Csak a tudomány, semmi más

Posted by tacsko as Uncategorized

A blog elmúlt egy hónapos, kezd körvonalazódni a bejegyzések témája és jellege. Úgy tűnik, hogy a teknikai, tudományos bejegyzések száma jóval meghaladja a magán jellegűekét. Mivel vannak rendszeres látogatóim akiket nem akarok zaklatni nem szakmai kirohanásaimmal, létrehoztam egy linket, ahol nem fecsegek érdektelen témákról.

A http://tacsko.securebox.hu/tech oldalon nem kerülnek megjelenítésre magán jellegű bejegyzések, egyenlőre minden más érintetlen maradt. Ha bármi más észrevételetek van az oldallal kapcsolatban, ne habozzatok írni.

Tessék lelkesebben kommentelni!

OpenID

Posted by tacsko as hálózat, tech

Nem akarok sok időt vesztegetni az OpenID bemutatásával, rengeteg leírás született már magyar nyelven is (webisztán1,webisztán2). Röviden és tömören arról van szó, hogy ma már mindenki webes portálok egész armadáján regisztrálja magát, mindenhol külön jelszót és login nevet használ. Ilyen mennyiségű jelszó megjegyzése önmagában megerőltető, nem beszélve arról, hogy minden egyes bejelentkezésnél újból be kell gépelni adatainkat. Erre a problémára nyújt tökéletes megoldást az OpenID. Képzeljük el, hogy egyetlen azonosítóval beléphetünk minden oldalra amit használunk, regisztrálásnál nem kell az idegesítő adatlapokkal foglalkoznunk, és nem tudná előttünk senki lefoglalni jól megszokott nevünket. Csodásan hangzik, igaz? Persze ez még nem valóság, sajnos még nem vette észre mindenki az OpenID-ban rejlő csodás lehetőségeket, de a technológiát támogató oldalak száma napról-napra nő.

Nagyon egyszerűen arról van szó, hogy minden OpenID felhasználó egy tökéletesen egyedi, publikus URL-el azonosítja önmagát. Ilyen URL-hez könnyen hozzájuthatunk a következő oldalak valamelyikén:

• ClaimID
• myID
• myvidoop
• myOpenID
• VeriSign

Én a myOpenID-t választottam, így erről tudok bővebben beszámolni. Regisztrációkor a megszokott módon választunk egy login nevet, valamint egy erős jelszót. Ha ezzel megvagyunk már el is készült első OpenID-nk, mely a <login>.myopenid.com URL lesz. Én nem bírtam magammal, azonnal ki kellett próbálnom újonnan szerzett internetes azonosítómat, véletlenszerűen felkerestem egy OpenID-t támogató honlapot, megadtam azonosítómat, az visszadobott a myOpenID honlapon található beállításaimhoz.

Mit látunk a képen? (így semmit, ezért kell rákattintani) A www.thewayithink.co.uk oldal szeretné, ha igazolná a myOpenID személyazonosságunkat, valamint e-mail címünket is szeretné elkérni, erre még később visszatérek. A kép alján látható három lehetőség közül választhatunk:

• AllowForever: a későbbiekben a myOpenID autómatikusan igazolja kilétünket az adott oldalnak, ez az oldal nem fog megjelenni többet
• AllowOnce: ezen egy alkalommal adunk engedélyt, a következő bejelentkezésnél is fel fog ugrani az ablak
• Deny: nem adunk engedélyt

Ha az első két lehetőség közül választunk, ismét visszatér böngészőnk a www.thewayithink.co.uk oldalra, immár bejelentkezve.

A képen láthattuk még a Select a persona választási lehetőséget. A persona tulajdonképpen egy személyhez tartozó adatok összesége, például e-mail cím, nick name, country, zip code, etc. Ezen adatok megadása akkor hasznos, ha egy oldalra való regisztráláshoz több adatra van szükség. Ilyenkor a fentebb látható képen megjelenítésre kerülnek az igényelt adatok, és engedélyezés esetén a régen megszokott formok autómatikusan kitöltésre kerülnek. A myOpenID lehetőséget ad felhasználóinak több persona fenntartására, ez akkor lehet hasznos, ha nem megbízható oldalak elől szeretnénk elrejteni valódi adatainkat.

Csodás. Kész van első OpenID-nk, és használni is tudjuk. De gondolkodjunk egy picit tovább. Mi van akkor, ha nekem már van egy tökéletesen egyedi URL-em, teszem azt a blogom címe. Használhatom azt OpenID-ként? Természetesen.

Saját OpenID

Semmi mást nem kell tennünk, mint megmondani az URL-ünkre látogató autentikációt kérő oldalaknak, hogy valójában hol található az általunk használt OpenID szerver, és azon a szerveren milyen OpenID-t regisztráltunk. Mi sem egyszerűbb ennél.

A következő két sort kell beilleszteni honlapunk <header> részébe.

<link rel=”openid.server” href=”http://www.myopenid.com/server” />
<link rel=”openid.delegate” href=”http://LOGIN.myopenid.com” />

Természetesen a www.myopenid.com/server szolgáltatónktól függ, a LOGIN.myopenid.com pedig értelemszerűen a már korábban regisztrált OpenID.

Az ilyen módon történő megoldásnak további előnye, hogy ha valami oknál fogva megváltoztatnánk szolgáltatónkat, a két bejegyzést nemes egyszerűséggel átirányíthatjuk másik szolgáltatóhoz úgy, hogy az OpenID érintetlen maradjon.

Bizalom

Már csak egy dologról kell szót ejtenem. Amikor elkészítjük első azonosítónkat valamelyik ingyenes szolgáltatónál, kénytelenek vagyunk megadni érzékeny adatokat. Természetesen arra még nem volt precedens, hogy ezekkel visszaéltek volna, de vegyük észre, hogy az OpenID egy nyílt protokoll, rengeteg nyílt forrású könyvtárral háta mögött, szinte minden ma elterjedt programozási nyelven. Semmi sem akadályoz meg minket abban, hogy saját szervert futtassunk, ily módon nem kell kiadnunk senkinek adatainkat.

Nem kell megijedni, a legegyszerűbb program ami szabadon hozzáférhető, még adatbázist sem igényel, egy egyszerű php script. Beállítása nem jelenthet problémát azoknak, akik komolyan elgondolkoztak saját szerver felállításán. phpMyID ( leírás a README fájlban, ha mégis problémába ütköznél, kérdezz bátran )

Forrás, bővebb leírás: www.interwingly.net

Tessék OpenID-t használni!

Peter.Hajdu.myopenid.com

Titkosított fájlrendszer 1. ( pendrive )

Posted by tacsko as GNU/Linux, biztonság, privacy, tech, ubuntu

Korábban már volt szó a biztonságos adatmegsemmisítésről, hát most vessünk pár pillantást a biztonságos adattárolás témakörére. Bemelegítésként a kis méretű usb-re csatlakoztatható eszközökkel foglalkozok, mivel ezek elvesztése a legvalószínűbb, ennek ellenére rákényszerülünk, hogy érzékeny információt hordozzunk rajtuk.

Több megoldás is született az évek során, választásom a LUKS-ra esett. Titkosított fájlrendszer használata során a 2.6-os kerneltől támogatott dm-crypt-et használjuk. A dm-crypt (device-mapper crypto target) egy virtuális eszközt hoz létre a /dev/mapper könyvtárba, melyet minden nehézség nélkül úgy használhatunk, mint bármely más eszközünket. Ha a virtuális eszközre írunk, az valójában titkosítva kerül tárolásra a valódi eszközön, míg ha olvasunk, akkor kititkosítva kapjuk meg az adatot.

Nézzük hogyan titkosítsunk Gutsy Gibbon alatt.

Szükséges csomagok, kernel modulok:

Szükségünk lesz a cryptsetup programra, mely támogatja a LUKS funkciókat, valamint a dm-crypt és a titkosító algoritmus modulokra.

sudo apt-get install cryptsetup

sudo modprobe dm-mod

sudo modprobe dm-crypt

sudo modprobe aes

A cryptsetup installálását követő újraindításokkor a szükséges modulok autómatikusan betöltésre kerülnek, ha ez mégsem történne meg, adjuk azokat hozzá az /etc/modules fájlhoz.

Beállítás:

Ahogy azt már korábban megtanultuk, először minden adatot biztonságosan eltávolítunk az eszközről a shred program segítségével. Az én esetemben a pendrive a /dev/sdb eszköz.

sudo shred /dev/sdb -v

Következhet a tároló formatálása, LUKS partíció létrehozása.

cryptsetup –verify-passphrase –verbose –hash=sha256 –cipher=aes-cbc-essiv:sha256 –key-size=256 luksFormat /dev/sdb

WARNING!
========
This will overwrite data on /dev/sdb irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

Az így elkészített partíciót megnyitjuk a dm-crypt segítségével, hogy az használható legyen a rendszer számára.

cryptsetup -v luksOpen /dev/sdb crypted-drive
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.

Ha sikeres volt a megnyitás, a virtuális eszközt láthatjuk a /dev/mapper könyvtárban. A kititkosított partíción létrehozhatjuk a későbbiekben használni kívánt partíciónkat. Az én esetemben ez vfat lesz, így windows alól is elérhetőek lesznek adataim.

mkfs.vfat /dev/mapper/crypted-drive -v
mkfs.vfat 2.11 (12 Mar 2005)
/dev/mapper/crypted-drive has 0 heads and 0 sectors per track,
logical sector size is 512,
using 0xf8 media descriptor, with 495896 sectors;
file system has 2 16-bit FATs and 8 sectors per cluster.
FAT size is 242 sectors, and provides 61922 clusters.
Root directory contains 512 slots.
Volume ID is 474c1e1b, no volume label.

Távolítsuk el virtuális eszközünket.

cryptsetup luksClose crypted-drive

Mostantól minden adat titkosítva lesz tárolva eszközünkön. Gnome környezetben a rendszer autómatikusan felismeri az eszközt, csatolása nem jelenthet problémát. Más rendszereken csatoláshoz és leválasztáshoz a következő parancsokat használhatjuk.

csatolás:
cryptsetup luksOpen /dev/sdb crypted-drive
mount /dev/mapper/crypted-drive /mnt -tvfat
leválasztás:
umount /mnt
cryptsetup luksClose /dev/mapper/crypted-drive

A meghajtót windows alatt a FreeOTFE program segítségével használhatjuk. A legjobb megoldás, ha az eszközön két partíciót hozunk létre, az egyik egy nem titkosított vfat partíció, melyre a FreeOTFE-t másoljuk, a másik pedig a titkosított partíció. Ily módon windows környezetben is használhatjuk adathordozónkat.

Jó titkosítást!

Üdvözlet Zalaegerszegről

Posted by tacsko as Uncategorized, én

Idén picit korán jött a hó, meglepődtem mikor felkeltem.

BitTorrent egy picit közelebbről 1.

Posted by tacsko as hálózat, p2p, tech

Ugyancsak több bejegyzést igénylő sorozatba kezdek, elsőként álljon itt egy bevezető a BitTorrent protokollról.

A BitTorrent napjaink egyik legelterjedtebb fájlcserélő protokollja. Amikor azt írom fájlcserélő, ne gondoljon senki a jogvédett tartalmak illetéktelen megosztására. Sajnos bizonyos szervezetek sikeresen félrevezették a hozzá nem értő internet felhasználókat. A BitTorrent egy csodás technológia, mely segítségével kis sávszélességgel rendelkező szerverek is megoszthatják fájljaikat anélkül, hogy elfogyasztanák amúgy is szűkös erőforrásukat. Mindezt oly módon, hogy a letölteni kívánt fájlokat nem a szervertől kapják a felhasználók, hanem egymás között osztják azt meg.

Hogy működik a BitTorrent?

A megosztani kívánt fájlt mindig azonos méretű kis darabokra osztjuk fel, mely darabok mérete 64KB és 1MB közé esik. Minden kis darabhoz egy ellenörző összeget rendelünk, melyet SHA1 hash algoritmussal generálunk. A későbbiekben ha egy felhasználó egy darabkát letölt más felhasználótól, ezen ellenörző összegek segítségével ellenőrizheti azok hitelességét.

Minden torrent-hez generálnunk kell egy meta info fájlt, melynek kiterjesztése általában .torrent és a következő adatokat tartalmazza: a tracker szerver URL-t, a megosztani kívánt fájlok nevét, méretét, elérési útvonalát és a darabkákhoz tartozó már korábban generált SHA1 ellenörző összegeket.

A letöltés megkezdéséhez ezen torrent fájlra van szükség, mely minden szükséges információt tartalmaz. Ne tévesszük össze a torrent fájlok keresésére szolgáló webes felületet szolgáltató szervereket a tracker szerverekkel, azok csupán segítséget nyújtanak a torrent fájlok közötti kereséshez, és a fájlok beszerzéséhez.

Amikor elkezdünk egy BitTorrent letöltést kliensünkkel, az először a tracker szerverrel veszi fel a kapcsolatot HTTP protokoll segítségével. A tracker szerver minden torrent-hez tárolja azon felhasználók címét, akik már részt vesznek a megosztásban. Ha új letöltő jelentkezik be, a tracker elküldi neki a már bejelentkezett felhasználók listáját, majd az új letöltő is felkerül rá.

Miután kliensünk rendelkezik minden szükséges információval, megpróbálja felvenni a kapcsolatot a tracker-től megszerzett felhasználókkal.

Az egyes felhasználókkal TCP kapcsolatot épít ki, ezeken keresztül fog megtörténni a tényleges adatátvitel. A letöltő és feltöltő felek ezen csatornákon keresztül nem csak a fájlokat cserélik, hanem a jelzésinformációk is itt kerülnek továbbításra. Hirdetik, hogy mely darabkákat tudják feltölteni, melyekre van még szükségük és egyéb állapotinformációkat is közölnek egymással.

Folytatása következik, hagyd futni a torrent kliensed.

Források:

• wiki.theory.org
  
• www.bittorrent.org