Kategori: it-säkerhet

nollkunskapsbevis

(zero-knowledge proof) – sätt att bevisa att ett påstående är sant, eller att man har löst en uppgift, utan att man avslöjar något mer. – Nollkunskapsbevis innebär att man inte nämner fakta eller andra omständigheter som ingår i beviset. Enkelt exempel: man bevisar att man hittar i en labyrint genom att ta sig till utgången på kort tid – man behöver inte berätta hur man gjorde. – Nollkunskapsbevis har praktisk betydelse när man till exempel ska visa att man har löst en uppgift som man ska få betalt för. Beställaren vill inte betala förrän hon vet att utföraren verkligen har löst uppgiften, men utföraren vill inte lämna ifrån sig lösningen förrän hon vet att hon får betalt (se också codenapping). Genom att använda ett lämpligt nollkunskapsbevis kan utföraren visa att hon har löst uppgiften utan att visa hur lösningen ser ut. (Detta är tillämpligt främst på matematiska och logiska uppgifter.) – Nollkunskapsbevis har också användning i hantering av lösenord. Helst vill man inte att lösenord ska sändas över nätet. Man kan då använda ett nollkunskapsbevis som visar för servern att användaren har rätt lösenord, men som inte innehåller själva lösenordet. Ett exempel är när man skickar ett kondensat (hash) av lösenordet. – Nollkunskapsbevis är ofta baserade på sannolikhet, inte på total säkerhet. För att öka säkerheten upprepar man beviset på ett slumpartat sätt (inte exakt likadant). Om ett bevis ger, till exempel, 90 procents säkerhet, och man upprepar det med lyckat resultat tio gånger, är risken för att beviset ändå är fel 1-10 (en på tio miljarder). – I teorin om nollkunskapsbevis talar man om två roller:

  • sändaren (the prover) – den som ska bevisa något. Sändaren kallas ofta för Peggy;
  • kontrollanten (the verifier) – den som ska godkänna eller underkänna beviset. Kontrollanten kallas ofta för Victor.

– Forskningsfältet nollkunskapsbevis uppstod 1985Shafi Goldwasser, Silvio Micali och Charles Rackoff publicerade artikeln ”The knowledge complexity of interactive proof-systems” (länk). Benämningen zero‑knowledge proof har med tiden ersatt deras benämning interactive proof.

[it-säkerhet] [matematik och logik] [ändrad 10 april 2023]

Guccifer

signatur för den rumänska hackaren Marcel Lazăr Lehel. – ”Guccifer” blev känd 2013 då han gjorde dataintrång hos flera högt uppsatta personer i USA och spred informationen som han kom över. Lehel saknar djupare kunskaper om it och arbetade med mycket enkel utrustning. Han är dömd till fängelsestraff i både Rumänien och USA – Guccifer är en sammandragning av varumärket Gucci och Lucifer. – Se också Guccifer 2.0.

[hackare] [signaturer] [ändrad 8 november 2016]

Dyn

Oracle Dyn – ett amerikanskt företag som sköter prestanda och säkerhet på internet åt andra företag. Dyn utsattes i oktober 2016 för en distribuerad överbelastnings­attack (DDoS-attack) som ledde till att flera stora företags och myndigheters webbsidor blev oåtkomliga. (Deras webbservrar påverkades inte, men det gick inte att nå dem.) Bland annat drabbades Netflix, Spotify och Twitter och Myndigheten för samhällsskydd och beredskap, MSB. Dyn köptes 2016 av Oracle. – Se Oracles webbsidor.

[attacker] [företag] [uppköpt] [ändrad 3 september 2020]

Dirty cow

Sårbarheten Dirty Cows maskot: en tecknad ko som ser ut att vara nedstänkt med smutsigt vatten.
Det är ingen ko. Det är en bugg.

(inaktuellt) – en sårbarhet i kärnan till Linux. Den gav angripare möjlighet att ge sig själva högre behörighet i systemet. Dirty cow upptäcktes i oktober 2016 och åt­gärd­a­des kort därefter. – I själva verket hade sårbarheten funnits sedan 2007, då Linus Torvalds upptäckte den och åtgärdade den, men hans rättelse togs bort av misstag. Sår­barheten har att göra med funktionen copy‑on‑write, förkortat COW, därav namnet Dirty cow, och den finns inte i alla Linuxdistributioner. – Läs mer på dirtycow.ninja. – Kommentar från Linus Torvalds.

[inaktuellt] [linux] [sårbarheter] [ändrad 27 mars 2020]