barfoo

Om dei ikkje kan utbetre mangel har du rett til å heve kjøpet. Dvs få tilbake pengar, ikkje gavekort.

Det er vel strengt tatt utmerka eksempel på kvifor enkelte stiller spørsmål ved kompetansen...

Herrefred, dette er jo ikkje relatert til TPM. Det du har spurt ChatGPT om er i realiteten om Windows kan sende data via TCP/IP, og sjokkerande nok er svaret ja. Det har heller ingenting med sikkerhet å gjere. Her er vi forøvrig tilbake på tillit til OSet. Stoler du ikkje på OSet kan du ikkje ha sikkerhet uansett.

Ja. Og grunnen har blitt nevnt et par ganger i tråden allerede: det er vanskelig å sortere trafikk når alt går til samme plass. Du veit ikkje kor trafikken ender etter at den har nådd CDN som Clouflare, Akami e.l. For det andre gjer krypto at du ikkje kan lese payload, så einaste du veit er størrelsen på kommunikasjonen, og i en del tilfeller hostname. For det tredje så er det relativt trivielt å smugle data uten at du har mulighet til å oppdage det, sjølv om du har et orakel som gir deg kryptonøkler. Nettopp. Du får grunner, men du fortsetter å repetere det samme. I denne tråden har du f.eks. repetert at det er enkelt å få oversikt over trafikken, og folk har fortalt deg at det ikkje er det - men du fortsetter å gjenta samme påstand. Du tolker deg som personangrep, men det er ikkje det. Det er saklig tilbakemelding basert på det du skriver i tråden.

Du stoler på at journalisten har gjengitt dommen korrekt og nøyaktig. Det er eg usikker på om er lurt. Få tak i originalen (send ein e-post til domstolen) og les dne.

Merkelig. Rart f.eks. @MailMan13 er meir eller mindre einig med min definisjon da, sjølv om vi ordlegger oss ulikt. Eller er du åpen for at du kanskje ikkje har forstått dei definisjonane andre har fortalt deg?

Misforstår du med vilje? Du stoler på operativsystemet. Det vil ikkje sei at operativsystemet er ufeilbarlig eller ikkje kan få malware, men det vil sei at du legger til grunn at levrandør av operativsystemet ikkje er adversary, og at du ikkje treng å verifisere dokumentert funksjonalitet. Kort sagt antar du at operativsystemet er til å stole på. I motsatt fall må du gi opp. Du vil aldri kunne lage et sikkert system om utgangspunktet ditt er at Dr. Evil er forfatter av software du bruker. Eg aner ikkje ein gong kva oppgave du prøver å løyse, utover at tråden har TPM i tittel... Leser du svara du får? Eg har påpeikt et par ganger no at det er rimelig trivielt å skjule ting om en vil. Timing, flagg i header etc. Korleis avgjer du om sekvensnummeret er tilfeldig, eller om det er kryptert payload? Men for å vende tilbake til poenget: Om du ikkje stoler på operativsystemlevrandør, så er ikkje problemet ditt TPM, for det er minst ti andre serienummer som du heller ikkje kan fjerne som unikt identifiserer deg. Og problemet ditt er heller ikkje å verifisere nettverkstrafikken; problemet er at du stoler ikkje på OS-levrandøren. Ellers melder eg meg av her. Du repeterer det samme på nytt uten å ta inn over deg tilbakemeldinger, så det er totalt fånyttes å forsøke å få faglig diskusjon med deg; du er ikkje i stand til å ta innover deg andre perspektiver på spørsmål enn det du måtte ha som utgangspunkt.

Ja. Produktet er meint å vare vesentleg meir enn to år, ergo har du fem års reklamasjonsrett, og det er i praksis defekt slik det er no. Det er ikkje snakk om redusert kapasitet, men at produktet ikkje kan brukast til det som er føremålet med den typen produkt.

