Jag läser debian-security lite sporadiskt och denna tråden tror jag kanske någon skulle uppskatta.
http://lists.debian.org/debian-security/2013/10/msg00027.html
Blanda annat om att göra apt-get update över Tor.
Bästa hälsningar Niklas
Niklas Johansson raphexion@gmail.com wrote Tue, 29 Oct 2013 14:20:22 +0100:
| Jag läser debian-security lite sporadiskt och denna tråden tror jag kanske | någon skulle uppskatta. | | http://lists.debian.org/debian-security/2013/10/msg00027.html | | Blanda annat om att göra apt-get update över Tor.
Tack för länken.
DFRI skulle kunna tillhandahålla ett Debian-repo över Tor Hidden Services.
On 2013-10-29 15:18, Linus Nordberg wrote:
Niklas Johansson raphexion@gmail.com wrote Tue, 29 Oct 2013 14:20:22 +0100:
| Jag läser debian-security lite sporadiskt och denna tråden tror jag kanske | någon skulle uppskatta. | | http://lists.debian.org/debian-security/2013/10/msg00027.html | | Blanda annat om att göra apt-get update över Tor.
Tack för länken.
DFRI skulle kunna tillhandahålla ett Debian-repo över Tor Hidden Services.
Eh. vad jag förstår så opponerar sig avsändaren över att debian inte tillhandahåller säkerhetsinformation över https.
Förstår ej vad spegling av repo skulle göra för skillnad? än mindre varför tor-hidden service skulle göra någon skillnad.
mvh andreas
Eh. vad jag förstår så opponerar sig avsändaren över att debian inte tillhandahåller säkerhetsinformation över https.
Förstår ej vad spegling av repo skulle göra för skillnad? än mindre varför tor-hidden service skulle göra någon skillnad.
http://lists.debian.org/debian-security/2013/10/msg00038.html http://lists.debian.org/debian-security/2013/10/msg00041.html
On 2013-10-29 17:27, Niklas Johansson wrote:
Eh. vad jag förstår så opponerar sig avsändaren över att debian inte tillhandahåller säkerhetsinformation över https.
Förstår ej vad spegling av repo skulle göra för skillnad? än mindre varför tor-hidden service skulle göra någon skillnad.
http://lists.debian.org/debian-security/2013/10/msg00038.html http://lists.debian.org/debian-security/2013/10/msg00041.html
Hej! Ok, så om vi bortser från http://lists.debian.org/debian-security/2013/10/msg00027.html utan istället bryr oss om 00038 då;
- Even when an adversary found a way to exploit apt-get's OpenPGP verification, the exploit could not be used, because Tor hidden services implement its own encryption/authentication.
Felaktig analys. Du är precis lika stekt.
1) Antingen så har du en rogue update som har en signatur, vi speglar ned den, någon installerar den över tor. Den som installerar är stekt.
2) Antingen har de exploit för OpenPGP-verifiering. Vi speglar ned signaturen, (om vi verifierar är vi givetvis också stekta, beroende på sploit), Användaren tar hem den över TOR, blir stekt under verifieringsstadie.
- An adversary could not even know that someone is downloading apt-get updates.
Sant, om inte den tidigare punkten är korrekt, eller om tidigare punkt och portal används. Då är du ägd, fast över tor då.
- We obscure more internet traffic, good for Tor (diversifying user base and use cases), adding more hay to the haystack.
Vet inte hur jag förhåller mig till den här punkten.
- It becomes more difficult to mount rollback/freeze attacks. We have the valid-until field, but Tor HS would be a nice as defense in depth.
Den här attacken förstår jag inte.
/andreas
Jag måste erkänna att den analysen du gör är över min kompetensnivå. Jag kan för lite. Det kan vara så att det är totalt meningslöst. Ville mest göra listan uppmärksammad på ett nytt och intressant att använda Tor. Plus jag gissar på att rätt många gillar debian (linux).
On 2013-10-29 17:42, Niklas Johansson wrote:
Jag måste erkänna att den analysen du gör är över min kompetensnivå. Jag kan för lite. Det kan vara så att det är totalt meningslöst. Ville mest göra listan uppmärksammad på ett nytt och intressant att använda Tor. Plus jag gissar på att rätt många gillar debian (linux).
Halå! Jag kan förstå orginalönskemålet, att få informationen om säkerhetsuppdateringar över TLS, ie; han vill automatiskt kunna parsa den informationen och sedan göra automatiska bedömningar om hur/när/var patcharna ska på.
Vet dock ej vad DFRI ska göra om inte debian väljer att tillhandahålla informationen över TLS.
Dock inte läst resten av tråden så vet inte om de kommer fram till något annat spännande.
Jag kan ha fel dock! rätta mig gärna! vi kanske ska tillhandahålla över HS ändå?
/andreas
Jag tänker så här, vilket kanske är helt fel. Rätt mig gärna.
SSL har principiellt två funktioner: 1) att du pratar med rätt service (asymmetrisk kryptering) 2) kryptera trafiken (symmetrisk kryptering)
En Tor hidden service kanske kan fylla ett liknande behov. 1) En hidden service är svår att spoofa (public key) [1] 2) Kryptering inne i Tor
Så man kanske skulle kunna tänka sig (jag är medveten väldigt vag) att en THS kan fulla ett likande behov som SSL.
Andreas Jonsson andreas@romab.com wrote Tue, 29 Oct 2013 17:50:27 +0100:
| Jag kan ha fel dock! rätta mig gärna! vi kanske ska tillhandahålla över | HS ändå?
HS-adresser (.onion) är "självautenticerande" eftersom dom består av (en del av) HS:ens publika nyckel.
Den som har en HS-adress som den vet tillhandahålls av DFRI kan vara säker på att den får det som DFRI tror är bra och behöver inte bry sig om komprometterade SSL-cert eller annat SSL/TLS-relaterat.
Frågan om hur DFRI verifierar sitt repo kvarstår.
On 2013-10-29 18:40, Linus Nordberg wrote:
Andreas Jonsson andreas@romab.com wrote Tue, 29 Oct 2013 17:50:27 +0100:
| Jag kan ha fel dock! rätta mig gärna! vi kanske ska tillhandahålla över | HS ändå?
HS-adresser (.onion) är "självautenticerande" eftersom dom består av (en del av) HS:ens publika nyckel.
Den som har en HS-adress som den vet tillhandahålls av DFRI kan vara säker på att den får det som DFRI tror är bra och behöver inte bry sig om komprometterade SSL-cert eller annat SSL/TLS-relaterat.
Frågan om hur DFRI verifierar sitt repo kvarstår.
sure. värt att notera är att debian-trådstartaren _inte_ pratade om repo:t.
sedan har vi det där med att hur nu någon ska få reda på dfri:s hs-address... kanske via vår web som authenticeras genom.... tls? ;>
/andreas
Andreas Jonsson andreas@romab.com wrote Tue, 29 Oct 2013 19:25:48 +0100:
| sedan har vi det där med att hur nu någon ska få reda på dfri:s | hs-address... kanske via vår web som authenticeras genom.... tls? ;>
Vi kan PGP-signera också.