#71 Lo dudo. Como comentan por arriba, seguramente tenga que ver con la vulnerabilidad de la CryptoLib y la generación de claves del chip de Infineon que usa el DNIe 3.0.
#129 En vez de pensar que me saco precios de la punta del nabo, podrías mirar el comentario de #125
Las webs de phishing se basan en pequeños timos hechos por mucha gente. En tu caso tienes que sacar como mínimo 10 M$ de un único "engaño" con tu mágico certificado generado en base a esa colisión SHA-1 (que ni siquiera se ha demostrado que sea factible...no es lo mismo una colisión en dos PDFs, que además de ser un formato muy flexible, fueron creados desde cero con ese objetivo en mente, que modificar la estructura de un certificado de autenticidad para que tenga el mismo SHA-1 que otro, y SIGA pareciendo un certificado de autenticidad)
En resumen, que esto es menéame y mola mucho hablar sin tener ni puta idea. No va a haber ningún ataque al público en general usando colisiones SHA-1 en los próximos años.
#124 Que si, que es muy guay criticar al gobierno y tal. Se acaba de anunciar HOY el primer ataque práctico contra SHA-1, que además sólo se puede dar en archivos PDF diseñados expresamente para ello, y que tiene un coste de 3 millones de dólares por fichero. Ni siquiera se ha demostrado que puedas elegir un PDF de forma arbitraria y modificándolo ligeramente conseguir el mismo SHA-1.
¿En serio alguien en su sano juicio ve una posibilidad realista de explotar esto, ya no digo hoy, sino en los próximos 3-5 años?
Llámame loco, pero tampoco lo veo cómo una prioridad urgente desechar SHA-1 por parte del ministerio del interior.
#58 Alquilar 11.000 GPUs no te lo ofrece ningún servicio cloud hoy en dia, pero si te lo ofreciesen, el precio sería de 10 millones de dólares...sospecho que te cazarían antes de que pudieses rentabilizar tu inversión, sea cual sea el oscuro uso que tienes en mente para una colisión SHA-1.
cc #78
#22#15#13#10 Que pueda pasar en teoría y que pase en la realidad son dos cosas diferentes. Al igual que hay un número finito de resultados de SHA-1 (2^160...una auténtica barbaridad) también hay un número finito de archivos en internet.
La noticia no es que haya pasado por casualidad, es que se ha encontrado un método "fácil" de engañar al hashing y generar la misma huella dactilar para dos archivos.
SHA-1 se considera "hackeado" desde hoy, pero no significa que cualquier friki con su ordenador pueda generar un SHA-1 idéntico para dos archivos. Hace falta mucha potencia de cálculo (110 años de cálculo de GPU son MUCHAS operaciones matemáticas) y muchas condiciones de partida.
En cualquier caso, ya se sabía, no es fácil de hacer en la práctica y ya hay nuevos algoritmos mucho más seguros y complejos y el uso de SHA-1 está desaconsejado desde 2011.
#79#71#27#16 ¿Habéis leído la cantidad de esfuerzo necesario para crackear un PDF? ¿Habéis visto que no es aplicable a cualquier archivo? ¿Sabéis que el DNIe 3.0 utiliza AMBOS métodos de hashing precisamente porque SHA-1 fue marcado como inseguro en 2011?
Que atrevida es la ignorancia...
#3 No tienes ni idea de criptografía, ¿verdad? Si tuvieses la mínima idea del número de operaciones que hacen falta para "romper" matemáticamente un cifrado AES-256 no afirmarías que si CUDA o si la tecnología cuántica.
Edito para añadir este ilustrador extracto del libro de Schneier Applied Cryptography:
One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kTkT, where TT is the absolute temperature of the system and kk is the Boltzman constant. (Stick with me; the physics lesson is almost over.)
Given that k=1.38⋅10−16erg/∘Kelvink=1.38⋅10−16erg/∘Kelvin, and that the ambient temperature of the universe is 3.2∘K3.2∘K, an ideal computer running at 3.2∘K3.2∘K would consume 4.4⋅10−164.4⋅10−16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.
Now, the annual energy output of our sun is about 1.21⋅10411.21⋅1041 ergs. This is enough to power about 2.7⋅10562.7⋅1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all of its energy for 32 years, without any loss, we could power a computer to count up to 21922192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.
