<div dir="ltr">*HEAR HEAR*</div><div class="gmail_extra"><br><br><div class="gmail_quote">Op 31 januari 2014 17:28 schreef Patrick Godschalk <span dir="ltr"><<a href="mailto:patrick.godschalk@piratenpartij.nl" target="_blank">patrick.godschalk@piratenpartij.nl</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dat vind ik dus wel; want het is desinformatie. :P<br>
<br>
Die drie regels voor gpg.conf werken inderdaad *voor nieuwe keys*. Voor<br>
oude keys moet je echter nog handmatig de keys editen en prefs<br>
bijwerken. Wijzig gpg.conf maar eens, en draai eens showpref op een oude<br>
key. Ongewijzigd.<br>
<br>
Daarnaast geven beiden artikelen potentieel gevaarlijke informatie omdat<br>
ze compressiealgoritmen prefereren boven Uncompressed. Het comprimeren<br>
van versleutelde data is ook erg gevaarlijk, omdat je er de message<br>
length mee kan achterhalen.<br>
<br>
Dat is bij handmatig getikte emails zoals deze niet zo'n groot probleem.<br>
Het is wel een groot probleem bij geautomatiseerde emails met een vaste<br>
regellengte, zoals:<br>
<br>
"Je nieuwe wachtwoord is: foo2bar=="<br>
"Je nieuwe wachtwoord is: bar99foo1"<br>
"Je nieuwe wachtwoord is: pie>cake!"<br>
<br>
Het is om deze reden dat compressie altijd uitgeschakeld dient te worden<br>
op bijvoorbeeld webservers.<br>
<br>
Meer info (gepubliceerd door experts):<br>
CRIME:<br>
<<a href="http://blog.ivanristic.com/2012/09/crime-information-leakage-attack-against-ssl-tls.html" target="_blank">http://blog.ivanristic.com/2012/09/crime-information-leakage-attack-against-ssl-tls.html</a>><br>
BREACH:<br>
<<a href="http://blog.ivanristic.com/2013/08/defending-against-the-breach-attack.html" target="_blank">http://blog.ivanristic.com/2013/08/defending-against-the-breach-attack.html</a>><br>
<br>
CRIME/BREACH en afgeleiden richten zich momenteel vooral op HTTP omdat<br>
dat het meest interessant is, maar email is net zo vatbaar. En nu gaat<br>
het vooral om 'voorspelbare' data - maar attack vectors evolueren nu<br>
eenmaal en op een gegeven moment zal ook niet-gauatomatiseerde e-mail<br>
(en dus ook eerder verzonden email) voor deze attack vector vatbaar<br>
zijn.<br>
<br>
Om deze reden wordt ook overal nu compression massaal uitgeschakeld.<br>
Voorbeeldje (en shameless plug):<br>
<<a href="https://github.com/atheme/charybdis/commit/362ef2d9eecf3d4bcf93ed0d486e2e5d0352e9f4#diff-3cdc3875d3c938e7f4d784194f34f07dR316" target="_blank">https://github.com/atheme/charybdis/commit/362ef2d9eecf3d4bcf93ed0d486e2e5d0352e9f4#diff-3cdc3875d3c938e7f4d784194f34f07dR316</a>><br>

<br>
Maar de artikelen die je linkt raden gewoon keihard compression aan,<br>
zonder het uberhaupt over deze attack vectors te hebben. Als iemand nu<br>
dat advies gebruikt om die eerdere password-emails te gebruiken, dan<br>
hebben ze dus een probleem; omdat iemand expertise claimt terwijl deze<br>
niet over voldoende expertise beschikt.<br>
<br>
Nogmaals: desinformatie is een ontzettend groot probleem.<br>
<div class="HOEnZb"><div class="h5">--<br>
Patrick Godschalk<br>
<a href="mailto:patrick.godschalk@piratenpartij.nl">patrick.godschalk@piratenpartij.nl</a><br>
GPG: <<a href="https://argure.nl/identity/ecc14594.asc" target="_blank">https://argure.nl/identity/ecc14594.asc</a>><br>
This e-mail falls under the CC0 1.0 Universal Public Domain Dedication.<br>
<br>
<br>
</div></div><br>_______________________________________________<br>
Algemeen discussielijst | Piratenpartij<br>
<a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a><br>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
<br></blockquote></div><br></div>