okay, quindi ho lasciato Google a marzo e l’ho avuto
alcuni piani per quello che stavo andando a lavorare
durante questo durante l’estate
ho detto che ho deciso di non fare un altro lavoro
e il giorno in cui ho lasciato Google ho corso
attraverso alcuni interessanti criptati
tecnologia che mi ha fatto eccitare e
non secondo i miei piani ho speso il
tutto il tempo tra allora e ora lavorando
sulla privacy in crittografia e segretezza
e identità e così via e sono stato
ti diverti tanto e ora lo sai
l’estate è finita sto iniziando a pensare
su come ottenere un altro lavoro, quindi ci sto provando
per trovare qualcuno che mi pagherà per
facendo queste cose con cui parlerò
sei circa così la scorsa settimana a Copenaghen era
la prima volta che ho mai parlato di questa
cose su cui stavo lavorando così tu sei
ottenendo un po ‘stai ottenendo il
versione dopo una prova così probabilmente
sarà un po ‘più lucido e
questo include il codice che è stato archiviato
la settimana scorsa quindi questa è la tua notizia
qui ok, sto andando a visitarne alcuni
pagine mentre il discorso continua ho un
un paio di link lì e sto dando
loro un PDF del discorso non appena è
oltre e se vuoi scriverlo
puoi venire a prenderlo da me dopo
il discorso o se hai ragione veramente veloce
puoi ottenerlo ora, quindi siamo software
sviluppatori che significa che da
definizione scriviamo il codice che memorizza e
gestisce le informazioni di altre persone e
Direi che quelle persone fanno affidamento su
noi per te sai prendertene cura
è più di quanto lo fosse per molto tempo
tempo non è accaduto alla maggior parte delle persone
preoccupati perché sai che le persone si intrufolano
intrufolarsi e guardare i loro
dati che non volevano ma oltre il
gli ultimi anni bene abbiamo fatto sapere
sequenza infinita di problemi di privacy e
hack della carta di credito e social media
perdita e varie cose brutte accadendo
nella misura in cui le persone hanno iniziato
diventare consapevoli di questo problema e quindi
certo che abbiamo avuto il sig. Snowden e
sii onesto sai che ce ne sono molte
conversazioni che stiamo avendo ora che noi
non avrei avuto se il sig. Snowden aveva
non è stato coraggioso e ha deciso di andare
uno-contro-uno contro il governo del
USA, quindi la mia richiesta è che un sacco di
o
la gente comune ha capito che il
Internet è un posto pericoloso e loro
le informazioni sono in bilico
il quartiere era la sicurezza
qualcosa a cui nessuno ha mai pensato
fino a quando non hai sbagliato, ovviamente, tu
è stato licenziato in un certo senso come il tuo base
sysadmin funziona bene quando fai il tuo lavoro
perfettamente nessuno nota ma i tempi
sono cambiato, intendo che abbiamo sempre avuto un
imperativo etico di prendersi cura di
le informazioni altrui, ma penso
in realtà stiamo iniziando ad avere un
le persone imperative sono in realtà
vedendo che conosci una buona sicurezza e
pratiche di privacy come livello aziendale
marketing vince in questo esempio
ti darò le ultime due settimane fa
quella mela ha annunciato che non possono
aprire più a lungo i telefoni di altre persone e
lo hanno strombazzato nei cieli e
c’è stato un grande positivo e negativo
reazioni in tutto il settore e tu
sapere cosa pensi di Apple
Apple sa molto sul marketing
quindi sai se Apple pensa che questo sia un
buona cosa da evidenziando nella loro
marketing penso che dovremmo
probabilmente avrà un po ‘di rispetto per quello
opinione quindi è ora se siamo d’accordo che
è un imperativo aziendale da proteggere
le informazioni della gente contro coloro che
lo raccoglieva e lo usava per
scopi non approviamo bene chi
sono quelle persone ben di iniziare con dei
Certo che ci sono i truffatori il
criminali le persone veramente cattive e io
ama lo sai l’allegro
illegalità di questa pagina che hanno
anche una versione inglese ma quella giusta e
in qualche modo sembra più cattivo in russo
quello che fanno è vendere conti falsi
conti e sai che ti danno il
numeri che sono in vendita da tutti questi
operatori diversi e dove i pixel
sempre grande e grosso su quello scivolo bene il
numeri che sono in vendita e il prezzo
per mille e ovviamente puoi giudicare
la relativa qualità della sicurezza
organizzazioni guardando questo e
vedere quanti account rubati servono
vendita e quale è il prezzo si conosce il
meno sono e meglio è meglio è, meglio è
rispettivamente e ti incoraggio a fare
che è divertente così, ma, naturalmente, un sacco di
le persone che stanno cercando di rubare il tuo
informazioni e le informazioni del tuo
i clienti non sono necessariamente persone cattive
sono solo fuorviati dovremmo dire
troppo ti accorgi che sono per lo più
persone oneste che sono
stanno proteggendo i loro cittadini da
tutti quegli orribili terroristi che sono
là fuori ora probabilmente la maggior parte del
persone in questa stanza e a questo
conferenza live in luoghi in cui il
il governo è ragionevolmente civilizzato e
non devi davvero preoccuparti di loro
verrà a casa tua e la notte
e abbatti la porta e prendi te
via ad un campo ma mentre quello è
probabilmente attraverso a questa conferenza
non è vero nel mondo in generale molto
un’alta percentuale di persone vive in a
luoghi dove se hai conosciuto il
opinioni sbagliate che li tengono privati possono
essere una questione di vita o di morte e di
definizione poiché Internet è un
offerto su scala globale alcuni
proporzione delle persone che usano il tuo
il software vive in posti per
il governo non è l’amico e tu
sapere che è importante rendersi conto che lo è
non è davvero utile, non è uno spreco
di tempo per preoccuparsi del perché le persone lo sono
cercando di ottenere i dati degli utenti se
sono i truffatori o se lo sono
gli agenti del governo che non sono davvero
il tuo business e non è il tuo lavoro
capirli e qualsiasi modo di contare
perché non dicono mai niente
cosa stanno facendo e quindi il tuo lavoro è
solo per proteggere le informazioni, quindi facciamolo
ignora fermamente perché le persone sono
dopo le informazioni e preoccuparsi
proteggendolo ma in realtà forse noi
non devi preoccuparti perché forse se
non stai facendo nulla di sbagliato perché lo fai
hai bisogno di privacy come Eric Schmidt
famoso nel 2009, ora sai di essere
giusto per Eric Scommetto che se lo ha chiesto
a tale proposito, oggi potrebbe perfezionare il suo
rispondi un po ‘dato un po’ di
problemi che Google ha avuto così ma
Lo trovo quando sto davvero parlando
sulla privacy e sicurezza tra
persone normali che non sono geek che ottengo
questo tutto il tempo perché hai bisogno di super
facile per te avere segreti e questo è
solo cazzate è davvero stupido
argomento ma a volte nel mezzo di
la discussione è difficile da ricordare perché
questa è una brutta discussione, quindi lo sono
andando a correre attraverso cinque ragioni per cui
questa è una cosa davvero stupida da dire
prima di tutto il numero delle persone che
stanno lavorando per la sicurezza nazionale
le agenzie sono solo persone che significa
la maggior parte di loro sono ordinari onorevoli
dignitoso persone sottopagate che stanno lavorando
duro e cercando di farti sapere proteggerti
d’altra parte una piccola parte di
qualsiasi gruppo di persone è psico
Passa o storta o stupida o semplicemente cattiva
Significa persone intendo negli Stati Uniti
istituto di sicurezza che conosciamo no
lo so per certo, ma c’è una stima
ci sono forse 100.000 persone 200.000
persone così anche se solo come il cinque percento
di loro sono cattive persone è una bella
numero spaventoso che ottieni e quelle persone
con il potere dello stato dietro di loro
sono in una posizione che mi piace davvero
rovinare la tua vita quindi dobbiamo rispettare
i nostri dipendenti pubblici che stanno facendo questo
tipo di cose ma abbiamo anche bisogno di
controllarli e assicurati che se li
avere idee sciocche che dovrebbero raccogliere
tutte le informazioni che non dovremmo
facilitare questo secondo problema è quello
sfortunatamente è vero che legge
le forze dell’ordine sembrano sempre
sviluppare una sorta di cultura tribale di noi
e loro sono sicuro che alcuni di voi lo sanno
poliziotti e sono perfettamente carini
persone ma tu sai che hanno questo
atteggiamento c’è la tribù di noi e
c’è la tribù delle persone cattive
lì e questo può facilmente uscire
controllo e soprattutto tu conosci l’esta
contro di loro la mentalità può arrivare al
situazione in cui improvvisamente lo fanno
qualcosa come in Tailandia e il
la forza di polizia nell’esercito è improvvisamente il
il governo va bene, probabilmente no
succederà in Danimarca o in Canada
ma lì ti garantisco di averne un po ‘
clienti in posti dove ciò potrebbe
capita e per quelle persone le cose
che avrebbero potuto dire oggi potrebbe diventare
domani fatale se non ce l’ hanno
privacy applicata in modo appropriato così abbiamo
a sapere solo guardare fuori per questo
tendenza tribale l’altro problema
un altro problema intorno a tre è
che le organizzazioni governative vogliono
rimettere le porte e la nostra Reuters e in
i nostri data center e nei nostri bauli e
nelle nostre reti Wi-Fi e così via e a
Alla fine della giornata non c’è tale
cosa come una porta sul retro e il male
ragazzi i veri cattivi sanno che il
il governo sta cercando di rimandare
porte in e loro stanno cercando quelli
gut back doors e li stanno trovando
quindi è davvero pessimo e
non professionale per farlo e loro
lo stanno facendo ed è esasperante e
dovrebbero fermare l’altro il quarto
grosso problema con la sicurezza nazionale
l’istituzione è la quantità di denaro
entrando in esso che è totalmente assurdo
se guardi lo sai attuale
numero di cose brutte e morti che sono
causato dal terrorismo e confrontarlo con
cose come mandare SMS mentre guidi o
problemi con l’ educazione della prima infanzia
e confrontare la quantità di denaro che è
spesi per questo e l’importo speso su
questo è ridicolo è un ridicolo
spreco di denaro non è redditizio
anche se fosse ben inteso quale in
molti casi non è finalmente il massimo
punto importante questo è davvero il più
punto importante sulla privacy che è a
foto della porta di casa di qualcuno che
è chiuso siamo persone fortunate noi
avere il dono di essere membri di un
civiltà che noi e i nostri antenati
hanno costruito ed essere in una civiltà
significa che non devi andare a prendere l’acqua
dal torrente non devi andare e
merda in un fosso in cui vivi in una casa con
pareti spesse e una porta d’ingresso che tu
può chiudere e una volta che la porta è chiusa
puoi fare tutto ciò che vuoi dietro
la privacy non è buona perché consente
certe cose la privacy è una buona privacy
ci fa dormire meglio di notte
noi persone più felici è una ricompensa di base
di essere un membro di una civiltà e
qualsiasi organizzazione che sta cercando di prendere
quel beneficio di base della civiltà lontano
da te dovresti essere orgoglioso di esserlo
ribellarsi fa parte di ciò che abbiamo
guadagnati costruendo civiltà e noi
dovrebbe proteggerlo bene, ecco cosa
pensa comunque così così ce ne sono alcuni
alcuni argomenti per respingere contro quando
senti questa stronzata bene se lo sei
non fare nulla di sbagliato, perché hai bisogno
la privacy fortunatamente non sono del tutto
da solo a maggio di quest’anno Internet
Task Force di ingegneria che è il
organizzazione che costruisce internet
crea tutti i protocolli Internet
ha adottato questo documento ed è questo
il messaggio è molto chiaro ed è giusto
là nell’astratto che dice questo
tutte queste persone cercano di spiare il
Internet da un punto di ingegneria di
la vista dovrebbe essere considerata come attaccante
non ci interessa perché stanno cercando di fare
i loro attaccanti è tutto ciò che sono
e ora hanno un ruolo principale nel
IETF che nessun nuovo protocollo internet può
essere progettato se non includono
contromisure per questo tipo di attacco
ora una delle cose interessanti su
che questo è quello anche se il
La storia di Snowden è esplosa nel giugno del 2013
è stato adottato solo a maggio 2014
pensato a questo e discusso su di esso
e
lavorato per 11 mesi e se tu
leggi il documento ce l’ha molto
considerazione equilibrata dei problemi così
questa non era una dichiarazione affrettata
è una dichiarazione attenta da parte delle persone che
stanno costruendo internet del futuro
e penso che dovremmo salutarli e io
pensiamo che dovremmo aiutarli ed essere presenti
Da parte loro, supponiamo che siamo tutti d’accordo
va bene, supponiamo di essere noi
tutti d’accordo vorremmo aumentare la privacy
aumentare la sicurezza e quel genere di cose
quindi purtroppo un sacco di software
gli sviluppatori non vogliono avvicinarsi a questo
roba perché ha due grossi problemi
due cose che davvero non ci piacciono
con uno è davvero difficile la matematica e il
la seconda è la politica, quindi ne ho un po ‘
buone notizie e alcune cattive notizie il bene
notizia è che non si ha a che fare con
la maschera veramente dura che è tutto dentro
le librerie delle librerie sono piuttosto alte
qualità puoi semplicemente usarli e
faranno la cosa giusta la politica
purtroppo la politica fa parte di
la realtà non puoi andartene e moltissimi
la gente del software non fa politica è a
passo fondamentale io lo sai che non voglio fare
che roba bene mi dispiace che tu sappia se
ti allontani e il declino di fare politica
hai abbandonato il diritto di lamentarti
quando la politica per la tua nota in un modo
non ti piace ancora una volta come a
conseguenza di essere nella civiltà
abbiamo il diritto di dimostrare che il nostro
legislatori quando stanno per adottare
stupide politiche sulla privacy e dire loro di no
è sbagliato e se non lo siamo
abbastanza convincente possiamo provare e
sbarazzarsi di loro e ottenere migliori legislatori
quindi sai che incoraggio tutti a farlo
fai quello sgradevole anche se molti di noi
trovalo e in realtà conosci la politica
molte persone lo trovano un po ‘divertente una volta
entraci e quindi siamo d’accordo
andando a cercare di aumentare la privacy
livello diamo un po ‘di farmi iniziare
dandoci alcuni termini per parlare
termini ed ecco come penso alla privacy
di questi giorni significa una privacy di base
che sai che posso usare il mio portatile in a
caffè o nel mio ufficio e io non devo
preoccuparsi che qualcuno è si sa deve
Wi-Fi e non devo preoccuparmi troppo