Var einaste informasjonen du fekk beskjed om at du ville bli utestengt, eller fekk du faktisk advokatbistand, beskjed om saksgang og alt slikt? For om du meiner deg uskuldig og fekk informasjon om saksgang så ville jo det naturlege vere å forholde seg til den saksgangen vel? For meg framstår det som om du framstiller saka di noget selektivt her inne, og for det første vekker ikkje det spesielt sympati, og for det andre garanterer det jo at råda du får er ubrukelige.

Korleis? Den einaste direkte utgifta vil vel være semesteravgift på under tusenlappen ved norske offentlege høgskular og universitet?

Så det er snakk om private utdanningsinstitusjonar, der du må betale for studier? Det framgår ikkje av tråden; normalt er risikoen ved å melde seg opp minimal. Eg trur du med fordel kan komme med litt meir detaljer før du anklager andre for å ikkje lese tråden.

Så korrupsjon, antidemokratisk arbeid, løgner, redusert levestandard og maktmisbruk er ikkje viktig, så lenge nokon er mot EU?

Kvifor må alt vere høgre-venstre? Kan ikkje enkelte ting vere pro demokrati? Eg står definitivt på venstresida, men og den solide demokratiske tradisjonen. Det viktige her var at den avdemokratiseringa av Ungarn som har pågått har stoppa opp og er, får vi håpe, reversert. Sjølvsagt hadde ei venstreorientert regjering hatt meir til felles med meg, men eg er ikkje ungarar, og eg er ikkje majoriteten i Ungarn. Det viktigaste er demokratiet og representasjonen. I så måte er det jo problematisk at nokon som får drøyt halvparten av stemmene får 2/3 fleirtal; det burde ikkje skje, og at eit parti kan sittje med supermajoritet i generalforsamlinga er problematisk, uansett kva stat det er - fordi det svekkar demokratiet og mindretalsvernet.

Når du drar inn ID-kort-biten i BankID-appen så snakker du vel brått om noko heilt anna enn det som opprinneleg var tema? Og korleis vil ikkje BankID ha heimel for å lagre bilete av passet ditt, som del av audit trail?

Zero trust gir ikkje meining slik du ser ut til å tolke det. Poenget med zt er at du ikkje stoler på klienter - og du vil beskytte ein eller anna sentral ressurs, f.eks. ein database eller e-post. Du må fortsatt stole på operativsystemet databasen kjører på, eller systemet som hoster e-post, og du må sikre dei. Du treng derimot ikkje stole på sluttbruker, fordi du gjer tiltak slik at sluttbruker ikkje kan skade ressursen din. Når vi diskuterer om du kan stole på operativsystemet på PCen din så gir ikkje zt meining. Når temaet er PCen din gir ikkje zt meining. ZT gir meining om du skal beskytte en asset der du velger å anta at du ikkje kan stole på klienter, og derfor må beskytte asseten mot klienter. Det fjerner ikkje behovet for å beskytte asseten. Det er historisk. Tradisjonelt var bedriftsnettverk festninger, med perimeterbeskyttelse. Var du først på innsida var det lite krypto, masse passord i klartekst og generelt dårlig sikkerhet. Angriper som greide å komme seg inn hadde mao. meir eller mindre fri tilgang. Så viste det seg at det var ganske vanlig med angripere på innsida - og verden snudde gradvis mot zero trust, der en fokuserer på å sikre det en vil sikre.

Du forsto ikkje det eg svarte. Å kopiere trafikken er trivielt. Å derimot utelukke at operativsystemet lekker data er bortimot umulig. For det første så vil kryptografi gjere at du er avhengig av å få tak i nøkler for å kunne sjå innholdet i trafikk. Ellers veit du ikkje om operativsystemet ditt sender info om hardware, eller kopi av nakenbilda dine. Med TPM er ikkje det gitt at det er trivielt om du ser på OSet som adversary. For det andre så kan du prøve å tenke ut korleis du vil finne ut om OSet sender data i f.eks. timing mellom pakker, pakkestørrelse, query ID i DNS-headere også viare. Joda, du har logg av trafikken, men er det relevant at det er 143 mikrosekund mellom pakkane? Du ignorerer fullstendig at kontekst var at du har et operativsystem du ikkje stoler på, som du vil verifisere.

