קטגוריה: פוליטיקה

פורסם ב

SHA-1 מט

למי שלא מעודכן בעולם הקריפטוגרפיה, עוד אלגוריתם האשינג התגלה כחלש, לאחר שב-2005 נתגלו עדויות שיש מצב שהוא בעייתי מתמטית. זה לאחר שבחודשים האחרונים התגלה שגם מאוד קל לייצר זיוף של MD5 (עדיין, לא להבהל. אלא אם כן יוכיחו אחרת, מידע שחתום ומוודא גם עם MD5 וגם SHA-1, עדיין בלתי ניתן לזיוף). משפחת הSHA-2 עוד לא ממש החליפה אותו במוצרים בשוק, אבל כיון שמדובר במשפחת פונקציות מאוד דומות רק של יותר ביטים, אין מניעה שגם זה אולי יקרה בעתיד. בינתיים יש מרוץ לבחירה פתוחה באלגוריתם שיקבל את הציון SHA-3.

מה המשמעויות הפראקטיות? ובכן פרויקט דביאן מבקש מהחברים לא להעיף את האלגוריתם מהספריות כי עדיין רשת האמון של מפתחות החתימה מבוססת עליו. במקום זאת, הם ממליצים ראשית להגר ולחתום מחדש עם אלגוריתם חדש יותר, למשל SHA512 ממשפחת SHA-2. לפי מפתח הPGP שלי, זה אומר למשל שאני צריך לבקש חתימה מחדש מחלק מהחותמים הותיקים שלי. אבל לפני שהלכתי לברר אילו מהחתימות צריכות ריענון, מסתבר שאני גם צריך לייצר מפתח חדש כי DSA1024 חייב לצאת גם הוא לגמלאות. דביאן ממליצים על מפתחות RSA2048 ומעלה, וזה אומר ש-1675 מתוך 2243 מפתחי דביאן יצטרכו לייצר מפתחות חדשים.

בנקודה זו, 95% מקוראי הבלוג בוודאי ברחו בצעקות של "מה רוצה ממני המשוגע?! למה זה מעניין אותי?".

ובכן, במדינת ישראל קיים לו חוק החתימה הדיגיטלית כבר 10 שנים. לא הגדירו איך חותמים, באילו שיטות, איך מיוצרים המפתחות, איפה הם נשמרים, איך הם מבוטלים וכולי, רק מוסבר שעל חתימה דיגיטלית אפשר לסמוך יותר מאשר על חתימה בכתב יד, גם בבית משפט. מדינת ישראל רוצה שלכל אחד מאיתנו יהיה כזה, אבל איך מיישמים? אם אכן נגנב המפתח החותם או ששיטת ההצפנה והחתימה נחלשות או נפרצות כמצוין לעיל, הרי שצריך עכשיו להפסיק לסמוך פתאום על מאות מליוני חתימות על מסמכים שבשוק, וצריך לייצר מפתחות חדשים למדינה שלמה, ואנשים יצטרכו להזדהות שוב מול המדינה עם המפתח החדש… בלגן! רוב הסיכויים, כמו שאנחנו מכירים ממשלות, זה שהפקידים יגידו "יקר מדי, לא נורא אם ישתמשו ברמת אבטחה נמוכה יותר? מה כבר יכול לקרות?".

ולמה זה יצליח להם? בגלל שאנשים לא מבינים את הטכנולוגיה והטרמינולוגיה. הציבור לא מבין ולא יבין הצפנה. יתנו לו כרטיס ביד ויגידו לו "אל תאבד אותו" אבל הוא יאבד אותו. יגידו לו לזכור סיסמא והוא ישכח אותה. וזה במקרה הטוב.

במקרה הרע, צפויה לנו מכת גניבות זהות. יום אחד תגלו שמכרתם את הבית, או משכנתם אותו ולא שילמתם, או סתם שבמקרה יש לכם 10 חשבונות בנק מעפולה עד בורות לוץ וכולם בחריגה ולכן גם חשבון הבנק הלגיטימי שלכם מוגבל.

אומר לנו שטרית, שחוק המאגר הביומטרי יארגן את זה ויגן עלינו, אבל אני ואחרים לא מאמינים שזה יקרה (ויום אחד אסיים כבר את הפוסט בנושא), אבל תחשבו על זה שהמשמעויות של מערכות קריפטוגראפיות גולש לנו לחיים, להצבעות אלקטרוניות, לגישה מקוונת לממשל, אבל אם רובנו המוחלט לא מבין את הטכנולוגיה שמתחת, איך יוכל אזרח לנצל את הכלי לשמירה על עצמו? לדעתי יש בקיעים פה שראוי להם פוסט יום אחד, תקראו לזה הקדמה.

פורסם ב

TEDx עברי אצלנו בת"א!

תרגומי טד רק הוכרזו לא מזמן וכבר העברית היא אחת מהשפות המתורגמות ביותר (בוודאי המתורגמת ביותר לפי יחס לגודל אוכלוסית הדוברים), והמתרגם הכי יעיל-פעיל (נכול לרגע זה) הוא שלמה אדם שכבר תרגם את חצי מההרצאות שבעברית.