e qualcuno ha hackerato il router e io
non preoccuparti che il sito sia
parlando con il nostro testo in modo semplice così
chiunque può solo comprare su questo ora questo
è il tipo di cosa che ottieni con a
implementazione competente e utilizzo di HTTPS così
questo è fondamentalmente questo è il tipo di
cosa che se non stiamo offrendo il nostro
utenti che stiamo fallendo nel nostro professionista
responsabilità
la privacy comune è ciò che pensiamo
di quello che abbiamo nelle società civili
che è quell’informazione che è conosciuta
essere i nostri non può essere mostrato agli altri
persone senza il nostro consenso, a meno che
ci sono certi processi giudiziari
sapere se la polizia si convince
che sto contrabbandando bombe o bambini
pornografia o complottare per uccidere il mio capo
o qualcosa del genere allora sì loro
andrò a giudicare l’ otterrò un
mandato di perquisizione verranno a casa mia
e perquisirono la mia casa che apriranno
andranno su google e diranno che c’è un
mandato di perquisizione mostraci la posta che faranno
prendi la posta e penso che la maggior parte di noi sia
tipo di va bene con quello in civilizzato
società che sai che devi avere
processi giudiziari per investigare e
prevenire i crimini, tuttavia ce ne sono due
i problemi uno è come ho sottolineato a
una parte sostanziale dell’umanità
non vivere in paesi dove loro hanno
che tipo di sai, quindi lo sai
processo civile e la polizia se ne va
e guarda dove vogliono senza
chiedere il permesso e in secondo luogo come ed
Snowden ha dimostrato il governo
le organizzazioni sono uscite dai binari
e hanno adottato la posizione che noi
avere il diritto di avere tutti
informazioni su tutto solo fiducia
noi no, non è così forse la privacy comune
che dovrebbe essere abbastanza buono in a
la società civile non è abbastanza buona così
la forte privacy è un livello più alto
la privacy è dove sai che puoi essere
sono sicuro che nessuno vedrà mai il tuo
informazioni non il tuo governo non è il tuo
il provider di posta elettronica non è il tuo ESP solo tu
dove tutto è criptato tutto
tempo e parliamo di come potremmo
arrivare lì per iniziare con abbiamo alcuni
migliori pratiche che possiamo iniziare a
includere e mi sento imbarazzato quasi dentro
2014 che devo ancora venire a
conferenze e dire usare HTTPS si conosce I
usato per chiedere uno spettacolo di mani quante
la gente usa sempre HTTPS e
quanti non lo sono ma non ci credevo
li penso che le persone stessero mentendo, lo sai
c’erano mani che salivano, quindi se lo sei
non utilizzare HTTPS tornare dopo aver ottenuto
casa della conferenza vai nel tuo ufficio
e fissare un appuntamento con il tuo legale
persone con gli avvocati della compagnia e voi
vai dagli avvocati della compagnia che dici oh
il modo in cui stiamo operando in una modalità in cui
chiunque può spiare ciò che i nostri utenti sono
facendo, volevo solo essere legale
approvazione che va bene per noi
che potresti avere una sorpresa
c’è un sai che sono inorridito e vado a
grandi siti web universitari e ho messo HTTPS
di fronte all’URL e ti spezza
so che il sito web si rompe vado al mio
scuole per bambini e andare al computer
laboratorio e stanno eseguendo tutto questo
applicazioni educative in testo semplice
qualche cattivo ragazzo potrebbe essere seduto nella sua auto
nel parcheggio fuori dalla scuola
eseguire uno sniffer Wi-Fi e sta andando
per scoprire tutti i tipi di cose
sono tutti i bambini di quella scuola
cominciando a pensare che ci stiano andando
per essere alcuni casi giudiziari catastrofici enormi
dove entrano i normali costruttori di app
difficoltà perché cadevano
sulla loro responsabilità di base per eseguire un
modalità crittografata ma sai che ascolto
la gente dice bene che sai che le mie cose sono
solo una brochure pubblica dove vorrei
voglio crittografarlo o sai che sono persone
dovrebbe avere scelte perché dovrei imporre
crittografia sulle persone o denaro caustico a
scrivi per ottenere un certo che sai girare
HTTPS su cazzate, voglio dire che è così
solo che non è accettabile
argomento nel 2014 e le modalità di fallimento sono
asimmetrico si sa che fornisce segretezza
quando non ne hai avuto bisogno nel frattempo io
speso un po ‘di soldi extra non fornendo
segretezza quando ne avevano bisogno forse io solo
Intendo Wikipedia in questi giorni Wikipedia è
offerto di default in HTTPS è quello
insano no, certo che non è pazzo
Supponiamo che tu conosca un gay
Uganda che è preoccupato solo per la cattura
una malattia a trasmissione sessuale che conosci
se qualcuno ti cattura su Wikipedia
osservandolo potresti trovarti
con la tua vita rovinata wikipedia dovrebbe
offrire off operativo solo su HTTPS e
è davvero difficile prendere una decisione
quando è appropriato alla privacy è
incredibilmente contestuale conosci qualcuno
in un bar e ordinaci, sai guardare
informazioni su sessualmente
le malattie trasmesse non ne stanno prendendo
rischi in modo che tu sappia o meno la privacy
l’approccio è appropriato è molto
decisione complessa e difficile basata su
dove sei chi sei quello che sei
facendo quando lo fai chi c’è in giro
tu ed è facile prendere la decisione
sbagliato, quindi non prendere la decisione
perché dovresti chiedere alle persone di farle
decisioni complesse di vita delle importazioni quando
le possibilità di farlo bene non lo sono
così bene basta eseguire tutto in un privato
modalità crittografata tutto il tempo e hai
eliminato
questo problema perché non lo faresti?
e sai non lamentarmi di me
il costo di HTTPS è possibile ottenere un singolo
certificato di dominio per meno di dieci dollari a
anno è possibile ottenere un certificato jolly per
meno di cento dollari all’anno se tu
avere abbastanza soldi per ottenere un nome di dominio
e fai esplodere un’istanza di ec2, dannazione
beh, ho abbastanza soldi per averne una certa
inizia a eseguire HTTPS in modo tale da iniziare
facendo così ok mi dispiace di averne un po ‘
sconvolto perché c’è ancora
troppe persone non lo fanno
uno spingere indietro contro questo che sento
è in realtà un po ‘sottile e
pericoloso e questo è in realtà da
persone che sono reali reali di sicurezza reale
esperti in realtà comprendi HTTPS
e quanto è facile sbagliarlo
e cose del genere e loro sono
familiarità con le carenze ora in
Infatti c’è del vero in quello che dicono
HTTPS è imperfetto nel senso che lì
sono molti modi diversi che puoi
rovinare la distribuzione così anche se
ce l’hai sai che c’è facile trappola
le porte e le persone possono aggirarle
hanno anche ragione che il certificato
il business delle autorità è completamente rovinato
un orribile, corrotto e disorganizzato
e solo in generale sono sbagliati
riguardo alla NSA, la NSA non ha effettivamente
HTTPS incrinato un programma che Snowden aveva
Snowden, lo sai, lo ha chiarito molto chiaramente
ya sanno che non possono rompere il crypto che
incrinato l’ endpoint così sai che siamo
preoccupato per gli endpoint e quindi il
l’ultimo punto è in realtà piuttosto buono
lui dice che sai non dovrebbe promettere
la sicurezza assoluta delle persone perché tu sei
non offre davvero una sicurezza assoluta
lo sai che sono lì, non ce n’è
cosa come la privacy assoluta che qualcuno può fare
passa sempre se vuoi davvero
essere completamente istruito su come
è facile rompere la sicurezza che c’è
questo grande travestimento dalla Nuova Zelanda e
è come una grande presentazione di diapositive
su tutti i molti molti molti diversi
modi in cui puoi rovinare la tua sicurezza e
lascia il cancello aperto per i cattivi per ottenere
e in realtà ti incoraggio a leggere
perché è educativo ed è
deprimente ma è anche divertente
ma tu conosci tutti i diversi modi in cui tu
può rovinare il tuo cripto ad un altro bene
uno è questo ragazzo di Microsoft che io
ama la sua colonna, scrive una chiamata e
regolarmente penso che alla fine si sia fermato
è un peccato e lo sottolinea quando
stai pensando anche alla privacy
pensa all’avversario e
usa il Mossad israeliano come esempio e
dice che sai se il Mossad pensa
stai tramando di far saltare in aria Gerusalemme
Crypto non ti aiuterà nel modo giusto
lì che sai se tutto il resto
si intrufoleranno nel tuo ufficio e metteranno
una fotocamera dove posso guardare la tua tastiera
e il tuo schermo sempre e poi
conosci tutta la cripto del mondo
non ti aiuterà e così tu vieni
Tornando alla domanda, non possiamo
in realtà sai essere sicuro
sicurezza quindi dovremmo essere sostenitori di essere
sicuro per niente e penso che questo sia un
sintomo di un modo di pensare sbagliato
a riguardo alla fine della giornata
è una questione di economia che conosci noi
avere un detto in inglese non lasciarlo
il perfetto sia il nemico del bene e
è davvero sbagliato pensare alla sicurezza
come accendere e spegnere la sicurezza è così
comporre e ogni volta si accende il dial up
ogni volta che aumenti il
proporzione del traffico che è
criptato ogni volta che sai di adottare
autenticazione a due fattori ogni volta che si
Riduci la superficie d’attacco che cambi
l’economia della sicurezza è l’unica ragione per cui
l’NSA può eseguire la scansione di tutto perché
è stato trasmesso in chiaro
testo e il costo di elaborazione di ciascuno
l’unità è essenzialmente zero l’unico modo
quei ragazzi all’asse xe ottengono tutti quelli
indirizzi email è perché tutte le cose
andare avanti e indietro in testo normale
ci sono così tante cose su internet
che se è possibile aumentare il costo di
elaborando un pezzettino di intercettazione
a qualsiasi importo diverso da zero che nessuno può permettersi
nessuno può permettersi alcuna quantità di volte
la quantità di cose su internet così
ogni volta che si distribuisce la privacy
tecnologie aumenti il costo di
alcuni tipi di attività criminale e
alcuni tipi di sorveglianza governativa
attività e diventano economici e
la gente smette di farle e noi miglioriamo
Internet quindi cosa dovremmo fare
lo sai per quelli di noi che lavorano
ottimizzazione del sistema cercando di fare
le applicazioni corrono più velocemente lo impari
tutto quello che puoi fare è spostare il
collo di bottiglia intorno a destra trovi ciò che è
andando piano lo aggiusti e poi
tutto scorre veloce, trovi cosa
altrimenti sta andando lento è allo stesso modo
con la privacy scopri dove e il mio
nel mio sistema ci sono perdite di privacy
aggiustalo e poi cos’altro è il mio prossimo
punto della settimana quindi andiamo a sistemarlo
incrementale quindi cerchiamo di fare che ti permette di
solo sistematicamente andare in aumento
la privacy della parola
quindi se hai intenzione di usare HTTPS, ho un
un paio di buone pratiche che sono
iniziando a diventare evidente che tu
dovrebbe pensare di applicarne uno
tutti dovrebbero smettere di usare sha-1 questo
è ciò che in realtà viene di default con
molti dei certs che ottieni ed è
non è stato rotto ma ci sono
attacchi matematici nessuno in modo che tu
può rompere questo usando una quantità di
risorse su Amazon ec2 che costerebbe
da due a quattro milioni di dollari quindi se
è costato a 24 milioni quest’anno
sarà di uno a due milioni il prossimo anno
e sai che adesso escogitolo per fortuna
non è così difficile che ti sei trasferito a sparare
è facile questo particolare articolo del blog
ha istruzioni su come farlo
praticamente tutte le infrastrutture e
hosting provider e così via sono impostati
funziona solo così basta andare avanti e fare
in ogni caso devi farlo che non lo fai
avere qualche scelta perché iniziare dopo
anno Google per iniziare andando a mettere poco
punti interrogativi accanto al lucchetto nel tuo
HTTPS se sei nel tuo browser se
stai ancora usando sha-1 così davvero
bisogno di salire su questo l’altro
che sto iniziando a sentire molto rumore
su di esso è un po ‘più sottile è il
nozione di appuntare certs ed ecco un
esempio di codice sorgente che non ho scritto anch’io
molto tempo fa per recuperare alcune cose dalla chiave
base ed è roba HTTP molto classica così
Apro una connessione a HTTP HTTPS
basato su una chiave I oh e faccio una query e io
vai a fare qualcosa di riposante contro di essa
quello è da un’app Android sono sicuro che
una percentuale molto alta di persone
la stanza ha app per Android sono sicuro che
quasi quasi il cento per cento di
le tue app Android hanno il codice proprio come
che dentro di loro così l’indizio se si guarda
a questo è che il nome host effettivo è
collegato direttamente al codice sorgente e
questo è un allegato che è un buon esempio è a
buon motivo per pensare aspetta un secondo
c’è una evidente debolezza
lì così per farlo davvero
la dichiarazione che cosa sta per fare è che è
andare al DNS per trovare una chiave
basato su I / O e poi andrà
e ottieni il certificato e confrontalo con a
grappolo di praticamente tutto il cert
autorità nel mondo, tu sai che vede
quello che dice la tuta andrà a chiederlo
già serio e deciderà di
credici o no e prima di tutto il
dns non è a prova di proiettile al 100% e
in secondo luogo, il business dei cert è totalmente
non al 100% a prova di proiettile e c’è un modo
puoi aggirare ciò che è dire
che la ricerca che ki bhi o offre è
ben noto e sono basati su a
chiave privata che
ki bo ha e piuttosto che farlo in questo modo
puoi dire no no no non disturbarti
controllare il DNS non si preoccupa di controllare
la tuta ne conosco la chiave pubblica
usano così sto andando al hardwire
il mio mio codice di applicazione direttamente a quello
ed ecco un fantastico blog dal
Moxie Marlinspike che è uno dei migliori
ricercatori di sicurezza che ti danno esattamente
dettagli su come farlo e in
particolare nelle tue app mobili dove
la tua gente non sta digitando gli URL
L’URL è collegato direttamente all’app perché
vuoi passare attraverso non ho in realtà
ho studiato questo, ma la mia intuizione è quella
questo potrebbe anche migliorare le prestazioni
giusto perché non stai facendo la cert
trucco incatenante e quel tipo di appiccicoso
stai solo controllando a
particolare chiave pubblica cablata ciao a
tutto quello che non ho controllato ora c’è
puoi andare fino in fondo e collegare direttamente
alla chiave pubblica se la persona che è
offrirlo forse è un po ‘troppo
estremo per te l’altra cosa che puoi
è possibile andare e la maggior parte dei siti
dirà bene che il nostro certificato proviene da questo
particolare autorità di certificazione e tu
