Olimpo Informatico

[Zeus News]

Commenti all'articolo Il palmare della Lioce
Riusciranno a decrittare i dati contenuti nel palmare della brigatista rossa Nadia Lioce?

[Sandro kensan]

Mancano info nell'articolo, manca la frase di Zimmerman, manca l'algoritmo utilizzato, manca l'opinione dei crittografi...

Riporto solo dei post sconclusionati che ho scritto sul ng di crittografia, potrei farne un articolo prossimamente ma sarebbe "roba" tecnica e non so se sarebbe pubblicabile qui, comunque:

Gli algoritmi di GnuPG sono sicuri fino a prova contraria, con i limiti arcinoti, la versione di pgp internazionale usata presumibilmente dalle BR sul loro palmare non contiene backdoor (Zimmerman dice che quelli della sua azienda non sapevano neppure cosa fosse una backdoor e c'è da credergli visto che è un guru in questo campo e che non lavora più per l'azienda di pgp), è presumibilmente inviolabile da qualsiasi sistema attuale.

Si potrebbe poi fare una stima sulla potenza di calcolo necessario alla NSA per violare un simmetrico di pgpi in un paio d'anni.

> ovvio che se usi una Passphrase del tipo *pippo* dopo non ti devi lamentare. Ma se usi una cosa del genere:
>
> $jdujfkkf,cx41ds745111dsakldlsa99002,d,mmdsadsass?09882k2kk
>
> il discorso cambia..


Il bello è che per chi è bravo a imparare poesie a memoria i caratteri casuali sono facilmente trovabili, per esempio un poesia di Pascoli o una inventata da un poeta sconosciuto ma che ci piace fatta da una cinquantina di parole, se si prendono le prime lettere di ogni parola fanno una password impossibile da scoprire e che deve essere trovato con metodo bruto.

[Dario Meoli]

Passi per l'autore sconosciuto... ma nessuno ha ancora pensato a creare un "dizionario" con le iniziali delle poesie piu' famose? ;-) Quelle che si studiano a memoria a scuola, per intenderci. E frasi della Divina Commedia, di brani dei Promessi Sposi ecc.?

[Sandro kensan]

Può essere ma il percorso è accidentato perché si potrebbe pure scegliere l'ultima o la seconda e poi si dovrebbero aggiungere tutti i proverbi e le frasi famose.

Di poesie belle e poco conosciute ce ne sono tantissime, credo che quasi qualsiasi umanista abbia scritto una poesia, magari non proprio ma anch'io c'ho pensato...:)

[Sandro kensan]

Ho fatto un post sul ng icscrittografia sul modo per avere comunicazioni all'interno di una organizzazione segreta senza gli inconvenienti in cui sono incappati la Lioce e company.

Temo che gente che sia pericoloso... comunque il post è questo:
http://groups.google.it/groups?q=kensan+remailer+crittografia&hl=it&lr=&ie=UTF-8&oe=utf-8&selm=bnek2d%24js0%241%40news.ngi.it&rnum=1

[Sandro kensan]

Volevo dire che un articolo fatto su queste basi è molto pericoloso pubblicarlo, parlare di tecniche per eludere i sistemi della polizia è imho un sistema per incorrere nei guai.

Io non mi fido a pubblicarlo nel mio sito, sarà che ho un'opinione della democrazia alquanto compromessa comunque si può discutere...

[Augusta Giovannoli]

