YouTube, tempesta sul copyright dei video(giochi)

Quella è la definizione
"Se tuttavia la casualità fosse solo apparente, ovvero magari solo una ripetizione molto lunga nel tempo" di un generatore di numeri pseudo casuali ;)

La soluzione
La soluzione ideale è quella che ha adottato linux: usare più sorgenti di entropia in contemporanea, in modo che se anche una è "meno casuale del previsto" il risultato è comunque abbastanza causuale da non essere un problema per la sicurezza.

Re: La soluzione
- Scritto da: iRoby> Strano che quelli di FreeBSD siano stati così> ingenui da affidarsi ai moduli TPM,> crittografici, o generatori di un'azienda sotto> la giurisdizione del loro governo> canaglia...è una distro attenta alle prestazioni, usare un'unica istruzione della cpu invece di un sacco di ammenicoli ha sicuramente dei vantaggi

Re: La soluzione
- Scritto da: Dr Doom> - Scritto da: iRoby> > Strano che quelli di FreeBSD siano stati così> > ingenui da affidarsi ai moduli TPM,> > crittografici, o generatori di un'azienda> sotto> > la giurisdizione del loro governo> > canaglia...> è una distro attenta alle prestazioni, usare> un'unica istruzione della cpu invece di un sacco> di ammenicoli ha sicuramente dei> vantaggifreebsd non è una distro linux ma un sistema operativo a partee comunque i vantaggi maggiori sono per la NSA :Dla verità è che la casualità generata algoritmicamente non esiste, bisogna affidarsi a fonti di rumore fisiche

Re: La soluzione
usare> un'unica istruzione della cpu invece di un sacco> di ammenicoli ha sicuramente dei> vantaggiDubbi e paranoia a parte (benché sempre giustificati), alla fine di tutto sarebbe bello sapere se RDRAND è davvero compromessa. Oppure se è sicura.Intel non ha detto niente. E al momento nessuno ha scoperto se si tratti di uno stream prevedibile. Quindi è un gran dubbio.Visto che spesso RDRAND e altri generatori hardware vengono usati in mix con altri algoritmi e il bit stream non è usato direttamente, dubito che Intel si sia presa il rischio di fare un generatore con backdoor. Inoltre in Intel ci sono le competenze per farne uno decente, quindi sarebbe difficile usare al scusa del "è stato un errore"...Usare RDRAND direttamente non è una buona idea, ma alla fine dipende da che utilizzo se ne fa. Anche su FreeBSD se usi OpenSSL o altro, poi dipende dalla libreria quale RNG scegliere. Alcuni programmi usano la srand+rand del C, la funzione standard POSIX..., altri RDRAND o arc4random. Vanno tutte bene, ma dipende da che deve fare il programma. Se c'è da generare una chiave, mi aspetto che una libreria implementi al suo interno Yarrow o Fortuna, e che in genere non si basi solo su /dev/random o /dev/zero ;)

Re: La soluzione
E comunque l'articolo dice che non userà più quella fonte, non che ora usa *solo* quella.Già ora ne usa diverse.

Re: La soluzione
- Scritto da: Io sono io> E comunque l'articolo dice che non userà più> quella fonte, non che ora usa *solo*> quella.> > Già ora ne usa diverse.nella notizia originale dice invece che non userà più esclusivamente quelle fonti (RDRAND e Padlock) ma le utilizzerà comunque come fonte di entropia, in modo simile a linux.Notizia originale:http://www.freebsd.org/news/status/report-2013-09-devsummit.html#Security

la casualita'...
come direbbe il merovingio...

pseudopseudorandom
http://punto-informatico.it/b.aspx?i=3888374&m=3889584#p3889584

Re: pseudopseudorandom
E ricorda che io mando e-mail fin dal 1980. Nessuno ne sa più di me.

Re: pseudopseudorandom
Andrebbe anche analizzato il fatto che schede come la EPIA P820 montavano doppi generatori TRNG e hardware AES in tempi meno sospetti.Non biasimo affatto gli sviluppatori BSD che all'alba delladozione delle varianti ECC dei più noti algoritmi assimetrici, sviluppino un TRNG embedded inaccessibile nella fasae di generazione dell'entropia, embedded nella CPU, mentre sviluppatori kernel di linux si lamentano delle pressioni per affidare /dev/random proprio all'hardware in questione.http://www.cryptography.com/public/pdf/Intel_TRNG_Report_20120312.pdftre inindizi..

Re: pseudopseudorandom
ehm..Non biasimo affatto gli sviluppatori BSD che all'alba dell'adozione delle varianti ECC dei più noti algoritmi assimetrici, mentre Intel sviluppa un TRNG inaccessibile nella fasae di generazione dell'entropia, embedded nella CPU, mentre sviluppatori kernel di linux si lamentano delle pressioni per affidare /dev/random proprio all'hardware in questione, decidano di non farvi affidamento.