puoi anche configurare la tua app in modo che tu
accetta solo la loro autorità di certificazione
o uno o due altri entrambi
le cose vanno meglio del modo attuale
di farlo e controllarli anche se
stai offrendo una API è così
indirizzato un po ‘nello stile di te
dovrebbe prendere in considerazione la pubblicazione del certificato e
la tua chiave pubblica in modo che le persone possano farlo
questo e pin i loro clienti al tuo
server quindi pensaci che è un
buona idea va bene parlando di rimozione
classi di problemi che dirò a
poche parole sul fattore della maggior parte delle persone
chi è in questa stanza spero lo sia già
utilizzando due fattori per il tuo google e
Microsoft e Steam e così via
voi ragazzi siete come i dottori in
Ospedale di Ebola devi essere davvero
specialmente attento che non capisci
perché se lo prendi sei attivamente
trasmettendolo a due persone innocenti
per favore, tutti all’inizio dell’attività
usando due fattori adesso adesso se tu
non sono abituato a considerare il modo in cui funziona
è a volte quando effettui il login insieme a
la tua password ti invierà un SMS
e dite di sapere digitare questo codice ma
non farlo se stai effettivamente usando
a due fattori è una pratica molto migliore
andare
per esempio, usa google per ottenere google
app autenticatore ed è solo accesa
il tuo cellulare e ti dà il numero e
il tuo tipo nel numero e tu entri
in questo modo non dipende dagli SMS
connettività e non dà soldi
alle cattive compagnie telefoniche per te
so gestire milioni di smss e anche
si scopre che questa cosa è sua
le interfacce sono documentate e se tu
potrebbe voler considerare l’offerta
autenticazione a due fattori per il tuo
app e puoi farlo effettivamente usando
google authenticator non è banale
ma non è scienza missilistica, piuttosto è
non è così difficile da capire funziona su iPhone
e iOS e Windows Phone adesso
oggi così così così pensare di farlo
l’ altra cosa è che è Google
Authenticator è anche un’app open source
quindi potresti farti sapere se tu
conosci un’azienda di camion o
qualcosa del genere puoi fare il tuo
proprio marchio privato di marca
autenticatore e darlo alle persone
chi vuole autenticarsi a te e ad esso
funzionerebbe bene e tu ti conoscerai
potrebbe aver notato che non importa come
grande la tua password è qualsiasi banca nel
il mondo ti darà i soldi per un pezzo di
plastica e quattro cifre che conosci
modello di sicurezza di base intorno a due fattori
l’autenticazione è solo meglio di per
ogni singolo fattore quindi questo è qualcosa
questo è davvero un valore
attenzione oh scusa, io ci sono il
vero codice google authenticator giusto
quindi un altro modello di due fattori
autenticazione che potresti voler pensare
circa è qualcosa come questo che è un
La cosa di Yubikey ed è interessante
dispositivo ha un USB e un NFC su di esso
così lo farà in realtà creerà
le coppie di chiavi faranno come si chiama
quel protocollo T 0 th qualcosa del genere
per il login assistito quindi è un altro
efficace a due fattori dicendo questo
l’action model ha una spilla che digiti dentro di te
puoi ottenere un altro modello è così
permanentemente nello slot USB e semplicemente
toccalo per dire che sì sono un vero umano e
Sono qui e loro e anche loro possono
essere utilizzato con dispositivi mobili si tira
sul retro del dispositivo mobile e
puoi fare cose come con LastPass tu
puoi entrare attraverso la tua password
il manager attraverso è in realtà un bel
modello oops mi sto dietro nel mio
diapositive c’è quel prodotto ma c’è
in realtà un’organizzazione chiamata Fido
che sta cercando di sviluppare uno standard per
queste cose al momento sono queste
un po ‘ caro
questa cosa è 50 dollari e questo è abbastanza
costoso ma se lo stavi usando per a
vasta gamma di app che potresti essere tu
conoscere un costo accettabile e inoltre
mentre entriamo nella produzione industriale sono
sicuro che il costo scenderà
queste cose vanno bene quindi ce ne sono alcune molto
qual è il mio tempo a che ora suppongo
per smettere di 30 minuti stai scherzando okay
in lui beh, avremo tempo per
parlo che sto andando troppo veloce okay quindi io
avrebbe dovuto dire dal momento che questo pubblico è
piccolo sai che possiamo farlo
interattivo e qualcuno vuole
dimmi di cambiare marcia e parlare
d’altro qualcuno lo vuole
fare domande o obiettare o non essere d’accordo
con tutto ciò che ho detto finora non si
si pratica intorno alla rotazione delle chiavi
soprattutto mi piace vedere il problema
sì, questo è ciò che sai
dire che il vero rischio è se
tu se lo leghi a una chiave privata il
il rischio è che la chiave privata venga compromessa
e così da morire, tutti lo pensavano
era un rischio molto basso ed è ovviamente un
rischio non zero ora se ciò accadesse allora
questo significa che devi aggiornare tutto il
app mobili di cui stavo parlando
il mio keynote può essere un po ‘doloroso
dopo aver detto che sai che devi fare
la tua sicurezza sei più preoccupata
sulla rottura del certificato in una CA.
sistema o sei più preoccupato
avere la tua chiave privata compromessa
pensa di conoscere le persone che stanno correndo
conosci bene le cose che affronto il web
probabilmente sarebbe più preoccupato di vedere
un peccato di rottura su di te sa di avere il mio
la chiave privata viene rubata, ma lo sai
dovrai fare quell’analisi
per te è per questo che Moxie
Marlinspike ha detto bene se questo ti spaventa
che invece fa spaventare alcune persone
di quello basta andare e limitare il numero
di ricerca che accetti tu sai dire
che conosco quella chiave basata su Io cert
viene da questo un particolare dire e
Non ho intenzione di prenderle certe
veniamo a meno che non provenga da quella CA
e questo è un utile passaggio intermedio
ce n’era un sbrigativamente sì, così no
avere una domanda ma voglio che tu vada
torna a https per un secondo mi sentivo come
non eri abbastanza forte del tuo
incoraggiamento e la ragione di ciò è
non solo per proteggere il
anche le informazioni che vengono inviate
stato rivelato che è molto, molto semplice
attaccare le persone usando attacchi di iniezione
se non si utilizza HTTPS in modo che https non lo sia
non solo per la sicurezza di
comunicazione ma anche riguardo al
integrità della comunicazione e
questo è uno dei modi in cui l’NSA e
altre agenzie stanno usando su larga scala
materia automatizzata in valenza e massa
attacco quando è possibile ottenere zero
dollaro quindi è abbastanza facile che tu lo sappia
cosa in realtà non credo che io id0
dollaro certs prima di tutto alcuni di loro
semplicemente non funziona ok e sai anche tu
è come comprare canzoni per 99 centesimi
sai che i battiti di convenienza sono gratuiti, sai
se vai, io / io uso personalmente un sito
chiamato SS LS calmo e non ne ho
affiliazione commerciale con loro ma
le loro interfacce utente sono davvero belle e
è davvero facile e offrono meno
di dieci dollari all’anno e dicono oh
anche tu cos’è che server sei
correndo sai che sto usando Apache x
punto y che ti dà sapere
gli screenshot fanno questo e poi fanno questo
questo poi fai questo che non puoi assolutamente ottenere
è sbagliato sai così sì okay forse io
Potrei risparmiare una decina di dollari l’anno ma io
pensa per la maggior parte della gente lo sapevi che è
probabilmente più economico nel lungo periodo per pagare
per questo sì sì bene, quindi ho bene
notizie che sono molte persone
abbastanza interessato a HTTP per conoscere il
prossima versione di HTTP che sta arrivando
ed è un po ‘più veloce in basso
latenza latenza inferiore e superiore
rendimento e sia cromo che firefox
hanno dichiarato che se si desidera utilizzare HTTP
devi usare TLS che non stanno andando
per supportare il testo in chiaro HTTP ad ora Safari
e cioè stanno dicendo oh non so
che alcuni dei nostri clienti aziendali
sai che vuoi l’uomo nel mezzo
i loro impiegati quindi è piuttosto un
discussione interessante così almeno io
pensa che la pausa II sia d’accordo
tipo di sfortunato che quello che tu
descritto ma almeno penso che il
i browser si stanno muovendo meglio
direzione okay, torniamo a questo
diapositiva in cui ho parlato la privacy
livelli e cose di cui stavo parlando
circa ora su HTTPS e per fattore e
signore e quel tipo di cose sono
fondamentalmente progettato per darti qualcosa di comune
privacy perché non dimenticare i tuoi dati
è ancora seduto in chiaro a
Microsoft Yahoo a Google Facebook tu
conosci linkedin e conosci il
i criminali potrebbero rompere quei ragazzi e il
il governo potrebbe hackerare quei ragazzi o
entrare con una lettera di sicurezza nazionale
e forse vogliamo di più forse in realtà
voglio una forte privacy che cosa significhi
i dati devono essere crittografati quando sono
andare oltre il filo deve essere
crittografato quando è al resto del
server ed è solo non criptato quando
si sta effettivamente interagire con esso su
lo schermo del tuo dispositivo è ok
possibile assolutamente è difficile sì
ma in realtà non è così difficile e lo farò
parlarne ma ne porta alcuni
i costi la pensano dal punto di vista
di Google se hanno eseguito gmail e terminano
non crittografato, quindi è stato effettivamente crittografato
a riposo nel server prima di tutto loro
non saprei cosa fosse la posta così
non potevano mostrarti le migliori pubblicità per
tu sai quali sono i pasti che potrei
viverci, ma significa anche loro
avrebbe molto più difficile combattere il tempo
lo spam si sa che il team è molto spam
in realtà piuttosto buono e dipende da
essere in grado di guardare il messaggio e
vedere se è un ragazzo dalla Nigeria
offrendoti 50 milioni di dollari in oro
e se è tutto criptato allora lo sai
non possono farlo, quindi sono reali
costato così penso che tu lo sappia
essere sicuro di concludere che Google lo farebbe
non considerare mai di fare una cosa del genere
tranne che sono così Google sta spingendo
questa cosa si chiama end-to-end che è
sta per essere un plugin per Chrome che usa
crittografia a chiave pubblica molto solida
la tecnologia per fare esattamente esattamente
di cosa stavo parlando, quindi è tutto
crittografato ogni volta che è in movimento
ogni volta che è in riposo l’unica volta è
non crittografato è quando è sul tuo
schermo ora il fatto che questo B è stato
fatto con JavaScript ne crea un altro
intero complesso di problemi che io
potrebbe facilmente passare altri 45 minuti
parlando ma ma ancora questo è un
molto interessante e positivo
direzione e chiaramente
sai che questo è il genere di cose che
Apple stava parlando per sapere se
Apple e Google lo stanno dicendo
sai ti preoccupi dei tuoi clienti
meno è una mela e Google si preoccupa
i loro clienti se stai facendo qualcosa
che ha davvero un impatto molto alto
le vite delle persone non dovresti essere
considerando l’offerta in questo livello di
la privacy non dovrebbe essere in considerazione
offrendo la crittografia a riposo tutto il tempo
supponiamo che tu voglia fare ciò che fa
devi fare bene la prima cosa che tu
è necessario conoscere qualcosa
chiamato openpgp che è la base di
quasi tutto il popolare ampiamente schierato
crittografia a chiave pubblica descritta da RFC
4880 che in realtà non è male puoi
in realtà leggerlo se sei un computer
programmatore e rendilo sensibile
descrive come funziona openpgp
si presuppone che tu capisca la chiave pubblica
crittografia a chiave privata presumo che
settantacinque per cento della popolazione
questa stanza effettivamente capisce il pubblico
concetto chiave, quindi chiederò il tuo
perdono mentre spiego le basi
all’altro venticinque per cento del
le persone nella stanza perché è in realtà
non che complicato la nozione di
La crittografia a chiave pubblica privata è la chiave
che hai due oggetti matematici
solo pezzi sai due pezzi di bit
e sono collegati insieme e loro
sono lì per chiamare la chiave privata e a
chiave pubblica e ci sono un infinito
numero disponibile e il tuo computer può
renderli il tuo telefono cellulare può farli
in realtà quel piccolo Yubikey che ho sollevato
può effettivamente farli non è non è vero
è che è possibile farlo così chiunque
può avere una coppia di chiavi private della chiave pubblica
e a causa di alcuni davvero fantastici
magia matematica hanno questo forte
rapporto di cui conosci te
conoscendo il pubblico che non puoi scoprire
il privato e loro criptano e decodificano
inversamente cripti questo
decodifica qual è l’altro privato di
pubblico o pubblico a privato e l’idea
sai che condividi la chiave pubblica
con il mondo e tu tieni il privato
chiave molto sicura chiusa a chiave e mai
mai condiviso con nessuno e che cosa
significa che puoi fare queste cose se io
cripta se trovo la tua chiave pubblica e
chi so che qui c’è l’Adrian
quindi se cifro qualcosa con Adriano
chiave pubblica e inviarlo ad Adrian
e-mail ordinaria, chat di facebook qualunque
allora so che solo lui può leggerlo
perché solo lui ha la chiave privata okay
inoltre se invio qualcosa a
Adrian I può anche crittografarlo con
Ho una chiave privata e poi Adrian può
lo decrypt con la mia chiave pubblica così può
chiunque altro abbia la mia chiave pubblica che
sono tutti ma sanno che solo io
avresti potuto inviarlo e tu puoi fare entrambe le cose
puoi criptarlo prima con il mio privato
chiave quindi con la sua chiave pubblica e poi
solo adrian può leggerlo e solo un i
avresti potuto inviarlo è puro
la magia matematica è una delle nostre
la migliore squadra di successo intellettuale
ogni volta che lo guardo sono solo meravigliato
per quanto riguarda l’intelligenza, non vado
e dal modo in cui questo è quello che HTTPS
HTTPS si basa su questa tecnologia
Non ho intenzione di prendermi il tempo per fare un
immersione profonda e come funziona davvero
ma c’è questo fantastico sito web che puoi
trovalo digitando i primi
millisecondi di una connessione HTTPS e
in realtà entra nei dettagli ma esattamente
cosa succede in quali messaggi tornano
e via e qual è la massa e come
funziona tutto e chiunque sia pari
un po ‘geek credo che lo troveremo
davvero bello trovare ciò che realmente in realtà
succede veramente quando HTTPS va così
l’intera nozione è che abbiamo le chiavi private
in chiavi pubbliche e abbiamo crittografato
messaggi ora noto quel computer
i programmatori non sono così pazzi
astrazioni così avrei pensato di mostrare
quello che c’è è quello che sembra una chiave pubblica