אבל החדשות המעניינות יותר היא שחברתי לספסל הלימודים מיה אלחלל השיקה ((עם וורדפרס!)) את האתר של כנס TEDxTLV, שהוא כנס מקומי משלנו במסגרת תכנית TEDx שבה טדסטרים מכורים כמוה מרימים כנס מקומי בפורמט דומה ומרכזים את טובי הרעיונאים, היוצרים והמדענים לתת לקהל רעיונות טריים לחיים. שלחתי אליה כמה שמות של אנשים ששווה להביא לשם, אבל הרשימה עדיין פתוחה – אתם יכולים להציע את עצמכם או אחרים אם אתם חושבים שקורצתם מהחומר הנכון…

נשאיר אתכם עם כמה מחשבות (מתורגמות!) של אל גור ((רציתי לאמבד אבל משום מה הגירסא עם התרגום לא מתאמבדת בינתיים)) משיחה מלפני שנה, שמתמלל את המסקנות שהגעתי לאחרונה אליהן מקריאה ומחשבה גם מכיוונים אחרים (חבל שגיליתי אותה מאוחר, היה חוסך לי זמן 🙂 ) ואכתוב על זה יותר בעתיד הקרוב.

פורסם ב

כלים להקל על עריכת מדיה־ויקי

אני מנהל מספר ויקים על מדיה־ויקי וחבר בעוד כמה (ובאחד פחות…). היום התעופפה לי חצי שעה של עריכה בויקי שניות לפני שלחצתי שמירה בשל תקלת של חח"י (את הUPS הם דפקו לי לפני חצי שנה בסופת ברקים). בוורדפרס וג'מיל התרגלתי שחברת־החשמל לא יכולה להשבית לי שמחות, אבל פונקציה דומה במדיה־ויקי זה בעיה להפעיל מסיבות רבות. לשואש היה אמור להיות מנגנון שמשחזר מקריסה את הטאבים כולל תכני־טפסים אבל הוא לא עבד, אז התקנתי בזמנו את TMP אבל גם הוא לא עושה את העבודה.

אז שינסתי מותני והלכתי לחפש פתרונות לכמה דברים שהציקו לי (אוטומציה, שחזור עריכות מקריסה, עריכה משופרת וכולי). מצאתי בויקיפדיה האנגלית לא מעט כלים ששוה להכיר אבל אין לינק בינוויקי לעברית אז (עוד) לא חיפשתי מה גויר ואם יש המלצות. אני אבדוק אותם בימים הקרובים ואעדכן פה את הפוסט אם אגיע למסקנות. אבדוק עד כמה שאפשר תאימות הדדית וכמובן עברית, אבל אני לא מבטיח להיות יסודי – אני כנראה אעצור כשאמצא לי פתרון עובד. אם יש למישהי עוד עצות אז אתן מוזמנות להמליץ, וכמובן אם תמצאו משהו שאני לא גיליתי או לא הגעתי לבדוק – טופס התגובות במקומו מחכה.

  • WikiEd – ג'אווה־סקריפט דפדפנים מבוססי גקו ו-וובקיט (בקיצור לא אופרה ואקספלונטר) לסביבת עריכה משופרת של ויקיטקסט בתוך חלונות עריכה של מדיה־ויקי. תורגם לערבית אז בטח טוב גם לעברית, אני אציץ עליו אם יש מה לשנות שם בכיווניות או שהוא יורש אותה מהCSS ונשאר רק לתרגם את המחרוזות, ואם כך למה לא הפרידו את המחרוזות מגוף הסקריפט (אפשר להריץ סקריפט מינימליסטי והסקריפט המעודכן המלא רץ מאתר הבית של הויקיפדיה).

    תוכלו להתקין אותו בגריזמונקי לעצמכם, או בערכת המדיה־ויקי לכל משתמשי הויקי שלכם, או רק באתר המדיה־ויקי החשוב לכם (אם לא ידעתם, אז לכל יוזר במדיה־ויקי יש אפשרות לערוך לעצמו את הCSS האישי ואם מנהל האתר איפשר אז גם להוסיף סקריפטים). כתוב שיש כמה באגים ידועים בשואש 3 שפוגעים בתפקודו, אז אם אהבתם אותו, הצביעו למענם בבאגזילה של מוזילה.

  • אבל זה רק אחד, יש עוד הרבה כלי JS שונים, אם רק היה לי זמן לעבור על הכל ולדלות דברים שווים…
  • WikiEditPuffer – תוסף שואש ששומר עותקים מקומיים בזמן עריכה בחלון מדיה־ויקי כל X שניות או Y הקשות – מה שבא קודם. נשאר לכם ארכיון יפה (וגדל במהירות – יש להזהר!) של ערכים שערכתם, בקבצי טקסט קטנים שמהם אפשר לשחזר.
  • שלבו עורך חיצוני כמו Notepad++ או VIM או מה שאתם אוהבים, מתוך השואש.
  • לאזארוס יקים לכם לתחיה טפסים שמתו.
  • עוד רשימה ארוכה של תוספי־שואש, לא כולם ספציפיים דווקא למדיה־ויקי. יש גם לדפדפנים אחרים, אבל מי צריך? 🙂
  • לכל חובבי FUSE בלינוקס, יש את WikipediaFS. זה עושה בדיוק מה שאתם חושבים שזה עושה. זה פסיכי. אני לא מתכוון להתקין את זה 🙂

בפעם אחרת אציץ לראות אם מישהי מכן משתמשת בתוספים בשביל הוורדפרס שלה, לדוגמא סקרייבפייר, שווה? נראה שתומך עברית והוא הרי תוכנה חופשית, אז הא לכם כל משתמשי Live Writer, אתם מוזמנים לעשות הסבה.