Re: [DFRI-listan] Intressant tråd på debian-security som berör SSL och Tor

[Andreas Jonsson <andreas@xxxxxxxxx>]

On 2013-10-29 17:27, Niklas Johansson wrote:
>>
>>
>> Eh. vad jag förstår så opponerar sig avsändaren över att debian inte
>> tillhandahåller säkerhetsinformation över https.
>>
>>
>> Förstår ej vad spegling av repo skulle göra för skillnad?  än mindre
>> varför tor-hidden service skulle göra någon skillnad.
>>
>>
>>
> http://lists.debian.org/debian-security/2013/10/msg00038.html
> http://lists.debian.org/debian-security/2013/10/msg00041.html
> 

Hej!
Ok, så om vi bortser från
http://lists.debian.org/debian-security/2013/10/msg00027.html utan
istället bryr oss om 00038 då;


- Even when an adversary found a way to exploit apt-get's OpenPGP
verification, the exploit could not be used, because Tor hidden
services implement its own encryption/authentication.

Felaktig analys. Du är precis lika stekt.

1) Antingen så har du en rogue update som har en signatur, vi speglar
ned den, någon installerar den över tor. Den som installerar är stekt.

2) Antingen har de exploit för OpenPGP-verifiering. Vi speglar ned
signaturen, (om vi verifierar är vi givetvis också stekta, beroende på
sploit), Användaren tar hem den över TOR, blir stekt under
verifieringsstadie.

- An adversary could not even know that someone is downloading apt-get
updates.

Sant, om inte den tidigare punkten är korrekt, eller om tidigare punkt
och portal används. Då är du ägd, fast över tor då.

- We obscure more internet traffic, good for Tor (diversifying user
base and use cases), adding more hay to the haystack.

Vet inte hur jag förhåller mig till den här punkten.

- It becomes more difficult to mount rollback/freeze attacks. We have
the valid-until field, but Tor HS would be a nice as defense in depth.

Den här attacken förstår jag inte.

/andreas

-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
http://dir.gmane.org/gmane.org.user-groups.dfri