But that’s just one star, and a measly one at that. A typical supernova releases something like 10511051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.
These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.
#309 ¿no te has tomado la medicación hoy? Pues a ver si con otro negativo se te pasa :). El karma de menéame son solo numeritos en una base de datos, no te vas a reencarnar en una rata por mi culpa, tranquilo.
#95 El negativo es por ser un cuñado y comparar el desarrollo de un sistema operativo y su mantenimiento con los "royaltis" (mal escrito) que pagan los demás a Google, el otro desarrollador de OS móviles.
#17#74#116#119 No, para acceder a la copia de seguridad de tus chats tienes que conocer la contraseña de la cuenta donde almacenes el backup (Cuenta de Google para Android y de iCloud para iOS).
Si simplemente copias la SIM tendrás acceso al whatsapp del usuario para iniciar nuevas conversaciones, pero los chats antiguos no se almacenan nunca en el servidor de Whatsapp.
Y en cuanto al pin, simplemente puedes decir que lo has olvidado y no estás obstruyendo la justicia. Nadie puede demostrar que no lo recuerdas.
#99 Tú en tu grupo de amigos lo puedes llamar cómo te de la gana, pero no es correcto. Como le ha explicado #68 a #40 la escalada que tú llamas libre es en realidad solo integral.
La escalada libre es un tipo de escalada en la que sólo se progresa con pies y manos, sin usar herramientas extra, en grandes paredes. es.wikipedia.org/wiki/Escalada
#98 "A veces" y "sobre todo" se escriben separado. Standard es inglés, en español es estándar.
En cuanto a tu argumentario, recuperar 900€ de iPhone (que al vendedor le cuesta 600€ por poner una cifra) subiendo "un céntimo" productos top ventas me parece tan creíble como la leyenda urbana de la empresa de vuelos que ahorró millones quitando una aceituna.
Esto es un problema real, que repercute en los beneficios de Amazon. Seguro que tienen mil formas de resolver las pérdidas de uno, diez o cien iPhones a nivel mundial, pero el problema es si esto se populariza, y sobre todo quién paga las pérdidas (¿Amazon? ¿O el pequeño vendedor que usa Amazon como plataforma de venta?)
EDIT: En 3 años comprando en Amazon jamás he encontrado un producto más caro que MediaMarkt o PCComponentes. Como mucho igualdad de precio o diferencias ínfimas. Y en MM o PCC sí que te cobran los gastos de envío. En Amazon con ser premium tienes envío en 48h para miles de productos.
#25 ¿una imagen tridimensional? ¿De dónde te sacas eso? El sensor de huella dactilar no es más que una cámara. Sólo "ve" en dos dimensiones. Y se le puede engañar sin muchos problemas.
Lo primero que dices tiene sentido, antes eran las telecos las que tenian el poder y los jueces daban acceso judicial, lo cual me parece peligroso igualmente. Pero ahora con orden judicial, tanto google como facebook también proporcionan información del usuario. es-la.facebook.com/safety/groups/law/guidelines/
En cuanto a que la multinacional te eche de su servicio si incumples las normas, pues me parece normal. Para eso es su servicio y ponen las normas que quieren. Pero vamos, ni en Whatsapp ni en Messenger pasa eso que mencionas, así que me parece una salida del tiesto importante.
Ahora nadie puede aislarte de un sistema, te compras otra tarjeta SIM en el peor de los casos y ya tienes otra identidad. Igual que con las leyes judiciales anteriores.
#257 Supongo que podrás negarlo ya que no tienen forma de demostrar que tú has hecho ese pago, y debería devolvertelo el seguro de la tarjeta.
P.D. Disculpa, pensaba que me estabas respondiendo al otro tema, que me parece mucho más preocupante que el del cajero...en ese caso son negligencias de personas, en el que yo menciono el problema es tecnología mal usada.
#247 Ya coño, si nos ponemos así pues seguimos usando el email y que nadie desarrolle nada nuevo. Que whatsapp ha cambiado la forma en que se comunica la gente es innegable, y no creo que la gente pierda mucha más privacidad que cuando usaba gmail o hotmail para mandar fotos de su boda o de gatitos.
#49 santiagogf89 