come se ci fosse un formato binario nativo ma
questo è davvero imbarazzante da trasmettere
Internet così quasi le leghe fanno loro
essere trasmesso in giro in questo ascii
formato e se ne usi effettivamente uno
crittografare un messaggio c’è ciò che il
sembra un messaggio e quindi dici whoa k
forse voglio fare questo ciò che il software fa
ho bisogno quindi risulta che c’è in realtà
un bel po ‘di software là fuori e
e la maggior parte è abbastanza buona probabilmente
sorta di software il software di base
che è venuto prima e tutto il resto ha
referenziato è identificato proprio lì
in quel commento che è un nuovo PG il
nuovo guardiano della privacy e questo è molto
grande e completa suite completa di
software di crittografia è un grande grande glob di
c ++ ed è in circolazione da molto tempo
e funziona è molto affidabile molto
ampiamente fidato nel settore e su
Mac e
Windows e sistemi con linux aromatizzato
ha uno strumento da riga di comando molto dignitoso se
ti piacciono le linee di comando che conosci gpg
e crypt gbg decrypt gpg elenca le cose
come quello, naturalmente, civili ordinari
le persone che non sono geek non useranno mai a
ha anche una GUI in
sia in tutti quei casi che è ok tu
non so male ma ancora non lo so
adatto per i civili non direi
ma sai che non è colpa loro se lo è
maledetta Apple e Microsoft e il te
conosci Debian e Ubuntu e così via
la squadra dovrebbe semplicemente mettere dei bei ragazzi
su questo e metterlo a destra nella
sistema sono questi ragazzi hanno fornito
buone librerie di basso livello il loro lavoro è
fatto, ma si sa, anche se non sei
correndo a quel livello basso, se lo sei
costruire app su binari per esempio lì
è un PGP aperto su Jim lo sai un bel
chiamate semplici come qui è un messaggio
Ecco una chiave per crittografarlo facilmente
capisci se sei in Python ora sono
non proprio un conoscitore del Python
ecosistema ma ho digitato sai Python
ooh PG e quello fu il primo risultato
quello è venuto fuori presumo che sia probabilmente buono
nell’ecosistema dei nodi c’è un buono
l’implementazione sembra essere abbastanza buona
considerato se sei in Google
il linguaggio è pulito
implementazione di openpgp quindi nella maggior parte di
gli ecosistemi in cui vuoi vivere
è in realtà piuttosto semplice da
fai questo le API ci sono e loro
lavoro e poi veniamo a Java e in
java abbiamo questa cosa chiamata rimbalzante
castello che è molto grande molto grande
vecchia suite di software che fa
tutto ciò che potresti mai desiderare
a che fare con la crittografia e la sua api lo è
scritto dai nazisti dall’inferno, lo sai che è
è il peggior tipo di fabbrica Java
roba fabbrica fabbrica che tu
può immaginare e ci sarebbe
mai essere una cosa come una semplice chiamata
ecco un messaggio ecco la chiave per favore
e per favore decifralo no non potevano
fai quello che sai prima tu come avrò
alla fabbrica per fare la fabbrica allora il
cosa per chiamare questa cosa per aprire il
flusso e l’altra cosa da osservare
il flusso e il e e in questo
particolare progetto sto lavorando su questo
ti mostrerò che c’è questo pezzo di
codice java con 34 classi in 10.000
linee fornisce uno strato sopra
castello gonfiabile in modo che tu abbia effettivamente
un’API che puoi usare
quindi sai che ce l’abbiamo probabilmente
abbastanza bravi hacker Java in mezzo alla folla
qui sai se qualcuno voleva fare un
un vero servizio pubblico sarebbe da fare
una sorta di strato standardizzato sopra
castelli gonfiabili così che tu sappia ordinario
i semplici programmatori mortali potevano davvero
usalo l’altra brutta notizia è quella rimbalzante
il castello è apparentemente vicino come posso dire
la migliore opzione in.net pure così comunque
quindi supponiamo che tu abbia comprato questo
hai intenzione di avere i tuoi dati crittografati
a riposo ti offrirai forte
privacy per i tuoi utenti quindi cosa fai
devi fare per questo per lavorare devi
fai tutti questi passaggi ora ottenendo chiavi e
archiviarli in realtà non è così difficile da parte tua
sapere che c’è c’è ragionevolmente bene il
il codice è lì è lì da anni
è davvero facile è come un sistema
call call 11 API call fai una chiave e tu
devo raccogliere alcuni pezzi di
informazioni da parte dell’utente ma ho visto
un sacco di buone interfacce utente per questo così
in realtà non è difficile e quindi in movimento
loro intorno alle persone che sono
bigotti della privacy che pensavano che la privacy fosse un
L’ interruttore 0 o 1 era totalmente
paranoico sulle chiavi private tutto ciò che devi
non inviare mai la tua chiave privata su
rete e deve sempre essere su un quantum
dispositivo crittografico con pozzi in titanio tre
piedi malati e così via bene ne conosci uno
cosa su gabbie private sono sempre
protetto da una frase di passaggio e il
conseguenze di qualcuno in realtà
avendo la tua chiave privata non lo sai
in realtà è terribile , è difficile per te
so che è abbastanza sicuro che mi muovo personalmente
le mie coppie di chiavi pubbliche private my p
in giro mettendoli nella casella personale sì
supponiamo che Dropbox possa essere hackerato ma tu
sa così che cosa non sembra così
profilo di rischio più grande per me, naturalmente, allora
hai bisogno di buoni strumenti per crittografare e firmare
il messaggio e per decrittografarli e
in realtà ti mostro uno di quelli in a
un po ‘in realtà non è terribile
tutto ciò non è un vero enorme grafico
sfida dell’interfaccia utente che lascia
questo e stranamente questo è un po ‘strano
di essere il grande ostacolo il
unico grande ostacolo che ha
impedito l’adozione diffusa di
forte cripto sai che voglio inviare
qualcosa ad Adrian come trovo
La chiave pubblica di Adrian, intendo, lo abbiamo avuto
Snowden è emerso per la prima volta che ha mandato una mail
al Glenn Greenwald dicendo che lo sai
qual è la tua chiave pubblica e Glenn
Greenwald ha detto cosa è uno di quelli
e così la teoria originale della gente
chi ha costruito questo software è stato così
avremmo imparato a scoprire che le chiavi pubbliche erano a
cosa chiamata la rete della fiducia
quindi potresti davvero stare insieme
fisicamente con qualcuno e lo farebbero
fare una cosa sul loro sulla tastiera che
firmi la tua chiave pubblica e lo sai
se mi conoscessi e mi trovassi insieme
Adrian e Adrian mi mostrano la sua chiave e io
credo che sia adrian firmo la sua chiave e
poi qualcuno che vuole di Adrienne
la chiave può ottenere questa cosa che vedono è
firmato da me non conoscono Adrian ma
loro mi conoscono e dicono che va tutto bene
so che è firmato quindi mi fiderò di questo
è chiamata la rete della fiducia nelle idee
avremmo le parti per la firma delle chiavi e noi
andrebbero tutti insieme a bere
birra e firmare le chiavi l’un l’altro no
lo sai che sai che non ha funzionato, okay
sapere che la rete di fiducia era un
Forse un’idea superficialmente plausibile
comunque non ha funzionato ha significato
scoperta fallita e chiave con questo processo
non funziona il bere birra erano
abbastanza bene, quindi quello che ha ottenuto
io sto scivolando giù per il pendio scivoloso
di Krypton privacy è mi sono imbattuto in questo
La cosa chiamata Kiva’s è dovuta al giorno in cui ero
lasciando google e non sono sicuro della chiave
base io è come il sito è giusto
soluzione ma c’è un alto tipo di
la tecnologia che stanno costruendo è così
puoi andare in un posto chiamato chiave basato
su 0 / Tim Bray e ti dice che c’è
una chiave pubblica lì puoi recuperare e
hai capito questa impronta digitale
e non dice chi è perché dice
si chiama Tim Bray ma dice anche
c’è la prova che questa chiave pubblica è
è la chiave privata corrispondente a questo
la chiave pubblica è controllata dalla persona
chi è Tim Bray su Twitter e Tim Bray
su github e controlla il nome del dominio
continua Reorg e potrei anche tu sapere
creare un’identità reddit e notizie sugli hacker
identità e così via e così via e tu
non devi fidarti della base della chiave per questo a
lavoro puoi effettivamente andare a ricevere il
albero il tweet esegue la decrittazione e
controlla e assicurati che sia davvero
firmato con la chiave pubblica corrispondente
a quella chiave privata quindi è a
directory di chiavi pubbliche basate sull’evidenza
non devi fidarti di usarlo come plus
estremamente sano e ben pensato
jason HTTP profi I e open source
costruito con un client a riga di comando con licenza
scritto nel nodo che puoi scaricare
e guarda e penso che sia molto
potente idea e francamente i ragazzi che
stanno costruendo questo per i ragazzi che hanno
fatto un sacco di soldi per loro
precedenti startup
lo stanno facendo solo perché pensano
il mondo ha bisogno di qualcosa come questo loro
non hanno alcun modello di business che pensano
potrebbe esserci un modello di business in
firmando le versioni del software, ma lo sono
lo faccio solo perché penso che abbia bisogno
essere fatto e sto lavorando sono stato
aiutandoli un po ‘anche perché io
penso che sia necessario farlo, così siamo
diventando abbastanza vicino alla posizione in
storia in cui possiamo effettivamente mettere forte
cripto nelle mani di semplici umani che
non voglio mai vedere una cifra esadecimale no
mai voglia di sapere cosa succede a una sottochiave
non vorrà mai sapere che firma
è e ha più o meno solo lavoro
c’è questa particolare app per Android
che non penso sia l’essere-tutto nel
finisci tutto ma è quello che sono stato
lavorando su chiamato keychain aperto e se io
potrei trasmettere il mio schermo Android
mostralo a te ma fammi solo in realtà
Ho uno screencast qui che mostra come
Funziona ora potrebbe essere un po ‘rumoroso
quindi chiunque stia guardando l’audio potrebbe
voglio abbassarlo okay guardiamo
utilizzerà la crittografia su Android
l’app portachiavi aperta che conserva a
chiavi crittografiche e al momento è solo
ne ho preso uno per questo account falso che ho
fatto il salto al coniglio demo della Danimarca e se
abbiamo intenzione di usarlo per inviare una
messaggio crittografato a me Tim Bray siamo
avrò bisogno di trovare la mia chiave, quindi facciamolo
aggiungi una chiave e cerca nel cloud Tim
in questo momento noterai che senso ha
è collegato ai miei contatti Android
abbastanza facile da trovare cose che non lo fanno
fare troppo digitando così andrà
in parallelo e ricerca q essere un amministratore delegato
e i server PGP aperti e trova
tre tasti per quelli di Tim Bray per
qualcun altro laggiù in fondo
uno è stato revocato e uno è attuale
chiave pubblica per me, quindi importiamolo
e quello ha funzionato ora è parte del mio
portachiavi va bene quindi mandiamo un messaggio
passiamo a google mantenere dove
Ho un piccolo messaggio criptato d’amore
dalla Danimarca e lo cripterò
utilizzando meccanismi di condivisione Android standard
condividendolo per cifrare con il portachiavi aperto
Non voglio sapere chi criptarlo
per e quello sarò io e chi firmerà
lo firmerà con il doma go-to
account coniglietto e siamo pronti per andare a
crittografare e condividere
Ora, naturalmente, questo è il problema per
condividilo correttamente, dovremo farlo
usa una passphrase che è orribile
qualsiasi dispositivo mobile e come risultato scelgo
qualcosa di assurdamente facile che è una specie di
sconfiggendo lo scopo ok così ho digitato
la passphrase estrae la chiave e
lo crittografa e dice che va bene
un messaggio crittografato che vuoi come
vuoi condividere o condividere con Gmail
ottiene le due linee corrette, quindi lo faremo
basta digitare un argomento e inviarlo
messaggio spento per la sua strada va bene ora
fortunatamente c’è una soluzione a questo
password per la frase chiave per il
passphrase per questi problemi di chiave privata
tutto bene qui siamo in gmail e qui
è il messaggio segreto del coniglio dimostrativo
inviato a me ora che c’è un
breve irrazionale in arrivo in Gmail che
non puoi semplicemente cliccare su un messaggio e
Dì, condividi quel messaggio, quindi in realtà
selezionato il corpo del messaggio e
diciamo che c’è anche un bug aperto
cucina al momento siamo in questo
particolare insieme di circostanze, ho appena
non posso condividerlo in cripta ma copiamo
il messaggio passiamo ad aprire
portachiavi e diciamo decrypt in modo che possiamo
solo cripta bisognosa dagli appunti ora
ricorda quando abbiamo inviato questo messaggio noi
dovevo usare private demo coniglietti privati
chiave per firmarlo e questo significava digitare
passaporta demo coniglietti nel nobile
che era tremendamente doloroso e
allo stesso modo per decodificarlo usando il mio privato
chiave dovremmo usare la mia passphrase
per farlo e la mia passphrase dal momento che è
una vera chiave privata è lunga complicata
crittograficamente forte e sarebbe in
mandalo difficile da digitare, quindi facciamolo
non farlo, dobbiamo sistemare qui così
diciamo gli appunti di decifrazione e così via
Dice tieni la chiave contro la schiena di
il dispositivo e lì vai a lavorare d
decriptato, ti ha detto che lo era
firmato da coniglio dimostrativo e c’è un
messaggio per dolo dalla Danimarca va bene così a
la fine del keynote l’ho chiusa
con una foto di un for
e alla gente sembra piacere così, andiamo
torna alla foresta qui ecco una
diversa immagine di una foresta diversa
ed è bello so di essere canadese
come questa roba spendo tanto tempo quanto
Posso nella foresta ma conosci la foresta
è una specie di posto pericoloso
in particolare conosci 50 gradi di
latitudine nord dove siamo e tu sai
non andresti là fuori senza essere
preparato con abbigliamento adeguato in
le calzature e le cose da mangiare e tutto
la preparazione appropriata per essere
fuori nel deserto Internet è a
luogo pericoloso per sapere perché sulla terra
manderesti i dati dei tuoi clienti
su internet per l’archiviazione e
trasmissione senza l’appropriato
protezione e preparazione e
sempre più questo significa buone pratiche
per TLS di base ovunque HTTPS e se
stai davvero prendendo queste cose
seriamente e perché non sarebbe prenderlo
crittografia seriamente ovunque e
ci stiamo avvicinando al punto
dove ciò può essere fatto senza problemi di solito
e inizia a prepararti per questo ora
perché ho il sospetto in un piccolo
numero di anni questo non sarà
una scelta facoltativa è qualcosa che sei
dovrò fare per essere preso
seriamente così perché non vai e sii
leader invece di seguaci e iniziare
lavorarci adesso, quindi grazie