Non mi intendo di codici crittografici ma forse dobbiamo porci anche altre domande: ho notato come durante il caso dell'arresto dei presunti autori dell'omicidio D'antona e Biagi, parlando delle sedicenti Brigate Rosse, i media su tutte la tla Tv, se la siano tirati (ed abbiiano elogiato la nostra polizia di Stato - o scusa volevo dire della Patria e i servizi segreti -a proposito del fatto che gli arresti erano stati effettuati grazie all'uso di sofisticatissme tecnologie (per lo più afferenti al campio delle informatica, telefonia mobile e Itc in genereale) narrandole come se fosse una novità....(Da quanto tempo siamo ultracontrollati? ci sono storie tracciate persino delle nostre carte di credito figuriamoci dal resto)
Senza spiegare poi in modo chiaro cosa era stato fatto e come
Senza parlare dei problemi di privacy... e ora si contraddicono pure dicendo che non riescono a decriptare i dati del palmare...ma per favore non sono riusciti a prenderli proprio grazie alle loro abilità nei sofisticatissimi sistemi informatici?
Al di là dei giudizi di valore non penso che riusciranno a tirare fuori un bel niente dal palmare della Lioce, che non si capisce poi perchè avrebbe dovuto nascondere informazioni così cruciali dentro il suo palmare...
Insomma sarebbe stata davvero ingenua, o sbaglio?
Che spieghino poi che cosa sono i codici crittografici perchè sono assolutamente certa che la maggior parte dei cari telespettatori non ne ha la mimima idea.
E tutto questo parlare in Tv per codici crittografici contribuisce a crittografare il mondo dell'informatica e dintorni, e a conferirgli un alone di mistero, come se si trattasse di una congregazione segreta. Tipo Br appunto.
Mi sembra che si ci sia più di un motivo per notare come, su questo caso magari fosse l'unico, si stai facendo disinformazione. Volutamente, mi chiedo? Mi viene il sospetto. E non è cosa di poco conto, trattandosi di temi di rilevanza nazionale.

[Mark Deaing]

lavoro con i prodotti Psion da molti anni e non è la prima volta che accade ciò che è accaduto. Nel senso che anche in precedenza sono stati sequestrati dei palmari Psion a delle persone diciamo "non comuni", ma penso che sia capitato anche con altri palmari di altri brand. Le persone comuni, e non, li utilizzano per salvare informazioni , molto per avere in poco spazio molte informazioni , ed un poco per salvare codici , pin etc in modo abbastanza segretato. In 10 anni sono moltissime le persone che ho incontrato che lo usano per salvarci la contabilità in nero o simili, numeri telefonici che il proprio partner non deve conoscere etc.etc.
Per cui non mi stupisco se anche i brigatisti lo hanno utiliizato per scopi equivalenti, quello che mi stupisce è perchè certe informazioni girano liberamente , vengono pubblicate liberamente senza che vi siano riscontri , vengono fantasticate etc.etc senza pensare che dietro a queste notizie ci sono delle persone che rischiano delle ritorsioni. Mi firmo con un nome di fantasia per i motivi sopracitati

[Casella Dodici]

Ma non esisteva un decrittatore basato sulla fisica quantistica? Mi pare di ricordare che gia' da qualche anno esistesse un cip non sperimentale di un K; ma se la notizia e' vera, la potenza non sarebbe un fattore importante

[cencio]

non ci riusciranno mai perchè non ci sono numeri di telefono ma solo i conti della spesa

[Sandro kensan]

Mi pare che la matematica sia un'opinione per molti ma invece non è possibile fare dei sistemi crittografici una discussione secondo il gusto personale.

Per fare un esempio il sistema adottato per il PIN, il codice segreto del bancomat, quello che ha quasi ogni cittadino, si basa su un algoritmo crittografico di nome DES.

(Non voglio precisare nessun discorso e non voglio fornire nessun dato preciso, chi vuole approfondire il DES cerchi l'articolo su www.rcx.it.)

Quindi per scoprire il vostro pin basta (quasi) avere una "macchina" che "rompa" il DES.

Questa esiste e non costava moltissimo, adesso ancora meno. Il DES usa chiavi a 52 bit, questo vuol dire circa 8 caratteri, per esempio !i$,Yak° è una buona password e per scoprirla una macchina apposita penso impieghi qualche minuto.

Bene, esiste pure il triple-DES che usa chiavi leggermente più lunghe, diciamo 112 bit, cioè una ventina di caratteri.

