Szerteszana²

grin agymenései
Archívum Március 2024

Ellenőrizd azt, hogy kivel beszélgetsz

2024-03-08 18:04 írta grin

Megint informatikáról és biztonságról szeretnék neked mesélni.

Az egész arról jutott eszembe, hogy jött egy hír, hogy az AI-hamisított (deep fake) videók miket mutogatnak, meg az AI hamisított képek, üzenetek, akármik. A probléma, hogy amikor egy híres ember kér tőled valamit egy vidóban, vagy hallod a hangját, akkor lehet, hogy az valójában nem is ő. Erről az egészről meg az ugrott be, hogy mesélnem kellene egy méltatlanul hanyagolt, sőt, gyakran legyintéssel elhessegetett biztonsági módszerről, méghozzá a másik fél azonosításáról.

Elöljáróban: azt talán tudod te is, hogy vannak azok a rendszerek, amik titkosítanak, vagyis megoldják azt, hogy az üzeneteidet (írásodat, képeidet, hangodat vagy videótartalmadat) idegenek ne tudják megnézni, megismerni. Ez a rész viszont nem segít abban, hogy mi van, ha a másik oldal mégsem az, akinek állítja magát?

A digitális aláírások ismerősek lehetnek. Ez a valóságban úgy működik, hogy annak, aki aláír van egy titkos számosorozata (ez lehet sok minden, nem lényeges, hogy épp egy jelszó vagy egy hosszú krixkrax-sorozat egy file-ban), a számítógép pedig fogja az aláírandó szöveget (hangot, videót, akármit), kiszámít belőle egy olyan mintát, ami csak arra a file-ra igaz (ha bárki megváltoztatja, a minta nem fog stimmelni), és utána ebből a mintából meg a titkos számsorozatból csinál egy olyan számsorozatot, amit csak a titkot ismerő ember képes előállítani és csak az adott file-ra igaz: ez a digitális aláírás. Egyrészt „nem lehet” (pongyolán fogalmazok, elnézést a kriptográfusoktól) hamisítani, mert nem ismeri senki más a titkos számokat, másrészt „nem lehet” észrevétlenül megváltoztatni sem a file-t, mert akkor nem fog stimmelni a minta, és a mintát sem lehet hamisítani mert ahhoz is a titkos számok kellenének. Ha még egy időpont is része a mintának, akkor azt sem lehet hamisítani, hogy mikor készült az aláírás.

Pár szó az end-to-end titkosításról, vagyis arról, amikor két pont között titkosítjuk a forgalmat és így az üzeneteket továbbító rendszerek sem képesek azt elolvasni/megismerni vagy megváltoztatni. Ez jelenleg a legnagyobb biztonságot adó hozzáállás, nem is szeretik az uralkodó politikusok és erőszak-szervezeteik. Azt fontos megjegyezni hogy ez csak arra vonatkozik, hogy a továbbítás közben az üzenetek nem megismerhetőek de semmit nem tud arról mondani, hogy a két végén megbízható rendszer van-e (vagyis jellemző módon nincs-e a mobiltelefonon állami kémprogram vagy illegális megfigyelés); ha az üzenetet már megismerik, mielőtt titkosítaná a program akkor… annyi volt, mindegy, milyen biztonságos az eljárás. Mivel ez ellen semmilyen továbbítási titkosítás nem véd, most ne erről beszélgessünk.

Azt már kevesebben tudják, hogy a legtöbb valódi titkosítást és biztonságot biztosító rendszer (tipikusan end-to-end titkosítással) a digitális aláírásokhoz hasonló ellenőrzési lehetőséget kínál. Ennek a lényege az, hogy amikor csatlakozol valakihez az első alkalommal akkor kapsz egy a partneredre jellemző titkos mintát, ami teljesen egyedi módon azonosítja őt. Ebből azt nem tudod, hogy ő kicsoda, de azt igen, hogy ha üzenetet kapsz a jövőben ezzel a mintával (ami vagy az üzenetet, vagy az üzenetet továbbító csatornát, csoportot, chatret azonosítja) akkor azt „ez az eszköz” vagy „ez az ember” küldte.

Ezt az alapszintű biztonságot nyújtja például a WhatsApp vagy a Signal azon értesítése, hogy „megváltozott a partnered azonosítója”. Ez azt jelenti, hogy bár a partner ugyanazon a néven látszik, de az üzenet nem arról az eszközről érkezett, amiről előtte! A biztonságtudatos ember ilyenkor egy másik csatornán (például élőben vagy telefonon) rákérdez, hogy „te cseréltél-e telefont, vagy nem”, és ha nem, akkor valaki hallgatózik.

Azonban ennél ezek a rendszerek sokkal többet is kínálnak! Vagyük példának a Signalt (ami jelenleg az egyik legbiztonságosabbnak tekintett, független kommunikációs platform). Itt például minden beszélgetésnél ha rábök az ember a beszélgetés fejlécére (vagy bemegy a PöttyPöttyPötty»Chat settings alá) van egy „View safety number” menü, ami mutat egy hosszú betű-szám sorozatot és egy QR kódot könnyítésnek. Ez a szám és kód azonosítja a beszélgetést, és a csatorna mindkét végén ugyanaz. Ha tehát odamész az ismerősödhöz és mindketten belementek a beszélgetésetekbe, akkor mindketten ugyanazt a számot kell, hogy lássátok (és ebben segít a program is a QR kóddal, amivel gyorsan lehet ellenőrizni). Ha nem ugyanazt látjátok akkor nem egymással beszéltek, hanem valaki mással, aki hallgatózik és közvetít köztetek! Ha pedig stimmel a kód, meg lehet jegyeztetni a programmal! Ez a legjobb módszer, mivel innentől bármikor megváltozik, a program azonnal nagyon hangosan tiltakozni fog, hogy sérült a kapcsolat biztonsága! És akkor is, ha semmi titkosat vagy szörnyűt nem beszélget az ember jobb, ha azzal beszél, akivel gondolja, hogy beszél, és nem valaki mással.