No aner ikkje eg kva erfaring du har, men jo - det har du. Stoler du ikkje på OSet kan du ikkje bruke det. Du kan ikkje stole på at det viser rett tall på skjermen, du kan ikkje stole på at det ikkje sender passord til tredjepart også viare. Du har aldri gått inn i CS med innstilling om at du må verifisere at operativsystemet ditt tegner skjermbildet rett. Du har aldri sjekka at OSet ikkje lagrer og sender inntasta passord til tredjepart. Du stoler på at OSet gjer det dokumentasjonen beskriver.

Kort sagt kan TPM (sammen med secure boot) attestere at dei kjører upåvirka operativsystem. Dvs. at TPM kan signere measurements som er tatt under boot, og på den måten bevise kva som faktisk er boota. Merk igjen at dette er eigenskap ved OSet som TPM muliggjer; det er ingen autonom operasjon TPM gjer. Det er operativsystemet som må be TPM om å signere bootprosessen, og eventuelt sende resultatet en plass.

Du må fortsett forstå trafikken. Alt er i praksis kryptert, og om du antar at Microsoft forsøker på skjule det vil du i tillegg måtte ta høgde for at det er gjømt på ulogiske plassert - i ytterste konsekvens kan du jo hente ut informasjon med tid mellom pakker eller pakkestørrelse. Kanskje enkoder MS serienummer på disken i pakkestørrelse når dei spør etter update catalog...? Så i praksis er det klin umulig å bevise at Microsoft ikkje sender ting dei påstår dei ikkje sender. Du har ingen andre valg enn å stole på dei. For å sjå skalaen på problemet kan du likte på ioccc. Det er korte c-program, typisk et par hundre linjer, som gjer ting ...som ikkje er åpenbart. Du kjem ikkje til å sjå det. Også skal du leite i et heilt operativsystem på mange milliardar linjer. Det enkle svaret er at du kan ikkje, du må stole på Microsoft.

Om Microsoft lyger i all dokumentasjonen sin, så får dei nok data ut på et vis som ikkje er trivielt å oppdage. F.eks. gjennom udokumenterte felt i headere for Windows update. Du skal ikkje bare sjå trafikken, du skal forstå den og være i stand til år utelukke sidekanaler i den. Det er i praksis mulig oppgåve i alle moderne OS. Uansett er det videoen som oppstår Microsoft lyger i dokumentasjonen, så da bør du forvente at den beviser det, ikkje at resten av verden motbeviser det. Men igjen; stoler du ikkje på OSet ditt har du tapt. Du kan ikkje ha meiningsfull sikkerhet uten det.

Det er ikkje poenget mitt. Tråden handler spesifikt om TPM. Om forutsetninga di er Microsoft sender data tilbake til seg. Microsoft er ute etter å identifisere sluttbrukere så er svaret at TPM er irrelevant, fordi operativsystemet allerede har tilgang til serienummer på disk, hovedkort, nettverkskort eller titalls andre unike parametere. Det var åpningspremisset ditt: Poenget her er at du må velge: du kan stole på at Microsoft ikkje gjer det, eller du kan anta at dei gjer det. TPM er irrelevant i så måte, og det er irrelevant kva du måtte greie å disable av funksjonalitet, for det er mulig å komme på måter å få ut data på som er nær umulig å oppdage, f.eks. ved å enkode det i DNS-header i kryptert form... Stoler du ikkje på operativsystemet ditt kan du gi opp. Du har bare komt med påstander uten teknisk argumentasjon. Glodde fem minutter, og fyren har jo ei spinnvill forestilling om at Microsoft Platform Cryptographic Provider er en cloudfunksjon som sender alt til skya, som er stikk motsatt av det som er tilfelle; det er TPM-funksjonalitet som garanterer at det aldri kan delast. Det er grundig dokumentert på lenken eg ga deg, og all anna uavhengig dokumentasjon av TPM, og kan verifiserast ved å sjekke at nøkkelmateriale er generert i TPM, og markert som ikkje eksportabelt. Men igjen; det å måtte diskutere youtubevideoer er _veldig_ uaktuelt; det tar deg ti sekunder å paste lenke, men du forventer omtrent at folk skal lage lab for å tilbakevise det videoen påstår.

