Intels processorkryptering kan luras med manipulerad spänning

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

Jag säger som jag brukar, finns ingen kryptering som är 100% säker, för i så fall så skulle inte ens den med rätt behörighet kunna avkoda meddelandet heller. Ger jag någon en dokument som rätt mottagare kan läsa så kan även fel mottagare läsa det, just för att man kan läsa det.

Säkraste sättet att skydda information är att göra den offentligt.

Server: Fractal design Define R5 | AMD Ryzen 7 1800X 8/16 | ASUS ROG Strix X370-F Gaming | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 19.2 Cinnamon

Trädvy Permalänk
Medlem
Plats
Kristianstad
Registrerad
Feb 2005
Skrivet av Olle P:

Jag håller inte med.
* De som faktiskt nyttjar funktionen gör så för att skydda värdefull data.
* Alternativa attacker som går att utföra med upphöjd access (i avsikt att komma över just dessa data) ger bara tillgång till data i krypterad form och/eller är lättare att upptäcka/spåra.
* Om du är yrkesförbrytare och kan tjäna mångmiljonbelopp på att utföra attacken, varför låta bli?

En typ av "värdefull" data som hanteras i SGX är krypteringsnycklarna för UHD. (4K Bluray).

Endast system som har SGX samt APU kan spela upp de skivorna utan att kringgå några skydd.
Denna sårbarheten öppnar för ytterligare en väg att komma över nycklarna för att dekryptera skivorna på icke supporterade system.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av OldComputer:

Jag säger som jag brukar, finns ingen kryptering som är 100% säker, för i så fall så skulle inte ens den med rätt behörighet kunna avkoda meddelandet heller. Ger jag någon en dokument som rätt mottagare kan läsa så kan även fel mottagare läsa det, just för att man kan läsa det.

Det går mycket väl att göra 100% säker kryptering, om den bara används till ett kortare meddelande vid ett tillfälle.
Om någon gör en brute force och applicerar alla möjliga tolkningar kommer resultatet visserligen innehålla det korrekta meddelandet, men även en stor mängd fullt läsliga felaktiga tolkningar. Hur vet man vilket meddelande som är det korrekta?

Skrivet av OldComputer:

Säkraste sättet att skydda information är att göra den offentligt.

Man kan inte skydda informationen på det viset, men i bästa fall (beroende på vad det är för typ av information) kan man "avväpna" den eller göra den ointressant för tredje part.
(Jag kan lämna praktiska exempel.)

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013
Skrivet av Olle P:

Det går mycket väl att göra 100% säker kryptering, om den bara används till ett kortare meddelande vid ett tillfälle.
Om någon gör en brute force och applicerar alla möjliga tolkningar kommer resultatet visserligen innehålla det korrekta meddelandet, men även en stor mängd fullt läsliga felaktiga tolkningar. Hur vet man vilket meddelande som är det korrekta?

Jo, visst och det är här problemet uppstår, för att om meddelandet är 100% säkert kommer man aldrig kunna återskapa det korrekta meddelandet. Så fort du kan läsa det korrekta meddelandet så är det, iallafall på ett abstrakt logiskt plan inte 100% säkert. Visualiserar man det så skulle en låda även med oändligt tjockt hänglås gå att knipa med tillräckligt stor bultsax. En digital kryptering är antagligen säkrare, men det handlar egentligen bara om tid, problemet är antagligen att vi normalt bara lever i ca 85-100 år.

Skrivet av Olle P:

Man kan inte skydda informationen på det viset, men i bästa fall (beroende på vad det är för typ av information) kan man "avväpna" den eller göra den ointressant för tredje part.
(Jag kan lämna praktiska exempel.)

Varför skulle man skydda informationen överhuvudtaget? Är det för att https://sv.wikipedia.org/wiki/Tredje_statsmakten inte ska komma åt den? Eller är det för att man är för penningkåt? Det är bara titta på musikindustrin, som med sitt jagande efter pirater i princip la ner sig själva. Eller är det för att mindre nogräknade politiker helst vill komma åt "obekväma" personer?

Men av ren nyfikenhet, så gärna ett praktiskt exempel.

Server: Fractal design Define R5 | AMD Ryzen 7 1800X 8/16 | ASUS ROG Strix X370-F Gaming | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 19.2 Cinnamon

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av OldComputer:

... Så fort du kan läsa det korrekta meddelandet så är det, iallafall på ett abstrakt logiskt plan inte 100% säkert. ...

Visst, men det är inte vad detta handlar om. Dataskydd går ut på att i möjligaste mån:

  • Försvåra obehörig åtkomst av data.