Re: pseudopseudorandom
contenuto non disponibile

Re: pseudopseudorandom
- Scritto da: unaDuraLezione> - Scritto da: tucumcari> > > Tra le altre cose se applichi il "chi> quadro"> al> > "rand" di Linux ottieni un valore tra ( > <=> 3%> > o > =97% ) che non è il massimo... per> essere> > veramente "random" dovresti stare a <=1%> e> > >> > =99%.> > Più che la "paranoia" conviene usare la> > matematica.> > ;)> > Evidentamente sono algoritmi buoni, ma non> necessariamente> onesti.> Se ci fosse un seme inizializzato per esempio ad> un valore ricavabile dal numero di serie del> proXXXXXre?> > Ogni proXXXXXre garantirebbe ottime sequenze, ma> il produttore, conoscendo il metodo di> generazione del seme, potrebbe ricostruire tutta> la sequenza per un particolare> 'cliente'.> > ovviamente, visto che il set di istruzioni RAND> prevede il seed anche da parte del programmatore,> sto parlando di un> metaseed.Con un metaseed non ci fai niente. Non è sufficiente a indovinare il seed.

Re: pseudopseudorandom
contenuto non disponibile

Scusate, ma a questo punto..
... cosa aspettano i governi Europei ad operare una intercettazione di massa di tutti i cittadini americani dal più insignificante al presidente americano? In fondo loro ritengono che chi non è cittadino americano (anche se solo di facciata visto che sotto sotto adottano gli stessi criteri anche per loro) non ha alcun diritto e allora perché non rendergli la pariglia per dimostrargli cosa si prova?Sono anni che le istituzioni europee avvertono le aziende di criptare i loro dati e le loro comunicazioni ( a quanto pare a ragione da una parte, ma inutilmente dall' altra) perché si riscontravano sottrazioni di informazioni e penalizzazioni negli appalti.

Re: Scusate, ma a questo punto..
- Scritto da: M.R.> ... cosa aspettano i governi Europei ad operare> una intercettazione di massa di tutti i cittadini> americani dal più insignificante al presidenteehm, forse è perchè non hanno 13 portaerei :D> perché non rendergli la pariglia per dimostrargli> cosa si> prova?perchè poi subiremmo una massiccia esportazione di democrazia > Sono anni che le istituzioni europee avvertono le> aziende di criptare i loro dati e le loro> comunicazioni ( a quanto pare a ragione da una> parte, ma inutilmente dall' altra) perché si> riscontravano sottrazioni di informazioni e> penalizzazioni negli> appalti.l'Europa è come il Papa, tante chiacchiere ma pochi fatti e soprattutto pochi mezzi per poter fare qualcosa di tangibile

Re: Scusate, ma a questo punto..
- Scritto da: collione> - Scritto da: M.R.> > ... cosa aspettano i governi Europei ad> operare> > una intercettazione di massa di tutti i> cittadini> > americani dal più insignificante al> presidente> > ehm, forse è perchè non hanno 13 portaerei :D> > > perché non rendergli la pariglia per> dimostrargli> > cosa si> > prova?> > perchè poi subiremmo una massiccia esportazione> di democrazia> > > > Sono anni che le istituzioni europee> avvertono> le> > aziende di criptare i loro dati e le loro> > comunicazioni ( a quanto pare a ragione da> una> > parte, ma inutilmente dall' altra) perché si> > riscontravano sottrazioni di informazioni e> > penalizzazioni negli> > appalti.> > l'Europa è come il Papa, tante chiacchiere ma> pochi fatti e soprattutto pochi mezzi per poter> fare qualcosa di> tangibileOddio gli USA con 13 portaerei non hanno un "success rate" così invidiabile .Delle decine e decine di guerre in cui sono stati a vario titolo coinvolti dopo la seconda guerra mondiale e spesso con contendenti che avevano si e no gli occhi per piangere (vedi viet-nam) molte (la maggior parte o la quasi totalità) si sono concluse con situazioni di sconfitta o stallo.Non gli darei un "Military Efficiency Award" proprio considerando le 13 portaerei e la indiscutibile sovrabbondanza di mezzi e tecnologie a disposizione.Che siano "i più forti" sulla carta è un fatto ma un pochino di "myth debunking" non fa mai male.Anche perchè essere presi a calci in XXXX da 4 contadini che avevano si e no un pugno di riso da mangiare in tutta la giornata non è proprio fare la figura dell'impavido guerriero. :D

Re: Scusate, ma a questo punto..
fai caso, però, che hanno perso sempre laddove sono state usate tecniche di guerrigliacontro l'Europa, le 13 portaerei funzionerebbe molto molto meglio di quanto funzionarono in Afghanistan o Vietnamin sostanza, noi non abbiamo kamikaze, ma nemmeno gente con le OO capace di combattere :(

Re: Scusate, ma a questo punto..
E non dimenticate i macachi e i trolletti.

Re: Scusate, ma a questo punto..
qualche dubbio che il MUOS invece di spiare le potenze mediorientali serva invece a spiare i paesi europei ti sta venendo pure a te vero ???:-)