Se le discussioni da bar fossero valide si direbbe che al posto di un minuto ci vogliono tre minuti per rompere il triple DES ma non è così, ci vogliono un numero sterminato di anni e non voglio tediarvi oltre alla fine dell'universo...

Ovviamente per allora sarà nato il matematico che risolverà problemi teorici che permetteranno di trovare la password in due passaggi ma questa mente illminata non nascerà perchè si deve craccare il Psion della Lioce, bisognerà aspettare il destino e magari l'ingegneria genetica...

Potri anche fare un articolo su questi argomanti...

[Stefano Barni]

e' vero che il pin delle carte bancomat è protetto mediante crittografia des, ma e' anche vero che il pin non è memorizzato sulla banda magnetica delle carte bancomat. quindi non basta rubare o clonare una carta per ricavare il pin rompendo il des...

[Sandro kensan]

> e' vero che il pin delle carte bancomat è
> protetto mediante crittografia des, ma e'
> anche vero che il pin non è memorizzato sulla
> banda magnetica delle carte bancomat.
> quindi non basta rubare o clonare una carta per
> ricavare il pin rompendo il des...

Ho letto tempo fa articoli di gente che sembrava avere tra le sue conoscenze tutta la trafila utilizzata dalle banche, non è il caso di spiegarla qui ma in soldoni ti posso dire che per convenienza e per sicurezza si è decisa di utilizzare un codice inserito nel bancomat, un numero di serie e di generare il pin tramite crittografia DES a partire dalla chiave memorizzata in hardware nella postazione bancomat.

Il sunto di questa procedura è che se striscio il tuo bancomat e ho una macchina cracca des, allora ho anche il tuo pin.

Ovviamente è una notizia per alcuni non concepibile, molti si fidano del sistema bancario come della mamma, anch'io sono rimasto sorpreso e nel ng di crittografia ho espresso le mie idee ma non ho ricevuto feedback.

Se vuoi ci mettiamo in società per prelevare un po' di contante...:)

Queste sono le mie info.

[Stefano Barni]

è vero che la verifica del pin, il cosiddetto pin check, viene effettuato in hardware da un componente della macchina bancomat, ed è vero che il controllo utilizza una chiave des memorizzata nel componente suddetto, ma ti confermo che non è possibile risalire al pin disponendo esclusivamente della tessera, perché, per poterlo fare, serve un terzo dato che non si trova ne' sulla carta stessa ne' nel dispositivo hardware des del bancomat.

potrei scendere più in dettaglio, ma probabilmente non è questa, come dici giustamente, la sede più opportuna.

d'altra parte, se ci pensi un attimo, tutte le truffe che si basano sul furto della carta (tipo quella, famosissima, del "coccodrillo"), utilizzano anche azioni di "social engineering" :-) mirate a carpire il pin alla malcapitata vittima: se bastasse avere a disposizione la tessera bancomat e qualche ora di tempo di cpu per ricavare il pin, i truffatori eviterebbero il contatto col truffato, per correre meno rischi...

[Sandro kensan]

Ci sono alcune imprecisioni nel tuo discorso, la più evidente è che non basta un pc per scassinare il DES, da come lo dici mi pare che tu non abbia idea di cosa sia la macchina craccka DES, guarda nel sito della EFF, troverari tutte le info.

Da questo mi pare discenda che l'ultima parte del tuo discorso ha poche fondamenta.

La prima parte invece mi è oscura ma ti faccio notare che i sistemi crittografici di tipo simmetrico usano una chiave con la quale cifrano il messaggio e generano il messaggio cifrato, poi esistono invece i sistemi crittografici a chiave pubblica ma non mi pare un discorso applicabile. Quello che dici tu parrebbe significare che una mezzo messaggio si trova nella tessera e mezzo viene scaricato tramite le rete bancaria.

Questo invece è quello che si voleva evitare sia per problemi di sicurezza sia per problemi di traffico generato. I dati sono sul bancomat, sull'ATM e nella memoria di chi fa il prelevamento, credo che da qui non si sfugga. Se hai info contrarie sono lieto di leggermi il link.