tutti
alcuni piani per quello che stavo andando a lavorare
durante questo durante l’estate
ho detto che ho deciso di non fare un altro lavoro
e il giorno in cui ho lasciato Google ho corso
attraverso alcuni interessanti criptati
tecnologia che mi ha fatto eccitare e
non secondo i miei piani ho speso il
tutto il tempo tra allora e ora lavorando
sulla privacy in crittografia e segretezza
e identità e così via e sono stato
ti diverti tanto e ora lo sai
l’estate è finita sto iniziando a pensare
su come ottenere un altro lavoro, quindi ci sto provando
per trovare qualcuno che mi pagherà per
facendo queste cose con cui parlerò
sei circa così la scorsa settimana a Copenaghen era
la prima volta che ho mai parlato di questa
cose su cui stavo lavorando così tu sei
ottenendo un po ‘stai ottenendo il
versione dopo una prova così probabilmente
sarà un po ‘più lucido e
questo include il codice che è stato archiviato
la settimana scorsa quindi questa è la tua notizia
qui ok, sto andando a visitarne alcuni
pagine mentre il discorso continua ho un
un paio di link lì e sto dando
loro un PDF del discorso non appena è
oltre e se vuoi scriverlo
puoi venire a prenderlo da me dopo
il discorso o se hai ragione veramente veloce
puoi ottenerlo ora, quindi siamo software
sviluppatori che significa che da
definizione scriviamo il codice che memorizza e
gestisce le informazioni di altre persone e
Direi che quelle persone fanno affidamento su
noi per te sai prendertene cura
è più di quanto lo fosse per molto tempo
tempo non è accaduto alla maggior parte delle persone
preoccupati perché sai che le persone si intrufolano
intrufolarsi e guardare i loro
dati che non volevano ma oltre il
gli ultimi anni bene abbiamo fatto sapere
sequenza infinita di problemi di privacy e
hack della carta di credito e social media
perdita e varie cose brutte accadendo
nella misura in cui le persone hanno iniziato
diventare consapevoli di questo problema e quindi
certo che abbiamo avuto il sig. Snowden e
sii onesto sai che ce ne sono molte
conversazioni che stiamo avendo ora che noi
non avrei avuto se il sig. Snowden aveva
non è stato coraggioso e ha deciso di andare
uno-contro-uno contro il governo del
USA, quindi la mia richiesta è che un sacco di
o
la gente comune ha capito che il
Internet è un posto pericoloso e loro
le informazioni sono in bilico
il quartiere era la sicurezza
qualcosa a cui nessuno ha mai pensato
fino a quando non hai sbagliato, ovviamente, tu
è stato licenziato in un certo senso come il tuo base
sysadmin funziona bene quando fai il tuo lavoro
perfettamente nessuno nota ma i tempi
sono cambiato, intendo che abbiamo sempre avuto un
imperativo etico di prendersi cura di
le informazioni altrui, ma penso
in realtà stiamo iniziando ad avere un
le persone imperative sono in realtà
vedendo che conosci una buona sicurezza e
pratiche di privacy come livello aziendale
marketing vince in questo esempio
ti darò le ultime due settimane fa
quella mela ha annunciato che non possono
aprire più a lungo i telefoni di altre persone e
lo hanno strombazzato nei cieli e
c’è stato un grande positivo e negativo
reazioni in tutto il settore e tu
sapere cosa pensi di Apple
Apple sa molto sul marketing
quindi sai se Apple pensa che questo sia un
buona cosa da evidenziando nella loro
marketing penso che dovremmo
probabilmente avrà un po ‘di rispetto per quello
opinione quindi è ora se siamo d’accordo che
è un imperativo aziendale da proteggere
le informazioni della gente contro coloro che
lo raccoglieva e lo usava per
scopi non approviamo bene chi
sono quelle persone ben di iniziare con dei
Certo che ci sono i truffatori il
criminali le persone veramente cattive e io
ama lo sai l’allegro
illegalità di questa pagina che hanno
anche una versione inglese ma quella giusta e
in qualche modo sembra più cattivo in russo
quello che fanno è vendere conti falsi
conti e sai che ti danno il
numeri che sono in vendita da tutti questi
operatori diversi e dove i pixel
sempre grande e grosso su quello scivolo bene il
numeri che sono in vendita e il prezzo
per mille e ovviamente puoi giudicare
la relativa qualità della sicurezza
organizzazioni guardando questo e
vedere quanti account rubati servono
vendita e quale è il prezzo si conosce il
meno sono e meglio è meglio è, meglio è
rispettivamente e ti incoraggio a fare
che è divertente così, ma, naturalmente, un sacco di
le persone che stanno cercando di rubare il tuo
informazioni e le informazioni del tuo
i clienti non sono necessariamente persone cattive
sono solo fuorviati dovremmo dire
troppo ti accorgi che sono per lo più
persone oneste che sono
stanno proteggendo i loro cittadini da
tutti quegli orribili terroristi che sono
là fuori ora probabilmente la maggior parte del
persone in questa stanza e a questo
conferenza live in luoghi in cui il
il governo è ragionevolmente civilizzato e
non devi davvero preoccuparti di loro
verrà a casa tua e la notte
e abbatti la porta e prendi te
via ad un campo ma mentre quello è
probabilmente attraverso a questa conferenza
non è vero nel mondo in generale molto
un’alta percentuale di persone vive in a
luoghi dove se hai conosciuto il
opinioni sbagliate che li tengono privati possono
essere una questione di vita o di morte e di
definizione poiché Internet è un
offerto su scala globale alcuni
proporzione delle persone che usano il tuo
il software vive in posti per
il governo non è l’amico e tu
sapere che è importante rendersi conto che lo è
non è davvero utile, non è uno spreco
di tempo per preoccuparsi del perché le persone lo sono
cercando di ottenere i dati degli utenti se
sono i truffatori o se lo sono
gli agenti del governo che non sono davvero
il tuo business e non è il tuo lavoro
capirli e qualsiasi modo di contare
perché non dicono mai niente
cosa stanno facendo e quindi il tuo lavoro è
solo per proteggere le informazioni, quindi facciamolo
ignora fermamente perché le persone sono
dopo le informazioni e preoccuparsi
proteggendolo ma in realtà forse noi
non devi preoccuparti perché forse se
non stai facendo nulla di sbagliato perché lo fai
hai bisogno di privacy come Eric Schmidt
famoso nel 2009, ora sai di essere
giusto per Eric Scommetto che se lo ha chiesto
a tale proposito, oggi potrebbe perfezionare il suo
rispondi un po ‘dato un po’ di
problemi che Google ha avuto così ma
Lo trovo quando sto davvero parlando
sulla privacy e sicurezza tra
persone normali che non sono geek che ottengo
questo tutto il tempo perché hai bisogno di super
facile per te avere segreti e questo è
solo cazzate è davvero stupido
argomento ma a volte nel mezzo di
la discussione è difficile da ricordare perché
questa è una brutta discussione, quindi lo sono
andando a correre attraverso cinque ragioni per cui
questa è una cosa davvero stupida da dire
prima di tutto il numero delle persone che
stanno lavorando per la sicurezza nazionale
le agenzie sono solo persone che significa
la maggior parte di loro sono ordinari onorevoli
dignitoso persone sottopagate che stanno lavorando
duro e cercando di farti sapere proteggerti
d’altra parte una piccola parte di
qualsiasi gruppo di persone è psico
Passa o storta o stupida o semplicemente cattiva
Significa persone intendo negli Stati Uniti
istituto di sicurezza che conosciamo no
lo so per certo, ma c’è una stima
ci sono forse 100.000 persone 200.000
persone così anche se solo come il cinque percento
di loro sono cattive persone è una bella
numero spaventoso che ottieni e quelle persone
con il potere dello stato dietro di loro
sono in una posizione che mi piace davvero
rovinare la tua vita quindi dobbiamo rispettare
i nostri dipendenti pubblici che stanno facendo questo
tipo di cose ma abbiamo anche bisogno di
controllarli e assicurati che se li
avere idee sciocche che dovrebbero raccogliere
tutte le informazioni che non dovremmo
facilitare questo secondo problema è quello
sfortunatamente è vero che legge
le forze dell’ordine sembrano sempre
sviluppare una sorta di cultura tribale di noi
e loro sono sicuro che alcuni di voi lo sanno
poliziotti e sono perfettamente carini
persone ma tu sai che hanno questo
atteggiamento c’è la tribù di noi e
c’è la tribù delle persone cattive
lì e questo può facilmente uscire
controllo e soprattutto tu conosci l’esta
contro di loro la mentalità può arrivare al
situazione in cui improvvisamente lo fanno
qualcosa come in Tailandia e il
la forza di polizia nell’esercito è improvvisamente il
il governo va bene, probabilmente no
succederà in Danimarca o in Canada
ma lì ti garantisco di averne un po ‘
clienti in posti dove ciò potrebbe
capita e per quelle persone le cose
che avrebbero potuto dire oggi potrebbe diventare
domani fatale se non ce l’ hanno
privacy applicata in modo appropriato così abbiamo
a sapere solo guardare fuori per questo
tendenza tribale l’altro problema
un altro problema intorno a tre è
che le organizzazioni governative vogliono
rimettere le porte e la nostra Reuters e in
i nostri data center e nei nostri bauli e
nelle nostre reti Wi-Fi e così via e a
Alla fine della giornata non c’è tale
cosa come una porta sul retro e il male
ragazzi i veri cattivi sanno che il
il governo sta cercando di rimandare
porte in e loro stanno cercando quelli
gut back doors e li stanno trovando
quindi è davvero pessimo e
non professionale per farlo e loro
lo stanno facendo ed è esasperante e
dovrebbero fermare l’altro il quarto
grosso problema con la sicurezza nazionale
l’istituzione è la quantità di denaro
entrando in esso che è totalmente assurdo
se guardi lo sai attuale
numero di cose brutte e morti che sono
causato dal terrorismo e confrontarlo con
cose come mandare SMS mentre guidi o
problemi con l’ educazione della prima infanzia
e confrontare la quantità di denaro che è
spesi per questo e l’importo speso su
questo è ridicolo è un ridicolo
spreco di denaro non è redditizio
anche se fosse ben inteso quale in
molti casi non è finalmente il massimo
punto importante questo è davvero il più
punto importante sulla privacy che è a
foto della porta di casa di qualcuno che
è chiuso siamo persone fortunate noi
avere il dono di essere membri di un
civiltà che noi e i nostri antenati
hanno costruito ed essere in una civiltà
significa che non devi andare a prendere l’acqua
dal torrente non devi andare e
merda in un fosso in cui vivi in una casa con
pareti spesse e una porta d’ingresso che tu
può chiudere e una volta che la porta è chiusa
puoi fare tutto ciò che vuoi dietro
la privacy non è buona perché consente
certe cose la privacy è una buona privacy
ci fa dormire meglio di notte
noi persone più felici è una ricompensa di base
di essere un membro di una civiltà e
qualsiasi organizzazione che sta cercando di prendere
quel beneficio di base della civiltà lontano
da te dovresti essere orgoglioso di esserlo
ribellarsi fa parte di ciò che abbiamo
guadagnati costruendo civiltà e noi
dovrebbe proteggerlo bene, ecco cosa
pensa comunque così così ce ne sono alcuni
alcuni argomenti per respingere contro quando
senti questa stronzata bene se lo sei
non fare nulla di sbagliato, perché hai bisogno
la privacy fortunatamente non sono del tutto
da solo a maggio di quest’anno Internet
Task Force di ingegneria che è il
organizzazione che costruisce internet
crea tutti i protocolli Internet
ha adottato questo documento ed è questo
il messaggio è molto chiaro ed è giusto
là nell’astratto che dice questo
tutte queste persone cercano di spiare il
Internet da un punto di ingegneria di
la vista dovrebbe essere considerata come attaccante
non ci interessa perché stanno cercando di fare
i loro attaccanti è tutto ciò che sono
e ora hanno un ruolo principale nel
IETF che nessun nuovo protocollo internet può
essere progettato se non includono
contromisure per questo tipo di attacco
ora una delle cose interessanti su
che questo è quello anche se il
La storia di Snowden è esplosa nel giugno del 2013
è stato adottato solo a maggio 2014
pensato a questo e discusso su di esso
e
lavorato per 11 mesi e se tu
leggi il documento ce l’ha molto
considerazione equilibrata dei problemi così
questa non era una dichiarazione affrettata
è una dichiarazione attenta da parte delle persone che
stanno costruendo internet del futuro
e penso che dovremmo salutarli e io
pensiamo che dovremmo aiutarli ed essere presenti
Da parte loro, supponiamo che siamo tutti d’accordo
va bene, supponiamo di essere noi
tutti d’accordo vorremmo aumentare la privacy
aumentare la sicurezza e quel genere di cose
quindi purtroppo un sacco di software
gli sviluppatori non vogliono avvicinarsi a questo
roba perché ha due grossi problemi
due cose che davvero non ci piacciono
con uno è davvero difficile la matematica e il
la seconda è la politica, quindi ne ho un po ‘
buone notizie e alcune cattive notizie il bene
notizia è che non si ha a che fare con
la maschera veramente dura che è tutto dentro
le librerie delle librerie sono piuttosto alte
qualità puoi semplicemente usarli e
faranno la cosa giusta la politica
purtroppo la politica fa parte di
la realtà non puoi andartene e moltissimi
la gente del software non fa politica è a
passo fondamentale io lo sai che non voglio fare
che roba bene mi dispiace che tu sappia se
ti allontani e il declino di fare politica
hai abbandonato il diritto di lamentarti
quando la politica per la tua nota in un modo
non ti piace ancora una volta come a
conseguenza di essere nella civiltà
abbiamo il diritto di dimostrare che il nostro
legislatori quando stanno per adottare
stupide politiche sulla privacy e dire loro di no
è sbagliato e se non lo siamo
abbastanza convincente possiamo provare e
sbarazzarsi di loro e ottenere migliori legislatori
quindi sai che incoraggio tutti a farlo
fai quello sgradevole anche se molti di noi
trovalo e in realtà conosci la politica
molte persone lo trovano un po ‘divertente una volta
entraci e quindi siamo d’accordo
andando a cercare di aumentare la privacy
livello diamo un po ‘di farmi iniziare
dandoci alcuni termini per parlare
termini ed ecco come penso alla privacy
di questi giorni significa una privacy di base
che sai che posso usare il mio portatile in a
caffè o nel mio ufficio e io non devo
preoccuparsi che qualcuno è si sa deve
Wi-Fi e non devo preoccuparmi troppo
e qualcuno ha hackerato il router e io