  • Säkerställa att data som ska bevaras inte förvanskas eller försvinner.

  • Se till att data vid behov finns tillgängliga för den som har behörighet.

Skrivet av OldComputer:

Varför skulle man skydda informationen överhuvudtaget? ...
Men av ren nyfikenhet, så gärna ett praktiskt exempel.

Patientjournaler är ett bra exempel.
Som patient vill "jag" att
* Min journal ska innehålla korrekt information.
* Den vårdpersonal som behandlar mig ska ha tillgång till denna information, för att undvika problem (exempelvis allergier) och onödigt arbete (ta om prover, ställa samma frågor om igen).
* Journalen ska bevaras över längre tid, för att kunna åberopas om jag blir felbehandlad eller annat problem uppstår.
* Andra än vårdpersonalen ska inte ha tillgång till min journal, eftersom den kan innehålla känslig information. (Mumma för till exempel försäkringsbolag, arbetsgivare och skvallerpress.)

Personer med skyddad identitet har ett stort intresse av att denna inte röjs.
Publicera namn, bild och adress på sociala medier och du borde kunna bli åtalad för vållande till annans död...

Sedan kan vi ta en kedja av exempel från andra världskriget:
* Under ökenstriderna (fram tills Montgomery tog över befälet) använde de brittiska pansarsoldaterna klartext i sin radiokommunikation mellan stridsvagnarna. Tyskarna avlyssnade förstås radiotrafiken och vann på så vis en taktisk fördel, eftersom de själva i stället använde kodord.
* De Allierade avlyssnade i stället tyskarnas (krypterade) förbindelser högre upp i organisationen och avkodade trafiken lika snabbt som tyskarna själva, vilket gav en strategisk fördel. Av någon anledning gick man inte ut offentligt och talade om att man gjorde detta, undrar varför...

Kan du förresten vara snäll och publicera alla data från ditt kreditkort i den här tråden?
Det räcker med kortnummer, CCR, namn och utgångsdatum. PIN-koden är en bonus.
Om någon råkar nyttja informationen till att tömma ditt lönekonto är väl inte det hela världen...?

Som avslutning kan jag nämna att GDPR (och andra lagar) ställer krav på att en hel del av den information jag hanterar i arbetet skyddas, och rekommenderar att kolla https://www.informationssakerhet.se/

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.

Trädvy Permalänk
Medlem
Plats
Vännäs
Registrerad
Jul 2002

Osäker inuti "Intel"
DE har en radda problem med sin design

Träna bort dyslexin. Ryzen 3600 - asus B350plus - Msi Vega56 - Acer 1440p 144hz - M.2 ssd - asus essence stx - Sennheiser hd600 - Corsair 750w - 16gb ram 3ghz - atcs 840 - luftkylt - Felsökning? (Lär dig Googla)

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013
Skrivet av Olle P:

Visst, men det är inte vad detta handlar om. Dataskydd går ut på att i möjligaste mån:

  • Försvåra obehörig åtkomst av data.

  • Säkerställa att data som ska bevaras inte förvanskas eller försvinner.

  • Se till att data vid behov finns tillgängliga för den som har behörighet.

Patientjournaler är ett bra exempel.
Som patient vill "jag" att
* Min journal ska innehålla korrekt information.
* Den vårdpersonal som behandlar mig ska ha tillgång till denna information, för att undvika problem (exempelvis allergier) och onödigt arbete (ta om prover, ställa samma frågor om igen).
* Journalen ska bevaras över längre tid, för att kunna åberopas om jag blir felbehandlad eller annat problem uppstår.
* Andra än vårdpersonalen ska inte ha tillgång till min journal, eftersom den kan innehålla känslig information. (Mumma för till exempel försäkringsbolag, arbetsgivare och skvallerpress.)

Personer med skyddad identitet har ett stort intresse av att denna inte röjs.
Publicera namn, bild och adress på sociala medier och du borde kunna bli åtalad för vållande till annans död...

Sedan kan vi ta en kedja av exempel från andra världskriget:
* Under ökenstriderna (fram tills Montgomery tog över befälet) använde de brittiska pansarsoldaterna klartext i sin radiokommunikation mellan stridsvagnarna. Tyskarna avlyssnade förstås radiotrafiken och vann på så vis en taktisk fördel, eftersom de själva i stället använde kodord.
* De Allierade avlyssnade i stället tyskarnas (krypterade) förbindelser högre upp i organisationen och avkodade trafiken lika snabbt som tyskarna själva, vilket gav en strategisk fördel. Av någon anledning gick man inte ut offentligt och talade om att man gjorde detta, undrar varför...

Kan du förresten vara snäll och publicera alla data från ditt kreditkort i den här tråden?
Det räcker med kortnummer, CCR, namn och utgångsdatum. PIN-koden är en bonus.
Om någon råkar nyttja informationen till att tömma ditt lönekonto är väl inte det hela världen...?

Som avslutning kan jag nämna att GDPR (och andra lagar) ställer krav på att en hel del av den information jag hanterar i arbetet skyddas, och rekommenderar att kolla https://www.informationssakerhet.se/

Fast nu tror jag du missade helt vad jag syftade på, eftersom du pratar om enskilda individer.
Oavsett så tänkte jag att vissa av dom saker du tar upp här var självförklarande, så som skyddad identitet, eller varför jag exempelvis överhuvudtaget skulle stå på plattan med megafon och ropa ut mitt kortnummer etc.

"Säkraste sättet att skydda information är att göra den offentligt." skrev jag tidigare, kanske vad det som du tolkade som "Säkraste sättet att skydda information är att göra den offentlig." vilket innebär något helt annat.

Iallafall så innebär skillnaden här att jag syftar på att vi idag har sådan övervakning i butiker, taxi, bussar, tåg stationer etc. att det är skyddet under själva "tillverkningen" man ska oroa sig mer för än själva krypteringen. Principen här är då att skulle jag stå på plattan och gasta ut mitt kortnummer i megafon så skulle jag alltså från början behöva göra det på ett sådan sätt att någon annan omöjligt kan uppfatta det, eller kanske snarare dekryptera det.

Vet inte hur många gånger jag suttit på buss / tunnelbana och hört personer helt tala öppet om just kort / koder alternativt om patienter eller kommunala handläggare som diskuterat personers sociala status etc. vilket gör att man i princip kan ta fram vad som helt om personerna i fråga.

En annan intressant detalj är offentlighetsprincipen som bygger på att göra all möjlig information tillgänglig, för det är just här som är det viktiga, att informationen är korrekt och till skillnad från vad som står i en patientjournal så är det antagligen principen och undanhållande av information som orsakar mer skada än att man får veta om någon har klamydia eller inte. Anledningen till att vissa personer behöver skyddad identitet är snarare ett värre problem än huruvida det finns eller inte. För tänk efter - vilket bra samhälle vi skulle få om inte någon skulle behöva ha skyddad identitet.

Ett praktexempel på detta är den nuvarande konflikten mellan TV4 och comhem (eller snarare Tele2) där ca en tredjedel av sveriges hushåll är utan TV4. Vad den här sandlådekonflikten egentligen handlar om låter jag vara osagt men som jag uppfattat det så är det tele2 som valt att släcka ner, inte TV4. Kanske är ett parentesproblem egentligen men sett ur ett större perspektiv, oavsett vilken part, om det här får fortgå, vad händer i framtiden? Vad händer om dom nekar på grund av folks hudfärg, tro, kön, sexuell läggning, åsikter etc.

Anledningen till att det inte händer än är väl att ingen vågar, men så fort någon har vågat lite grand så är det en snöboll i rullning, nästa gång vågar någon annan lite till. Det är därför information skall vara offentlig, inte ditt kortnummer eller din pinkod.

Då har vi plötsligt hamnat i en väldigt farlig ställning som jag absolut inte vill se och då är antagligen mitt kortnummer eller din journal ganska ointressant. Eller är dom just så intressanta just för att vi fortfarande har så mycket annat offentligt?

Server: Fractal design Define R5 | AMD Ryzen 7 1800X 8/16 | ASUS ROG Strix X370-F Gaming | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 19.2 Cinnamon

Trädvy Permalänk
Medlem
Plats
Sverige / Stockholm
Registrerad
Nov 2006

Usch då. Verkar som att nästan varje gång intel implementerar "nya teknologier" så dras det med massa såna här problem, och väldigt mycket har slagit ner som en bomb sedan 2 år tebax, gammalt som nytt.

out of order (spectre/meltdown)
hyperthreading
TSX
vPro
Intel ME
SGX
...Ja, jag har glömt bort mycket, men det finns andra säkerhetsbrister oxå..

Dator: EEE901 N270/ 1GB / 20GB SSD ... Kraftigt nedbantat/tweakat Win7 x86 for speeeEED!
Facebook användare? Hatar tidslinjen? gå med i denna FB-grupp:
Undo Timeline ...med lite tur får h*lvetet ett slut!

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av OldComputer:

... Det är därför information skall vara offentlig, inte ditt kortnummer eller din pinkod. ...

Kortnummer och PIN-kod är också information.
Jag håller fullständigt med om att all information inte ska/bör vara hemlig, men hävdar bestämt att det finns viss information som ska/behöver/bör vara det.

Värsta scenariet är när information som ska/bör vara hemlig för "alla" blir tillgänglig för ett fåtal av dem den definitivt behöver skyddas från, men inte för allmänheten.

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013
Skrivet av Olle P:

Kortnummer och PIN-kod är också information.
Jag håller fullständigt med om att all information inte ska/bör vara hemlig, men hävdar bestämt att det finns viss information som ska/behöver/bör vara det.

Värsta scenariet är när information som ska/bör vara hemlig för "alla" blir tillgänglig för ett fåtal av dem den definitivt behöver skyddas från, men inte för allmänheten.

Tror du missat fullständigt vad det är jag syftar på. För det du pratar om är enskilda individer, dvs, objekt-nivå. Det jag pratar om är hörnstenarna som bygger upp samhället, om du tittar från ett annat håll på vad jag menar så ser du att det inte handlar om pinkoden på ditt kreditkort, utan möjligheten att kunna se den information som man helst vill mörka för andra.

Om du tittar på trådens rubrik och jämför med mitt första inlägg, så handlar det mera om problemets grund och inte den exakta informationen, dvs vikten av att informationen skall vara offentlig och allmänt tillgänglig just därför att man ska kunna se när någon döljer - eller försöker ta del av - individuell information. Utan skyddet av det mörker som politiker, företag och andra grupper vill skapa sätt ur ett större perspektiv som exempelvis din tro, politiska färg eller något annat som kanske får ett annat land att anse dig som "obekväm" är detta skydd extremt viktigt eftersom man då får svårigheter att försvara sig när andra börjar ifrågasätta.

När programvara är öppen kan vem som helst se buggar och bakdörrar in i systemet och ju fler ögon desto snabbare att se när någon utomstående på något sätt tränger sig in eller skapar fördelar för sig. Detta förekommer även i politik, företag, och media eftersom det på något sätt alltid innebär att någon är partisk på ett eller annat sätt. Därför går det inte att få en 100% säkerhet. För den dagen det inträffar kommer du inte behöva någon pinkod på kortet, inte heller något kort, eftersom du dyrt och heligt kan lova säljaren att du betalar kontant imorgon. Tyvärr kommer den utopin aldrig att uppstå.

Server: Fractal design Define R5 | AMD Ryzen 7 1800X 8/16 | ASUS ROG Strix X370-F Gaming | 64GB Corsair @ 3000MHz | ASUS Radeon RX 460 2GB | Samsung 960 PRO 512 GB M.2 | 2x 2TB Samsung 850 PRO SSD | 6x Seagate Ironwolf Pro 10TB
WS: Phantex Entoo Elite | AMD Ryzen Threadripper 1950X 16/32 | ASUS Zenith extreme | 128GB G.Skill @ 2400MHz | ASUS Radeon HD7970 | 3x 2TB Samsung 960PRO M.2 | 6x Seagate Ironwolf Pro 10 TB
NEC PA301W 30" @ 2560x1600 | Linux Mint 19.2 Cinnamon

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Okt 2003
Skrivet av OldComputer:

Tror du missat fullständigt vad det är jag syftar på. För det du pratar om är enskilda individer, dvs, objekt-nivå. Det jag pratar om är hörnstenarna som bygger upp samhället, ...

Om du tittar på trådens rubrik och jämför med mitt första inlägg, ...

För att citera det jag siktar in mig på i ditt första inlägg:

Citat:

Säkraste sättet att skydda information är att göra den offentligt.

Jag kan bara tolka detta som att du menar att information (oavsett typ, innehåll och sammanhang) hålls bäst skyddad ("hemlig"/säker) genom att offentliggöra den.

Min poäng är att offentlig inte är förenligt med att "hålla hemlig", vilket krävs för viss typ av information.
Hela tråden handlar om hårdvarubaserad kryptering av information, och jag hävdar att det är ett bra verktyg att ha när man arbetar för att säkra upp den information som absolut inte får vara offentlig. (Halvpublika bakdörrar, såsom föreslagits av flera myndigheter, är helt förkastligt!)

Jag håller helt med om att det även finns annan information som bara mår bra av att offentliggöras, men det är irrelevant för denna tråd.

För övrigt anser jag att MS FlightSim X borde vara standard som ett av benchmarkprogrammen.