[Stefano Barni]

so che craccare il des richiede un certo sforzo computazionale. tuttavia ai fini del nostro discorso ciò è ininfluente, perché -qualunque sia la potanza di calcolo disponibile- non si risale al pin dalla banda magnetica della tessera bancomat.

inoltre, come hai osservato, non si parla qui di un sistema a doppia chiave, proprio perché il des è, per definizione, simmetrico.

il fatto è che nell'operazione è effettivamente coinvolto il sistema centrale di elaborazione della banca, senza che comunque questo possa provocare problemi di traffico, visto il peso esiguo dei casi in transito. non posso aggiungere altro per motivi di segreto professionale.

[Allibito]

Mah, secondo me in Italia possiamo stare davvero tranquilli perchè a capo dei servizi segreti abbiamo niente di meno che Enzo Bianco!
Vi rendete conto? I terroristi e gli altri criminali ci possono fare un baffo! Se in USA, con tutto che hanno l'FBI, la CIA, la NSA e Echelon e non sono riusciti a sventare l'attacco alle Torri, immaginate che cosa può succedere in Italia se a capo dei servizi segreti, ossia di coloro che devono difenderci dai terroristi abbiamo niente di meno che Enzo Bianco!!!
Tanto valeva mettergli Fantozzi...

Ma io dico ma queste persone come hanno queste capacità di accaparrarsi queste poltrone così importanti? E' incredibile.

[Pier Luigi Tolardo]

Solo una precisazione: Enzo Bianco non è il capo dei servizi segreti italiani ma solo il Presidente del Copaco, il Comitato Parlamentare di Controllo, formato da deputati e senatori, che, per legge, in forma riservata, ha il compito di controllare che l'attività dei servizi segreti non "tracimi" dalla legalità democratica, come, purtroppo, è accaduto in passato quando uomini dei servizi segreti hanno collaborato a tentativi di golpe, si sono associati nella loggia P2, hanno contribuito ad insabbiare inchieste o, peggio, hanno partecipato ad attentati e stragi, hanno partecipato al terrorismo di destra.
Si tratta quindi di una carica di garanzia, affidata da sempre ad un esponente dell'opposizione parlamentare(oggi c'è la Destra al Governo quindi spetta alla Sinistra, nella scorsa legislatura era il contrario) ma che non c'entra niente con la direzione operativa dei servizi che sono diretti nel caso del Sisde(il servizio segreto "civile") dal generale dei Carabinieri Mori e per quello militare, il Sismi, da un generale della Guardia di Finanza, certo Polleri. I due servizi sono coordinati poi da un prefetto, capo del Cesis che deve rispondere unicamente al Capo del Governo, cioè Berlusconi, che dopo aver tenuto per un po' di tempo la delega per sè l'ha affidata ad un suo fido sottosegretario....

[Matteo]

la verità è che se i dati sono cifrati bene è difficile bucarli ...

A meno che i supercomputer americani che dovrebbero simulare esplosioni nucleari in realtà sono usati dall'FBI....

[Antonio Glessi]

Nella versione cinematografica di "Relazioni pericolose" dall'omonimo libro di Michael Crichton (ma nel libro la frase non c'è), Donald Sutherland se ne esce con la frase "Questo è un mondo dove ci sarà sempre più informazione e sempre meno verità". La domanda posta in fondo all'articolo mi sembra quindi assai retorica. Non lo sapremo mai. Certo è che con cellulari, schede telefoniche e strategie di spostamento questi brigatisti (o presunti tali) hanno fatto errori che dire clamorosi è poco. Insomma con i tabulati delle telefonate non occorreva Sherlock Holmes per capire com'era andata. Per tornare allo Psion c'è da dire che se anche la Psion avesse le chiavi per decrittare i contenuti non lo farebbe (almeno ufficialmente) mai per ovvi motivi di immagine deontologica. Ormai su queste cose siamo a livello fedele-confessore. Non si può tradire il voto di fiducia con il cliente, nemmeno per la ragion di stato.