non preoccuparti che il sito sia
parlando con il nostro testo in modo semplice così
chiunque può solo comprare su questo ora questo
è il tipo di cosa che ottieni con a
implementazione competente e utilizzo di HTTPS così
questo è fondamentalmente questo è il tipo di
cosa che se non stiamo offrendo il nostro
utenti che stiamo fallendo nel nostro professionista
responsabilità
la privacy comune è ciò che pensiamo
di quello che abbiamo nelle società civili
che è quell’informazione che è conosciuta
essere i nostri non può essere mostrato agli altri
persone senza il nostro consenso, a meno che
ci sono certi processi giudiziari
sapere se la polizia si convince
che sto contrabbandando bombe o bambini
pornografia o complottare per uccidere il mio capo
o qualcosa del genere allora sì loro
andrò a giudicare l’ otterrò un
mandato di perquisizione verranno a casa mia
e perquisirono la mia casa che apriranno
andranno su google e diranno che c’è un
mandato di perquisizione mostraci la posta che faranno
prendi la posta e penso che la maggior parte di noi sia
tipo di va bene con quello in civilizzato
società che sai che devi avere
processi giudiziari per investigare e
prevenire i crimini, tuttavia ce ne sono due
i problemi uno è come ho sottolineato a
una parte sostanziale dell’umanità
non vivere in paesi dove loro hanno
che tipo di sai, quindi lo sai
processo civile e la polizia se ne va
e guarda dove vogliono senza
chiedere il permesso e in secondo luogo come ed
Snowden ha dimostrato il governo
le organizzazioni sono uscite dai binari
e hanno adottato la posizione che noi
avere il diritto di avere tutti
informazioni su tutto solo fiducia
noi no, non è così forse la privacy comune
che dovrebbe essere abbastanza buono in a
la società civile non è abbastanza buona così
la forte privacy è un livello più alto
la privacy è dove sai che puoi essere
sono sicuro che nessuno vedrà mai il tuo
informazioni non il tuo governo non è il tuo
il provider di posta elettronica non è il tuo ESP solo tu
dove tutto è criptato tutto
tempo e parliamo di come potremmo
arrivare lì per iniziare con abbiamo alcuni
migliori pratiche che possiamo iniziare a
includere e mi sento imbarazzato quasi dentro
2014 che devo ancora venire a
conferenze e dire usare HTTPS si conosce I
usato per chiedere uno spettacolo di mani quante
la gente usa sempre HTTPS e
quanti non lo sono ma non ci credevo
li penso che le persone stessero mentendo, lo sai
c’erano mani che salivano, quindi se lo sei
non utilizzare HTTPS tornare dopo aver ottenuto
casa della conferenza vai nel tuo ufficio
e fissare un appuntamento con il tuo legale
persone con gli avvocati della compagnia e voi
vai dagli avvocati della compagnia che dici oh
il modo in cui stiamo operando in una modalità in cui
chiunque può spiare ciò che i nostri utenti sono
facendo, volevo solo essere legale
approvazione che va bene per noi
che potresti avere una sorpresa
c’è un sai che sono inorridito e vado a
grandi siti web universitari e ho messo HTTPS
di fronte all’URL e ti spezza
so che il sito web si rompe vado al mio
scuole per bambini e andare al computer
laboratorio e stanno eseguendo tutto questo
applicazioni educative in testo semplice
qualche cattivo ragazzo potrebbe essere seduto nella sua auto
nel parcheggio fuori dalla scuola
eseguire uno sniffer Wi-Fi e sta andando
per scoprire tutti i tipi di cose
sono tutti i bambini di quella scuola
cominciando a pensare che ci stiano andando
per essere alcuni casi giudiziari catastrofici enormi
dove entrano i normali costruttori di app
difficoltà perché cadevano
sulla loro responsabilità di base per eseguire un
modalità crittografata ma sai che ascolto
la gente dice bene che sai che le mie cose sono
solo una brochure pubblica dove vorrei
voglio crittografarlo o sai che sono persone
dovrebbe avere scelte perché dovrei imporre
crittografia sulle persone o denaro caustico a
scrivi per ottenere un certo che sai girare
HTTPS su cazzate, voglio dire che è così
solo che non è accettabile
argomento nel 2014 e le modalità di fallimento sono
asimmetrico si sa che fornisce segretezza
quando non ne hai avuto bisogno nel frattempo io
speso un po ‘di soldi extra non fornendo
segretezza quando ne avevano bisogno forse io solo
Intendo Wikipedia in questi giorni Wikipedia è
offerto di default in HTTPS è quello
insano no, certo che non è pazzo
Supponiamo che tu conosca un gay
Uganda che è preoccupato solo per la cattura
una malattia a trasmissione sessuale che conosci
se qualcuno ti cattura su Wikipedia
osservandolo potresti trovarti
con la tua vita rovinata wikipedia dovrebbe
offrire off operativo solo su HTTPS e
è davvero difficile prendere una decisione
quando è appropriato alla privacy è
incredibilmente contestuale conosci qualcuno
in un bar e ordinaci, sai guardare
informazioni su sessualmente
le malattie trasmesse non ne stanno prendendo
rischi in modo che tu sappia o meno la privacy
l’approccio è appropriato è molto
decisione complessa e difficile basata su
dove sei chi sei quello che sei
facendo quando lo fai chi c’è in giro
tu ed è facile prendere la decisione
sbagliato, quindi non prendere la decisione
perché dovresti chiedere alle persone di farle
decisioni complesse di vita delle importazioni quando
le possibilità di farlo bene non lo sono
così bene basta eseguire tutto in un privato
modalità crittografata tutto il tempo e hai
eliminato
questo problema perché non lo faresti?
e sai non lamentarmi di me
il costo di HTTPS è possibile ottenere un singolo
certificato di dominio per meno di dieci dollari a
anno è possibile ottenere un certificato jolly per
meno di cento dollari all’anno se tu
avere abbastanza soldi per ottenere un nome di dominio
e fai esplodere un’istanza di ec2, dannazione
beh, ho abbastanza soldi per averne una certa
inizia a eseguire HTTPS in modo tale da iniziare
facendo così ok mi dispiace di averne un po ‘
sconvolto perché c’è ancora
troppe persone non lo fanno
uno spingere indietro contro questo che sento
è in realtà un po ‘sottile e
pericoloso e questo è in realtà da
persone che sono reali reali di sicurezza reale
esperti in realtà comprendi HTTPS
e quanto è facile sbagliarlo
e cose del genere e loro sono
familiarità con le carenze ora in
Infatti c’è del vero in quello che dicono
HTTPS è imperfetto nel senso che lì
sono molti modi diversi che puoi
rovinare la distribuzione così anche se
ce l’hai sai che c’è facile trappola
le porte e le persone possono aggirarle
hanno anche ragione che il certificato
il business delle autorità è completamente rovinato
un orribile, corrotto e disorganizzato
e solo in generale sono sbagliati
riguardo alla NSA, la NSA non ha effettivamente
HTTPS incrinato un programma che Snowden aveva
Snowden, lo sai, lo ha chiarito molto chiaramente
ya sanno che non possono rompere il crypto che
incrinato l’ endpoint così sai che siamo
preoccupato per gli endpoint e quindi il
l’ultimo punto è in realtà piuttosto buono
lui dice che sai non dovrebbe promettere
la sicurezza assoluta delle persone perché tu sei
non offre davvero una sicurezza assoluta
lo sai che sono lì, non ce n’è
cosa come la privacy assoluta che qualcuno può fare
passa sempre se vuoi davvero
essere completamente istruito su come
è facile rompere la sicurezza che c’è
questo grande travestimento dalla Nuova Zelanda e
è come una grande presentazione di diapositive
su tutti i molti molti molti diversi
modi in cui puoi rovinare la tua sicurezza e
lascia il cancello aperto per i cattivi per ottenere
e in realtà ti incoraggio a leggere
perché è educativo ed è
deprimente ma è anche divertente
ma tu conosci tutti i diversi modi in cui tu
può rovinare il tuo cripto ad un altro bene
uno è questo ragazzo di Microsoft che io
ama la sua colonna, scrive una chiamata e
regolarmente penso che alla fine si sia fermato
è un peccato e lo sottolinea quando
stai pensando anche alla privacy
pensa all’avversario e
usa il Mossad israeliano come esempio e
dice che sai se il Mossad pensa
stai tramando di far saltare in aria Gerusalemme
Crypto non ti aiuterà nel modo giusto
lì che sai se tutto il resto
si intrufoleranno nel tuo ufficio e metteranno
una fotocamera dove posso guardare la tua tastiera
e il tuo schermo sempre e poi
conosci tutta la cripto del mondo
non ti aiuterà e così tu vieni
Tornando alla domanda, non possiamo
in realtà sai essere sicuro
sicurezza quindi dovremmo essere sostenitori di essere
sicuro per niente e penso che questo sia un
sintomo di un modo di pensare sbagliato
a riguardo alla fine della giornata
è una questione di economia che conosci noi
avere un detto in inglese non lasciarlo
il perfetto sia il nemico del bene e
è davvero sbagliato pensare alla sicurezza
come accendere e spegnere la sicurezza è così
comporre e ogni volta si accende il dial up
ogni volta che aumenti il
proporzione del traffico che è
criptato ogni volta che sai di adottare
autenticazione a due fattori ogni volta che si
Riduci la superficie d’attacco che cambi
l’economia della sicurezza è l’unica ragione per cui
l’NSA può eseguire la scansione di tutto perché
è stato trasmesso in chiaro
testo e il costo di elaborazione di ciascuno
l’unità è essenzialmente zero l’unico modo
quei ragazzi all’asse xe ottengono tutti quelli
indirizzi email è perché tutte le cose
andare avanti e indietro in testo normale
ci sono così tante cose su internet
che se è possibile aumentare il costo di
elaborando un pezzettino di intercettazione
a qualsiasi importo diverso da zero che nessuno può permettersi
nessuno può permettersi alcuna quantità di volte
la quantità di cose su internet così
ogni volta che si distribuisce la privacy
tecnologie aumenti il costo di
alcuni tipi di attività criminale e
alcuni tipi di sorveglianza governativa
attività e diventano economici e
la gente smette di farle e noi miglioriamo
Internet quindi cosa dovremmo fare
lo sai per quelli di noi che lavorano
ottimizzazione del sistema cercando di fare
le applicazioni corrono più velocemente lo impari
tutto quello che puoi fare è spostare il
collo di bottiglia intorno a destra trovi ciò che è
andando piano lo aggiusti e poi
tutto scorre veloce, trovi cosa
altrimenti sta andando lento è allo stesso modo
con la privacy scopri dove e il mio
nel mio sistema ci sono perdite di privacy
aggiustalo e poi cos’altro è il mio prossimo
punto della settimana quindi andiamo a sistemarlo
incrementale quindi cerchiamo di fare che ti permette di
solo sistematicamente andare in aumento
la privacy della parola
quindi se hai intenzione di usare HTTPS, ho un
un paio di buone pratiche che sono
iniziando a diventare evidente che tu
dovrebbe pensare di applicarne uno
tutti dovrebbero smettere di usare sha-1 questo
è ciò che in realtà viene di default con
molti dei certs che ottieni ed è
non è stato rotto ma ci sono
attacchi matematici nessuno in modo che tu
può rompere questo usando una quantità di
risorse su Amazon ec2 che costerebbe
da due a quattro milioni di dollari quindi se
è costato a 24 milioni quest’anno
sarà di uno a due milioni il prossimo anno
e sai che adesso escogitolo per fortuna
non è così difficile che ti sei trasferito a sparare
è facile questo particolare articolo del blog
ha istruzioni su come farlo
praticamente tutte le infrastrutture e
hosting provider e così via sono impostati
funziona solo così basta andare avanti e fare
in ogni caso devi farlo che non lo fai
avere qualche scelta perché iniziare dopo
anno Google per iniziare andando a mettere poco
punti interrogativi accanto al lucchetto nel tuo
HTTPS se sei nel tuo browser se
stai ancora usando sha-1 così davvero
bisogno di salire su questo l’altro
che sto iniziando a sentire molto rumore
su di esso è un po ‘più sottile è il
nozione di appuntare certs ed ecco un
esempio di codice sorgente che non ho scritto anch’io
molto tempo fa per recuperare alcune cose dalla chiave
base ed è roba HTTP molto classica così
Apro una connessione a HTTP HTTPS
basato su una chiave I oh e faccio una query e io
vai a fare qualcosa di riposante contro di essa
quello è da un’app Android sono sicuro che
una percentuale molto alta di persone
la stanza ha app per Android sono sicuro che
quasi quasi il cento per cento di
le tue app Android hanno il codice proprio come
che dentro di loro così l’indizio se si guarda
a questo è che il nome host effettivo è
collegato direttamente al codice sorgente e
questo è un allegato che è un buon esempio è a
buon motivo per pensare aspetta un secondo
c’è una evidente debolezza
lì così per farlo davvero
la dichiarazione che cosa sta per fare è che è
andare al DNS per trovare una chiave
basato su I / O e poi andrà
e ottieni il certificato e confrontalo con a
grappolo di praticamente tutto il cert
autorità nel mondo, tu sai che vede
quello che dice la tuta andrà a chiederlo
già serio e deciderà di
credici o no e prima di tutto il
dns non è a prova di proiettile al 100% e
in secondo luogo, il business dei cert è totalmente
non al 100% a prova di proiettile e c’è un modo
puoi aggirare ciò che è dire
che la ricerca che ki bhi o offre è
ben noto e sono basati su a
chiave privata che
ki bo ha e piuttosto che farlo in questo modo
puoi dire no no no non disturbarti
controllare il DNS non si preoccupa di controllare
la tuta ne conosco la chiave pubblica
usano così sto andando al hardwire
il mio mio codice di applicazione direttamente a quello
ed ecco un fantastico blog dal
Moxie Marlinspike che è uno dei migliori
ricercatori di sicurezza che ti danno esattamente
dettagli su come farlo e in
particolare nelle tue app mobili dove
la tua gente non sta digitando gli URL
L’URL è collegato direttamente all’app perché
vuoi passare attraverso non ho in realtà
ho studiato questo, ma la mia intuizione è quella
questo potrebbe anche migliorare le prestazioni
giusto perché non stai facendo la cert
trucco incatenante e quel tipo di appiccicoso
stai solo controllando a
particolare chiave pubblica cablata ciao a
tutto quello che non ho controllato ora c’è
puoi andare fino in fondo e collegare direttamente
alla chiave pubblica se la persona che è
offrirlo forse è un po ‘troppo
estremo per te l’altra cosa che puoi
è possibile andare e la maggior parte dei siti
dirà bene che il nostro certificato proviene da questo
particolare autorità di certificazione e tu
puoi anche configurare la tua app in modo che tu
