Autor: Krzysztof Halasa (khc_at_intrepid.pm.waw.pl)
Data: Thu 20 Jul 2000 - 14:22:18 MET DST
Michal Zalewski <lcamtuf_at_dione.ids.pl> writes:
> W tym rozwiazaniu nie mozna, zdobywajac kontrole nad jednym tylko
> punktem. Trzeba zdobyc nad dwoma (i mozna to rozmnozyc na trzy). Maszyna
> logujaca oczywiscie najlepiej niech bedzie czarna skrzynka podpieta przez
> port szeregowy ;)
>
> Schemat: host OFIARA szyfruje wpis do logow kluczem publicznym A
> i przesyla do hosta LOGGER; w danych zaszyfrowanych jest numer
> sekwencyjny wpisu
>
> host LOGGER szyfruje nowe dane w trybie ciaglym szyfrem
> strumieniowym z kluczem publicznym B
Tyle ze tak naprawde to nam prawie nic nie daje w porownaniu do
tradycyjnego sposobu, w ktorym maszyna OFIARA wysyla logi clear textem
do LOGGERa (przypuszczalnie z numerami sekwencyjnymi, zeby dalo sie DOSy
namierzyc), a ten jest nielamalny i skladuje logi rowniez clear textem
(nielamalnosc LOGGERa zalezy od tego jak chcemy owe logi czytac, ale
ogolnie jest ja dosc latwo zapewnic).
A tu chodzi o to, by w ten sposob zaprojektowac logowanie, by logi mogly
- same w sobie - byc dowodem w sądzie (a nie podparte zeznaniem admina(ow),
ze on w nie wierzy, i ekspertow, ze nie mogly zostac przez nikogo innego
podrobione). W Twoim schemacie nie ma zadnego problemu dla admina (nawet
admina tylko OFIARy) z podrobieniem logow by obciazaly kogos niewinnego.
-- Krzysztof Halasa Network Administrator
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:34:40 MET DST