure boot, men på andre platformer, f.eks. en del arm-cpuer blir TPM/Trusted Computing brukt til vendor lock-in. Men det har ingenting med denne diskusjonen å gjere)
  7. Du kan ikkje lese dei. Det er fullstendig åpenbart at du kan kopiere digitale data du kan lese.
  8. Med all respekt å melde: wtf? Om frykta di er at OSet med vilje lekker data så er det nær umulig for deg å verifisere det. Innlegga dine framstår som fullstendig aparte. Kva vil du fram til med denne tråden?
  9. Viktigare er kanskje evne til år beskytte nøkler. Tom kan utføre kryptografiske operasjonar uten at nøkkelmaterialet blir eksponert, og kan konfigurerast til å kun gi ut secrets i visse tilfeller, f.eks. etter verifisere bootkjede. Det sikrer mot en del typer angrep.
  10. https://ipaddresslocation.net/articles/ipv6-privacy-extensions-what-they-are-and-how-to-enable Ta i bruk efemerale adresser da, ikkje skru av IPv6...
  11. Bruker ikkje alle moderne OS midlertidige adresser med privacy extensions?
  12. Om problemet ditt er at du ikkje stoler på operativsystemet, så er ikkje fiksen på det å fjerne TPM. Det er å bytte til et operativsystem du stoler på. Om OSet vil identifisere brukeren er det veldig trivielt. Tenk f.eks. MAC-adresser på nettverkskort, serienummer på harddisker, serienummer på laptopen, wifi-ssid/bssid eller mange andre ting. Du kan skru av TPMen, men du kan ikkje skru av MAC-adresse på nettverkskortet, serienummer på harddisker eller andre ting. Og ja, alle dei tinga eg nevnte er ting som er tilgjengelig for operativsystemet.
  13. Korleis kan TPM spionere på deg? Det er fullstendig passiv bit maskinvare som kan kommunisere med resten av systemet. Den videoen framstår som 99% FUD.
  14. Eika-bankane påstår at du kan bli kunde uten. https://www.rsbank.no/bli-kunde/uten-bankid Men igjen, kor vil du med dette? At eid bør vere statleg oppgåve? Ikkje ueinig. Men det endrar ikkje statens tilstand.
  15. Sparebanken Norge. DNB. Sparebanken 1 Nord-Norge. Penni. Skue Sparebank... Googler du "bli kunde uten bankid" finn du ganske mange som tilbyr det. Derunder Eika-gruppa. Ingen av dei begrenser det ut frå alder så vidt eg kan sjå. Når det kjem til alternativ så finst det altså Buypass, MinID og Commfides i ID-Porten. BankID si kontraheringsplikt er jo forsåvidt interessant spørsmål, men det er jo ikkje tema for tråden. Og det er forskriftsfesta krav om identifisering med pass for å få eID med sikkerhetsnivå høgt.
  16. Du må ikkje ha bankid for bank. Mange bankar tilbyr innlogging i nettbank utan bankid.
  17. Nei, opp til betydelig. Dvs. at du får levert sjølvmeldinga, men ikkje logga inn på helsenorge. For all del, prinsipielt meiner eg e-id bør gjerast av staten, og rammeverket er alt på plass gjennom pass og id-kort; utstyr dei med sertifikat så er du i praksis i mål. Men det er politisk spørsmål, og ikkje juss.
  18. For det første har dei konkurenter, inkludert eit statleg direktorat. For det andre er bruken av private E-ID-tilbydarar eit politisk spørsmål, ikkje juridisk. Det gjer uansett ikkje at BankID er underlagt statleg regelverk - kva du enn no siktar til her.
  19. Med belyst meiner du altså einige med deg. Innvendinger ignorerer du jo ubesvart. Men BankID har jo sakleg behov og du samtykker. Kva meir treng dei for å ha lov til å handsame personopplysningane som ligg i eit bilete av passet?
  20. TPM er kort fortalt et smartkort. Det kan generere kryptonøkler som ikkje kan kopierast. I tillegg er det knytta til secure boot, slik at med mindre bootsekvensen har rette målinger (e.g. signert bootkjede) så nekter TPM å bruke kryptomaterialet - det må unsealast i TPM-parlance. Det er jo nyttig, fordi det kan brukast til å sikre f.eks. pålogginger og krypteringsnøkler for disk.
  21. Sensitive personopplysningar er ein kategori. M.a. politisk overbevisning og religion. Ingenting i passet er sensitive personopplysningar. I gdpr har det fått nytt navn, men konseptet er det samme. https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/ Forøvrig har jo @arne22 ikkje greid å gi ein einaste grunn til at det skal vere ulovleg å laste opp bilete av pass, utover å repetere det. Passet er ikkje sensitive personopplysninger (særlige kategorier), og bankid har sakleg behov for det (tilby deg E-ID der lova krev pass), og det er frivillig (du kan bruke MinID). Kva lovverk er det som skal forby det, @arne22?
  22. Revisjon. Det er veldig interessant å ha audit trail den dagen nokon bankar på og seier at feil person har fått bankid. Så jo, det framstår som rimelig åpenbart at dei har sakleg grunn for oppbevaring, spesielt gitt eu-direktivet dei baserer seg på. Og at dei har for mykje makt er eg einig i. E-id burde vere statleg opplegg, ikkje privat. Men det er politisk diskusjon, og har lite med bankid si lovlegheit å gjere.
  23. Norsk lov er ikkje bokstavtolking. Det framstår som rimelig åpenbart at dei har heimel og sakleg grunn (gi deg E-ID) til å handsame personopplysninger, og korleis dei gjer det er i stor grad opp til dei så lenge dei held seg innanfor relevant lovverk - dvs. t.d. GDPR (som har ei rekke unntak ved lovbestemte føremål), e-id-forskrifta og det relevante EU-direktivet.
  24. Ikkje bruk dei da. Bruk MinID som er drifta av staten.
  25. 1. Ja. https://lovdata.no/forskrift/2019-11-21-1578/§19 2. Sjå 1 3. Nei, men NKOM kan revidere.
×
×
  • Opprett ny...