accetta solo la loro autorità di certificazione
o uno o due altri entrambi
le cose vanno meglio del modo attuale
di farlo e controllarli anche se
stai offrendo una API è così
indirizzato un po ‘nello stile di te
dovrebbe prendere in considerazione la pubblicazione del certificato e
la tua chiave pubblica in modo che le persone possano farlo
questo e pin i loro clienti al tuo
server quindi pensaci che è un
buona idea va bene parlando di rimozione
classi di problemi che dirò a
poche parole sul fattore della maggior parte delle persone
chi è in questa stanza spero lo sia già
utilizzando due fattori per il tuo google e
Microsoft e Steam e così via
voi ragazzi siete come i dottori in
Ospedale di Ebola devi essere davvero
specialmente attento che non capisci
perché se lo prendi sei attivamente
trasmettendolo a due persone innocenti
per favore, tutti all’inizio dell’attività
usando due fattori adesso adesso se tu
non sono abituato a considerare il modo in cui funziona
è a volte quando effettui il login insieme a
la tua password ti invierà un SMS
e dite di sapere digitare questo codice ma
non farlo se stai effettivamente usando
a due fattori è una pratica molto migliore
andare
per esempio, usa google per ottenere google
app autenticatore ed è solo accesa
il tuo cellulare e ti dà il numero e
il tuo tipo nel numero e tu entri
in questo modo non dipende dagli SMS
connettività e non dà soldi
alle cattive compagnie telefoniche per te
so gestire milioni di smss e anche
si scopre che questa cosa è sua
le interfacce sono documentate e se tu
potrebbe voler considerare l’offerta
autenticazione a due fattori per il tuo
app e puoi farlo effettivamente usando
google authenticator non è banale
ma non è scienza missilistica, piuttosto è
non è così difficile da capire funziona su iPhone
e iOS e Windows Phone adesso
oggi così così così pensare di farlo
l’ altra cosa è che è Google
Authenticator è anche un’app open source
quindi potresti farti sapere se tu
conosci un’azienda di camion o
qualcosa del genere puoi fare il tuo
proprio marchio privato di marca
autenticatore e darlo alle persone
chi vuole autenticarsi a te e ad esso
funzionerebbe bene e tu ti conoscerai
potrebbe aver notato che non importa come
grande la tua password è qualsiasi banca nel
il mondo ti darà i soldi per un pezzo di
plastica e quattro cifre che conosci
modello di sicurezza di base intorno a due fattori
l’autenticazione è solo meglio di per
ogni singolo fattore quindi questo è qualcosa
questo è davvero un valore
attenzione oh scusa, io ci sono il
vero codice google authenticator giusto
quindi un altro modello di due fattori
autenticazione che potresti voler pensare
circa è qualcosa come questo che è un
La cosa di Yubikey ed è interessante
dispositivo ha un USB e un NFC su di esso
così lo farà in realtà creerà
le coppie di chiavi faranno come si chiama
quel protocollo T 0 th qualcosa del genere
per il login assistito quindi è un altro
efficace a due fattori dicendo questo
l’action model ha una spilla che digiti dentro di te
puoi ottenere un altro modello è così
permanentemente nello slot USB e semplicemente
toccalo per dire che sì sono un vero umano e
Sono qui e loro e anche loro possono
essere utilizzato con dispositivi mobili si tira
sul retro del dispositivo mobile e
puoi fare cose come con LastPass tu
puoi entrare attraverso la tua password
il manager attraverso è in realtà un bel
modello oops mi sto dietro nel mio
diapositive c’è quel prodotto ma c’è
in realtà un’organizzazione chiamata Fido
che sta cercando di sviluppare uno standard per
queste cose al momento sono queste
un po ‘ caro
questa cosa è 50 dollari e questo è abbastanza
costoso ma se lo stavi usando per a
vasta gamma di app che potresti essere tu
conoscere un costo accettabile e inoltre
mentre entriamo nella produzione industriale sono
sicuro che il costo scenderà
queste cose vanno bene quindi ce ne sono alcune molto
qual è il mio tempo a che ora suppongo
per smettere di 30 minuti stai scherzando okay
in lui beh, avremo tempo per
parlo che sto andando troppo veloce okay quindi io
avrebbe dovuto dire dal momento che questo pubblico è
piccolo sai che possiamo farlo
interattivo e qualcuno vuole
dimmi di cambiare marcia e parlare
d’altro qualcuno lo vuole
fare domande o obiettare o non essere d’accordo
con tutto ciò che ho detto finora non si
si pratica intorno alla rotazione delle chiavi
soprattutto mi piace vedere il problema
sì, questo è ciò che sai
dire che il vero rischio è se
tu se lo leghi a una chiave privata il
il rischio è che la chiave privata venga compromessa
e così da morire, tutti lo pensavano
era un rischio molto basso ed è ovviamente un
rischio non zero ora se ciò accadesse allora
questo significa che devi aggiornare tutto il
app mobili di cui stavo parlando
il mio keynote può essere un po ‘doloroso
dopo aver detto che sai che devi fare
la tua sicurezza sei più preoccupata
sulla rottura del certificato in una CA.
sistema o sei più preoccupato
avere la tua chiave privata compromessa
pensa di conoscere le persone che stanno correndo
conosci bene le cose che affronto il web
probabilmente sarebbe più preoccupato di vedere
un peccato di rottura su di te sa di avere il mio
la chiave privata viene rubata, ma lo sai
dovrai fare quell’analisi
per te è per questo che Moxie
Marlinspike ha detto bene se questo ti spaventa
che invece fa spaventare alcune persone
di quello basta andare e limitare il numero
di ricerca che accetti tu sai dire
che conosco quella chiave basata su Io cert
viene da questo un particolare dire e
Non ho intenzione di prenderle certe
veniamo a meno che non provenga da quella CA
e questo è un utile passaggio intermedio
ce n’era un sbrigativamente sì, così no
avere una domanda ma voglio che tu vada
torna a https per un secondo mi sentivo come
non eri abbastanza forte del tuo
incoraggiamento e la ragione di ciò è
non solo per proteggere il
anche le informazioni che vengono inviate
stato rivelato che è molto, molto semplice
attaccare le persone usando attacchi di iniezione
se non si utilizza HTTPS in modo che https non lo sia
non solo per la sicurezza di
comunicazione ma anche riguardo al
integrità della comunicazione e
questo è uno dei modi in cui l’NSA e
altre agenzie stanno usando su larga scala
materia automatizzata in valenza e massa
attacco quando è possibile ottenere zero
dollaro quindi è abbastanza facile che tu lo sappia
cosa in realtà non credo che io id0
dollaro certs prima di tutto alcuni di loro
semplicemente non funziona ok e sai anche tu
è come comprare canzoni per 99 centesimi
sai che i battiti di convenienza sono gratuiti, sai
se vai, io / io uso personalmente un sito
chiamato SS LS calmo e non ne ho
affiliazione commerciale con loro ma
le loro interfacce utente sono davvero belle e
è davvero facile e offrono meno
di dieci dollari all’anno e dicono oh
anche tu cos’è che server sei
correndo sai che sto usando Apache x
punto y che ti dà sapere
gli screenshot fanno questo e poi fanno questo
questo poi fai questo che non puoi assolutamente ottenere
è sbagliato sai così sì okay forse io
Potrei risparmiare una decina di dollari l’anno ma io
pensa per la maggior parte della gente lo sapevi che è
probabilmente più economico nel lungo periodo per pagare
per questo sì sì bene, quindi ho bene
notizie che sono molte persone
abbastanza interessato a HTTP per conoscere il
prossima versione di HTTP che sta arrivando
ed è un po ‘più veloce in basso
latenza latenza inferiore e superiore
rendimento e sia cromo che firefox
hanno dichiarato che se si desidera utilizzare HTTP
devi usare TLS che non stanno andando
per supportare il testo in chiaro HTTP ad ora Safari
e cioè stanno dicendo oh non so
che alcuni dei nostri clienti aziendali
sai che vuoi l’uomo nel mezzo
i loro impiegati quindi è piuttosto un
discussione interessante così almeno io
pensa che la pausa II sia d’accordo
tipo di sfortunato che quello che tu
descritto ma almeno penso che il
i browser si stanno muovendo meglio
direzione okay, torniamo a questo
diapositiva in cui ho parlato la privacy
livelli e cose di cui stavo parlando
circa ora su HTTPS e per fattore e
signore e quel tipo di cose sono
fondamentalmente progettato per darti qualcosa di comune
privacy perché non dimenticare i tuoi dati
è ancora seduto in chiaro a
Microsoft Yahoo a Google Facebook tu
conosci linkedin e conosci il
i criminali potrebbero rompere quei ragazzi e il
il governo potrebbe hackerare quei ragazzi o
entrare con una lettera di sicurezza nazionale
e forse vogliamo di più forse in realtà
voglio una forte privacy che cosa significhi
i dati devono essere crittografati quando sono
andare oltre il filo deve essere
crittografato quando è al resto del
server ed è solo non criptato quando
si sta effettivamente interagire con esso su
lo schermo del tuo dispositivo è ok
possibile assolutamente è difficile sì
ma in realtà non è così difficile e lo farò
parlarne ma ne porta alcuni
i costi la pensano dal punto di vista
di Google se hanno eseguito gmail e terminano
non crittografato, quindi è stato effettivamente crittografato
a riposo nel server prima di tutto loro
non saprei cosa fosse la posta così
non potevano mostrarti le migliori pubblicità per
tu sai quali sono i pasti che potrei
viverci, ma significa anche loro
avrebbe molto più difficile combattere il tempo
lo spam si sa che il team è molto spam
in realtà piuttosto buono e dipende da
essere in grado di guardare il messaggio e
vedere se è un ragazzo dalla Nigeria
offrendoti 50 milioni di dollari in oro
e se è tutto criptato allora lo sai
non possono farlo, quindi sono reali
costato così penso che tu lo sappia
essere sicuro di concludere che Google lo farebbe
non considerare mai di fare una cosa del genere
tranne che sono così Google sta spingendo
questa cosa si chiama end-to-end che è
sta per essere un plugin per Chrome che usa
crittografia a chiave pubblica molto solida
la tecnologia per fare esattamente esattamente
di cosa stavo parlando, quindi è tutto
crittografato ogni volta che è in movimento
ogni volta che è in riposo l’unica volta è
non crittografato è quando è sul tuo
schermo ora il fatto che questo B è stato
fatto con JavaScript ne crea un altro
intero complesso di problemi che io
potrebbe facilmente passare altri 45 minuti
parlando ma ma ancora questo è un
molto interessante e positivo
direzione e chiaramente
sai che questo è il genere di cose che
Apple stava parlando per sapere se
Apple e Google lo stanno dicendo
sai ti preoccupi dei tuoi clienti
meno è una mela e Google si preoccupa
i loro clienti se stai facendo qualcosa
che ha davvero un impatto molto alto
le vite delle persone non dovresti essere
considerando l’offerta in questo livello di
la privacy non dovrebbe essere in considerazione
offrendo la crittografia a riposo tutto il tempo
supponiamo che tu voglia fare ciò che fa
devi fare bene la prima cosa che tu
è necessario conoscere qualcosa
chiamato openpgp che è la base di
quasi tutto il popolare ampiamente schierato
crittografia a chiave pubblica descritta da RFC
4880 che in realtà non è male puoi
in realtà leggerlo se sei un computer
programmatore e rendilo sensibile
descrive come funziona openpgp
si presuppone che tu capisca la chiave pubblica
crittografia a chiave privata presumo che
settantacinque per cento della popolazione
questa stanza effettivamente capisce il pubblico
concetto chiave, quindi chiederò il tuo
perdono mentre spiego le basi
all’altro venticinque per cento del
le persone nella stanza perché è in realtà
non che complicato la nozione di
La crittografia a chiave pubblica privata è la chiave
che hai due oggetti matematici
solo pezzi sai due pezzi di bit
e sono collegati insieme e loro
sono lì per chiamare la chiave privata e a
chiave pubblica e ci sono un infinito
numero disponibile e il tuo computer può
renderli il tuo telefono cellulare può farli
in realtà quel piccolo Yubikey che ho sollevato
può effettivamente farli non è non è vero
è che è possibile farlo così chiunque
può avere una coppia di chiavi private della chiave pubblica
e a causa di alcuni davvero fantastici
magia matematica hanno questo forte
rapporto di cui conosci te
conoscendo il pubblico che non puoi scoprire
il privato e loro criptano e decodificano
inversamente cripti questo
decodifica qual è l’altro privato di
pubblico o pubblico a privato e l’idea
sai che condividi la chiave pubblica
con il mondo e tu tieni il privato
chiave molto sicura chiusa a chiave e mai
mai condiviso con nessuno e che cosa
significa che puoi fare queste cose se io
cripta se trovo la tua chiave pubblica e
chi so che qui c’è l’Adrian
quindi se cifro qualcosa con Adriano
chiave pubblica e inviarlo ad Adrian
e-mail ordinaria, chat di facebook qualunque
allora so che solo lui può leggerlo
perché solo lui ha la chiave privata okay
inoltre se invio qualcosa a
Adrian I può anche crittografarlo con
Ho una chiave privata e poi Adrian può
lo decrypt con la mia chiave pubblica così può
chiunque altro abbia la mia chiave pubblica che
sono tutti ma sanno che solo io
avresti potuto inviarlo e tu puoi fare entrambe le cose
puoi criptarlo prima con il mio privato
chiave quindi con la sua chiave pubblica e poi
solo adrian può leggerlo e solo un i
avresti potuto inviarlo è puro
la magia matematica è una delle nostre
la migliore squadra di successo intellettuale
ogni volta che lo guardo sono solo meravigliato
per quanto riguarda l’intelligenza, non vado
e dal modo in cui questo è quello che HTTPS
HTTPS si basa su questa tecnologia
Non ho intenzione di prendermi il tempo per fare un
immersione profonda e come funziona davvero
ma c’è questo fantastico sito web che puoi
trovalo digitando i primi
millisecondi di una connessione HTTPS e
in realtà entra nei dettagli ma esattamente
cosa succede in quali messaggi tornano
e via e qual è la massa e come
funziona tutto e chiunque sia pari
un po ‘geek credo che lo troveremo
davvero bello trovare ciò che realmente in realtà
succede veramente quando HTTPS va così
l’intera nozione è che abbiamo le chiavi private
in chiavi pubbliche e abbiamo crittografato
messaggi ora noto quel computer
i programmatori non sono così pazzi
astrazioni così avrei pensato di mostrare
quello che c’è è quello che sembra una chiave pubblica
come se ci fosse un formato binario nativo ma