I tillegg så ville eg vore veldig lite bekymra om BankID har kopi av passet. Personopplysningane har dei allerede, og dei har tross alt eit IT-driftsmiljø som greier å lage et system som tilfredsstiller sikkerhetskrava til kryptografisk nøkkelmateriale for å lage sertifikat som kan identifisere folk på sikkerhetsnivå høgt. Samanlikna med dei fleste andre aktører så har dei altså svært god sikkerhetskompetanse, og er nokså sikkert offer for revisjoner av sikkerhet. Dvs. ganske gode loggspor over kven i firmaet som har sett det....

Dette er ikkje lite arrogant. Eg skal altså bruke en halvtime på å sjå en film for å fortelle kva som er galt i den, slik at du kan lære? Det må du i så fall betale meg for... Forøvrig kaller eg ikkje deg dum. Problemet er ikkje at du ikkje kan ting; problemet er at du ignorerer absolutt alle svar du får som du ikkje liker, og turer på om det samme mantraet som du har fått for deg. Så også her. Om temaet TPM interesserer deg så har Microsoft (som vanlig) veldig god dokumentasjon. Begynn med å lese den, og forstå korleis OSet bruker TPM. Eg har ikkje interesse av å skrive pensum for deg, men ytrer du ting som er feil eller opp etter staur og vegger så må du forvente å bli korrigert. Du presenterer heller ingen argumentasjon for ditt syn, du kaster ut påstander, uten å forklare kvifor du meiner det. Om du kjem med ei koherent forklaring er det mulig å peike på kva som er galt; når du ikkje gjer det så er det vanskelig.

Nei. TPM kan ikkje hente inn brukerdata. TPM kan utføre kryptografiske operasjoner uten å gi fra seg nøkkelmateriale, som gjer at t.d. malware ikkje kan stjele passkeys. Igjen: stoler du ikkje på programvaren du kjører er ikkje TPM problemet. Om eg skulle brukt tid på å etterprøve tilfeldige youtubevideoer hadde eg ikkje hatt tid til anna. Det eg derimot har gjort er å sette meg inn i korleis TPM funker. Korleis vil du gå fram for å verifisere at ikkje Microsoft Update-tjenesta lekker krypterte data som del av oppdateringsnedlastinga? Eller ved hjelp av DNS? Eller ved hjelp av crafting av klientsertifikat for AAD/Microsoft-konto? Lykke til. Det er kjent som The Immutable Laws of Security: I praksis går du enda lenger, du seier at produsenten av operativsystemet er bad actor. Og da er svaret at du kan gi opp; ingenting du gjer av modifikasjoner eller tiltak kan sikre deg. Kompleksiteten og mulighetene er for store. Du har ikkje kontroll på fundamentale begrep, forstår ikkje funksjonen til hardware, operativsystem også viare, og ignorerer tilbakemeldinger. Det er nøyaktig samme mønster som du oppviser i andre diskusjoner, inkludert IPv6. Den gong ga ein brukar deg eit godt tips om å droppe IT, og fokusere på studieteknikk. (Det finst legitim kritikk av TPM også - f.eks. bruken av trust anchors og platformlåsing, som gjer at du ikkje kan kjøre usignert software. På x86_64 kan brukeren styre det gjennom MOK eller disable secure boot, men på andre platformer, f.eks. en del arm-cpuer blir TPM/Trusted Computing brukt til vendor lock-in. Men det har ingenting med denne diskusjonen å gjere)

Du kan ikkje lese dei. Det er fullstendig åpenbart at du kan kopiere digitale data du kan lese.