Ehhez hasonló rendszert használ a WhatsApp is, hasonló kódokkal (ugyanaz az alapja a rendszernek, mint a Signalnál). Egy másik, hasonló azonosítási módszer a Matrix hálózaté, ahol bárkire rábökve van egy „Verify” (ellenőrzés) menü, amit kiválasztva és az ellenőrzést elindítva mindkét oldal kap egy csomó emojit. Ez – mint az előző esetekben – mindkét oldalon egyezik, és így az ember például felhívja az ismerősét és beolvassa, hogy „kacsa, fagyi, mikulás, hal, államkasszával a zsebében offshore bank felé yachtozó lölö, kapa, kasza”, a másik pedig ha ugyanezt látja akkor mindenki örül, és leokézza. Innentől ezek az ismerősök kapnak egy zöld pipát, mindenki más meg vörös felkiáltójelet, ráadásul ez a rendszer képes kezelni azt, ha az illetőnek több eszköze is van, és egyenként is lehet őket ellenőrizni vagy éppen nem megbízhatónak jelölni és törölni az ellenőrzését.

Sok ember ezt nem veszi komolyan, hiszen semmi titkosról nem beszél az ismerősével, minek kellene őt ellenőriznie? Nos, például azért, hogy ne kerülj olyan helyzetbe, hogy az „ismerősöd” nagy bajban van és segítséget kér, hogy mondjuk utalj pénzt egy számlaszámra, és utána derül csak ki hogy ő nem tud az egészről semmit. Ebben a helyzetben jó az, ha a program figyelmeztet, hogy az üzenet ugyan látszólag az ismerőstől jön, de azt valójában nem ő küldte. Ugyanezt az ellenőrzést megkapjuk például a Signal esetében hang- és videohívásnál is.

Érdemes megemlíteni a webes tanúsítványokat is, ha már digitális aláírásokkal kezdtem: a weblapok (és internetes szolgáltatások) gyakran használnak olyan digitális aláírásokat, amit egy tanúsító szervezet valamilyen módon ellenőrzött. Ez akkor fontos, ha nem tudjuk ellenőrizni az adott helyet üzemeltetőt egyenként, de cserébe (valamennyire) megbízunk a szervezetben, aki ezt az ellenőrzést helyettünk elvégezte. Ez lehet simán annyi, hogy ellenőrizték, hogy az üzemeltető valóban hozzáfér az adott weblaphoz vagy géphez, de lehet teljes ellenőrzés is, ahol bekérték a cégpapírokat, beszéltek a vezetőkkel és kértek egy hivatalosan aláírt szerződést (ezek a kiterjesztett biztonságú [Extended Verification; EV] tanúsítványok, amiket a böngészők általában teljes zöld háttérrel mutatnak). Ezekre is fontos odafigyelni, illetve meg is lehet általában a böngészőkben nézni (kis lakat vagy pajzs ikonra kattintva) hogy kinek a nevére adták ki pontosan a tanúsítványt. Törött/piros/kinyitott lakattal rendelkező oldalnak még a napszaknak megfelelő köszönést is csak előzetes meggondolás után küldjük el, amit mond, az meg annyira megbízható mint a kormány ígéretei amit az utcán egy rosszarcú ismeretlen állít.

Szóval, összefoglalásképp azt akartam mondani, hogy ha lehet, használj olyan kommunikációs csatornákat amik biztonságosak; ellenőrizd az ismerőseidet akkor, amikot felveszed őket először és hogy érdemes azokat, akik fontosak (közeli ismerősök) leellenőrizni akár csak egy sima telefonhívással és a kód egyeztetésével. Mert számíthat. Ha ezt mindenki megtenné, kicsit jobb lenne a világ.

Reagan, Brezsnyev és Kádár utaznak a repülőn

2024-03-05 10:01 írta grin

Reagan, Brezsnyev és Kádár utaznak világ körüli úton a repülőn, mikor egyszer csak Reagan gondol egyet, kinyitja a kis ablakot és kidugja a kezét. A többiek döbbenten nézik, ő meg vigyorogva azt mondja:

– Na, itt repülünk épp Amerika felett!

– Na mondd már, honnan tudod?

– Hát, a kezembe nyomtak egy mikrochipet!

A másik kettő hosszú arccal magába néz. Nem telik bele pár perc, Brezsnyev elvtárs is odagurul az ablakhoz, és kezét kidugva közli:

– Most pedig pont itt vagyunk a Szovjetunió felett!

A másik kettő hangosan tiltakozik:

– Honnan gondolod, hogy épp ott lennénk?

– Hát onnan, hogy egy üveg vodkát nyomtak a markomba!

Csend. Kádár elvtárs gondolkozik, gondolkozik, majd felragyog az arca, odamegy ő is, és kidugja a kezét.

– Na de most pedig itt repülünk szép hazám, Magyarország felett.

Na erre már kitör a botrány:

– Honnan tudnád, János bátyám, hát a te országod olyan piciny, miből gondolod, hogy pont ott lennénk?

– Honnan, honnan... hát nyilvánvaló, mert ellopták a karórám.

Archívum Március 2024

Szerteszana²

grin agymenései