questo è davvero imbarazzante da trasmettere
Internet così quasi le leghe fanno loro
essere trasmesso in giro in questo ascii
formato e se ne usi effettivamente uno
crittografare un messaggio c’è ciò che il
sembra un messaggio e quindi dici whoa k
forse voglio fare questo ciò che il software fa
ho bisogno quindi risulta che c’è in realtà
un bel po ‘di software là fuori e
e la maggior parte è abbastanza buona probabilmente
sorta di software il software di base
che è venuto prima e tutto il resto ha
referenziato è identificato proprio lì
in quel commento che è un nuovo PG il
nuovo guardiano della privacy e questo è molto
grande e completa suite completa di
software di crittografia è un grande grande glob di
c ++ ed è in circolazione da molto tempo
e funziona è molto affidabile molto
ampiamente fidato nel settore e su
Mac e
Windows e sistemi con linux aromatizzato
ha uno strumento da riga di comando molto dignitoso se
ti piacciono le linee di comando che conosci gpg
e crypt gbg decrypt gpg elenca le cose
come quello, naturalmente, civili ordinari
le persone che non sono geek non useranno mai a
ha anche una GUI in
sia in tutti quei casi che è ok tu
non so male ma ancora non lo so
adatto per i civili non direi
ma sai che non è colpa loro se lo è
maledetta Apple e Microsoft e il te
conosci Debian e Ubuntu e così via
la squadra dovrebbe semplicemente mettere dei bei ragazzi
su questo e metterlo a destra nella
sistema sono questi ragazzi hanno fornito
buone librerie di basso livello il loro lavoro è
fatto, ma si sa, anche se non sei
correndo a quel livello basso, se lo sei
costruire app su binari per esempio lì
è un PGP aperto su Jim lo sai un bel
chiamate semplici come qui è un messaggio
Ecco una chiave per crittografarlo facilmente
capisci se sei in Python ora sono
non proprio un conoscitore del Python
ecosistema ma ho digitato sai Python
ooh PG e quello fu il primo risultato
quello è venuto fuori presumo che sia probabilmente buono
nell’ecosistema dei nodi c’è un buono
l’implementazione sembra essere abbastanza buona
considerato se sei in Google
il linguaggio è pulito
implementazione di openpgp quindi nella maggior parte di
gli ecosistemi in cui vuoi vivere
è in realtà piuttosto semplice da
fai questo le API ci sono e loro
lavoro e poi veniamo a Java e in
java abbiamo questa cosa chiamata rimbalzante
castello che è molto grande molto grande
vecchia suite di software che fa
tutto ciò che potresti mai desiderare
a che fare con la crittografia e la sua api lo è
scritto dai nazisti dall’inferno, lo sai che è
è il peggior tipo di fabbrica Java
roba fabbrica fabbrica che tu
può immaginare e ci sarebbe
mai essere una cosa come una semplice chiamata
ecco un messaggio ecco la chiave per favore
e per favore decifralo no non potevano
fai quello che sai prima tu come avrò
alla fabbrica per fare la fabbrica allora il
cosa per chiamare questa cosa per aprire il
flusso e l’altra cosa da osservare
il flusso e il e e in questo
particolare progetto sto lavorando su questo
ti mostrerò che c’è questo pezzo di
codice java con 34 classi in 10.000
linee fornisce uno strato sopra
castello gonfiabile in modo che tu abbia effettivamente
un’API che puoi usare
quindi sai che ce l’abbiamo probabilmente
abbastanza bravi hacker Java in mezzo alla folla
qui sai se qualcuno voleva fare un
un vero servizio pubblico sarebbe da fare
una sorta di strato standardizzato sopra
castelli gonfiabili così che tu sappia ordinario
i semplici programmatori mortali potevano davvero
usalo l’altra brutta notizia è quella rimbalzante
il castello è apparentemente vicino come posso dire
la migliore opzione in.net pure così comunque
quindi supponiamo che tu abbia comprato questo
hai intenzione di avere i tuoi dati crittografati
a riposo ti offrirai forte
privacy per i tuoi utenti quindi cosa fai
devi fare per questo per lavorare devi
fai tutti questi passaggi ora ottenendo chiavi e
archiviarli in realtà non è così difficile da parte tua
sapere che c’è c’è ragionevolmente bene il
il codice è lì è lì da anni
è davvero facile è come un sistema
call call 11 API call fai una chiave e tu
devo raccogliere alcuni pezzi di
informazioni da parte dell’utente ma ho visto
un sacco di buone interfacce utente per questo così
in realtà non è difficile e quindi in movimento
loro intorno alle persone che sono
bigotti della privacy che pensavano che la privacy fosse un
L’ interruttore 0 o 1 era totalmente
paranoico sulle chiavi private tutto ciò che devi
non inviare mai la tua chiave privata su
rete e deve sempre essere su un quantum
dispositivo crittografico con pozzi in titanio tre
piedi malati e così via bene ne conosci uno
cosa su gabbie private sono sempre
protetto da una frase di passaggio e il
conseguenze di qualcuno in realtà
avendo la tua chiave privata non lo sai
in realtà è terribile , è difficile per te
so che è abbastanza sicuro che mi muovo personalmente
le mie coppie di chiavi pubbliche private my p
in giro mettendoli nella casella personale sì
supponiamo che Dropbox possa essere hackerato ma tu
sa così che cosa non sembra così
profilo di rischio più grande per me, naturalmente, allora
hai bisogno di buoni strumenti per crittografare e firmare
il messaggio e per decrittografarli e
in realtà ti mostro uno di quelli in a
un po ‘in realtà non è terribile
tutto ciò non è un vero enorme grafico
sfida dell’interfaccia utente che lascia
questo e stranamente questo è un po ‘strano
di essere il grande ostacolo il
unico grande ostacolo che ha
impedito l’adozione diffusa di
forte cripto sai che voglio inviare
qualcosa ad Adrian come trovo
La chiave pubblica di Adrian, intendo, lo abbiamo avuto
Snowden è emerso per la prima volta che ha mandato una mail
al Glenn Greenwald dicendo che lo sai
qual è la tua chiave pubblica e Glenn
Greenwald ha detto cosa è uno di quelli
e così la teoria originale della gente
chi ha costruito questo software è stato così
avremmo imparato a scoprire che le chiavi pubbliche erano a
cosa chiamata la rete della fiducia
quindi potresti davvero stare insieme
fisicamente con qualcuno e lo farebbero
fare una cosa sul loro sulla tastiera che
firmi la tua chiave pubblica e lo sai
se mi conoscessi e mi trovassi insieme
Adrian e Adrian mi mostrano la sua chiave e io
credo che sia adrian firmo la sua chiave e
poi qualcuno che vuole di Adrienne
la chiave può ottenere questa cosa che vedono è
firmato da me non conoscono Adrian ma
loro mi conoscono e dicono che va tutto bene
so che è firmato quindi mi fiderò di questo
è chiamata la rete della fiducia nelle idee
avremmo le parti per la firma delle chiavi e noi
andrebbero tutti insieme a bere
birra e firmare le chiavi l’un l’altro no
lo sai che sai che non ha funzionato, okay
sapere che la rete di fiducia era un
Forse un’idea superficialmente plausibile
comunque non ha funzionato ha significato
scoperta fallita e chiave con questo processo
non funziona il bere birra erano
abbastanza bene, quindi quello che ha ottenuto
io sto scivolando giù per il pendio scivoloso
di Krypton privacy è mi sono imbattuto in questo
La cosa chiamata Kiva’s è dovuta al giorno in cui ero
lasciando google e non sono sicuro della chiave
base io è come il sito è giusto
soluzione ma c’è un alto tipo di
la tecnologia che stanno costruendo è così
puoi andare in un posto chiamato chiave basato
su 0 / Tim Bray e ti dice che c’è
una chiave pubblica lì puoi recuperare e
hai capito questa impronta digitale
e non dice chi è perché dice
si chiama Tim Bray ma dice anche
c’è la prova che questa chiave pubblica è
è la chiave privata corrispondente a questo
la chiave pubblica è controllata dalla persona
chi è Tim Bray su Twitter e Tim Bray
su github e controlla il nome del dominio
continua Reorg e potrei anche tu sapere
creare un’identità reddit e notizie sugli hacker
identità e così via e così via e tu
non devi fidarti della base della chiave per questo a
lavoro puoi effettivamente andare a ricevere il
albero il tweet esegue la decrittazione e
controlla e assicurati che sia davvero
firmato con la chiave pubblica corrispondente
a quella chiave privata quindi è a
directory di chiavi pubbliche basate sull’evidenza
non devi fidarti di usarlo come plus
estremamente sano e ben pensato
jason HTTP profi I e open source
costruito con un client a riga di comando con licenza
scritto nel nodo che puoi scaricare
e guarda e penso che sia molto
potente idea e francamente i ragazzi che
stanno costruendo questo per i ragazzi che hanno
fatto un sacco di soldi per loro
precedenti startup
lo stanno facendo solo perché pensano
il mondo ha bisogno di qualcosa come questo loro
non hanno alcun modello di business che pensano
potrebbe esserci un modello di business in
firmando le versioni del software, ma lo sono
lo faccio solo perché penso che abbia bisogno
essere fatto e sto lavorando sono stato
aiutandoli un po ‘anche perché io
penso che sia necessario farlo, così siamo
diventando abbastanza vicino alla posizione in
storia in cui possiamo effettivamente mettere forte
cripto nelle mani di semplici umani che
non voglio mai vedere una cifra esadecimale no
mai voglia di sapere cosa succede a una sottochiave
non vorrà mai sapere che firma
è e ha più o meno solo lavoro
c’è questa particolare app per Android
che non penso sia l’essere-tutto nel
finisci tutto ma è quello che sono stato
lavorando su chiamato keychain aperto e se io
potrei trasmettere il mio schermo Android
mostralo a te ma fammi solo in realtà
Ho uno screencast qui che mostra come
Funziona ora potrebbe essere un po ‘rumoroso
quindi chiunque stia guardando l’audio potrebbe
voglio abbassarlo okay guardiamo
utilizzerà la crittografia su Android
l’app portachiavi aperta che conserva a
chiavi crittografiche e al momento è solo
ne ho preso uno per questo account falso che ho
fatto il salto al coniglio demo della Danimarca e se
abbiamo intenzione di usarlo per inviare una
messaggio crittografato a me Tim Bray siamo
avrò bisogno di trovare la mia chiave, quindi facciamolo
aggiungi una chiave e cerca nel cloud Tim
in questo momento noterai che senso ha
è collegato ai miei contatti Android
abbastanza facile da trovare cose che non lo fanno
fare troppo digitando così andrà
in parallelo e ricerca q essere un amministratore delegato
e i server PGP aperti e trova
tre tasti per quelli di Tim Bray per
qualcun altro laggiù in fondo
uno è stato revocato e uno è attuale
chiave pubblica per me, quindi importiamolo
e quello ha funzionato ora è parte del mio
portachiavi va bene quindi mandiamo un messaggio
passiamo a google mantenere dove
Ho un piccolo messaggio criptato d’amore
dalla Danimarca e lo cripterò
utilizzando meccanismi di condivisione Android standard
condividendolo per cifrare con il portachiavi aperto
Non voglio sapere chi criptarlo
per e quello sarò io e chi firmerà
lo firmerà con il doma go-to
account coniglietto e siamo pronti per andare a
crittografare e condividere
Ora, naturalmente, questo è il problema per
condividilo correttamente, dovremo farlo
usa una passphrase che è orribile
qualsiasi dispositivo mobile e come risultato scelgo
qualcosa di assurdamente facile che è una specie di
sconfiggendo lo scopo ok così ho digitato
la passphrase estrae la chiave e
lo crittografa e dice che va bene
un messaggio crittografato che vuoi come
vuoi condividere o condividere con Gmail
ottiene le due linee corrette, quindi lo faremo
basta digitare un argomento e inviarlo
messaggio spento per la sua strada va bene ora
fortunatamente c’è una soluzione a questo
password per la frase chiave per il
passphrase per questi problemi di chiave privata
tutto bene qui siamo in gmail e qui
è il messaggio segreto del coniglio dimostrativo
inviato a me ora che c’è un
breve irrazionale in arrivo in Gmail che
non puoi semplicemente cliccare su un messaggio e
Dì, condividi quel messaggio, quindi in realtà
selezionato il corpo del messaggio e
diciamo che c’è anche un bug aperto
cucina al momento siamo in questo
particolare insieme di circostanze, ho appena
non posso condividerlo in cripta ma copiamo
il messaggio passiamo ad aprire
portachiavi e diciamo decrypt in modo che possiamo
solo cripta bisognosa dagli appunti ora
ricorda quando abbiamo inviato questo messaggio noi
dovevo usare private demo coniglietti privati
chiave per firmarlo e questo significava digitare
passaporta demo coniglietti nel nobile
che era tremendamente doloroso e
allo stesso modo per decodificarlo usando il mio privato
chiave dovremmo usare la mia passphrase
per farlo e la mia passphrase dal momento che è
una vera chiave privata è lunga complicata
crittograficamente forte e sarebbe in
mandalo difficile da digitare, quindi facciamolo
non farlo, dobbiamo sistemare qui così
diciamo gli appunti di decifrazione e così via
Dice tieni la chiave contro la schiena di
il dispositivo e lì vai a lavorare d
decriptato, ti ha detto che lo era
firmato da coniglio dimostrativo e c’è un
messaggio per dolo dalla Danimarca va bene così a
la fine del keynote l’ho chiusa
con una foto di un for
e alla gente sembra piacere così, andiamo
torna alla foresta qui ecco una
diversa immagine di una foresta diversa
ed è bello so di essere canadese
come questa roba spendo tanto tempo quanto
Posso nella foresta ma conosci la foresta
è una specie di posto pericoloso
in particolare conosci 50 gradi di
latitudine nord dove siamo e tu sai
non andresti là fuori senza essere
preparato con abbigliamento adeguato in
le calzature e le cose da mangiare e tutto
la preparazione appropriata per essere
fuori nel deserto Internet è a
luogo pericoloso per sapere perché sulla terra
manderesti i dati dei tuoi clienti
su internet per l’archiviazione e
trasmissione senza l’appropriato
protezione e preparazione e
sempre più questo significa buone pratiche
per TLS di base ovunque HTTPS e se
stai davvero prendendo queste cose
seriamente e perché non sarebbe prenderlo
crittografia seriamente ovunque e
ci stiamo avvicinando al punto
dove ciò può essere fatto senza problemi di solito
e inizia a prepararti per questo ora
perché ho il sospetto in un piccolo
numero di anni questo non sarà
una scelta facoltativa è qualcosa che sei
dovrò fare per essere preso
seriamente così perché non vai e sii
leader invece di seguaci e iniziare
lavorarci adesso, quindi grazie
tutti
Please follow and like us: