برچسب: مایکروسافت

مایکروسافت در خبری نسبتا غیرمنتظره [اعلام کرده که احتمالا در زمانی به زودی جون ۲۰۱۶ سرتیفیک‌های TLSی که با الگوریتم هش SHA-1 درست شده باشن رو غیرفعال می‌کنه]. دلیل؟ تولید کالیژن (تصادم) در این شکل از رمزنگاری خیلی ارزون شده!

بذارین برای دوستان غیرفنی کمی به عقب برگردم. هش یا همون Hash الگوریتمی است که باعث می‌شه ما بتونیم از یک عبارت یا رشته یا فایل یا هر چیز دیگه که حاوی کمی اطلاعات باشه، به یک رشته برسیم. مثلا هش SHA1 اسم من این می‌شه:

$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

درست؟ حالا کافیه من به شما بگم «اسمم جادی است و هشش هم با ۶ شروع می شه و آخرش ۵ داره». شما اگر برین خونه و انواع مختلفی از اسم من رو بنویسیم و هش اونها رو حساب کنین، فقط در یک حالت به اون هشت که من بهتون دادم می رسین (اگر هش رو کامل بدم که بهترینه ولی معمولا بعیده دو رقم آخرش هم یکی در بیارد:

jadi@funlife:~$ echo -n "madi" | sha1sum
2ed1bf7f675c3e6a16ee159909348669980cc140  -
jadi@funlife:~$ echo -n "ladi" | sha1sum
423a605398fb490a7a7b583dc88974c2c46917d5  -
jadi@funlife:~$ echo -n "jady" | sha1sum
8d0136e02b2d142917a461130af21346d37c3f83  -
jadi@funlife:~$ echo -n "jaadi" | sha1sum
24dc889795b1aaf9845cd504606c62d3a968bb16  -
jadi@funlife:~$ 
jadi@funlife:~$ echo -n "jadi" | sha1sum
6e2a6b79db87627480f48d9ebc06642b75c2a1d5  -

در این مثال معلومه که کارمون مسخره است اگر ورودی بزرگ باشه، دادن هش برای چک کردن صحت ورودی روشی معقوله. مثلا وقتی می‌خواین سی دی اوبونتو رو دانلود کنین، هش‌هاش هم بهتون داده می شه تا بعد از دانلود مطمئن باشید که فایل کاملا سالمه.

تا اینجا درست؟ حالا آیا ممکنه یک هکر بیاد و فایلی درست کنه که ایزوی واقعی اوبونتو نیست ولی هش اون دقیقا با هش سی دی اوبونتو یکی بشه؟ این مساله از نظر ریاضی ممکنه (چون به هرحال طول هش SHA1 ثابته ولی طول ورودی می تونه متغیر باشه و در نتیجه حتما هش‌های تکراری داریم) اما از نظر عملی این امکان…

از نظر عملی درست کردن یک فایل که هش اون با هش مورد نظر ما دقیقا یکی بشه در سابق بسیار گرون بوده ولی از یک طرف با تلاش متخصص‌های رمزنگاری و ریاضی‌دان‌ها در پیدا کردن روش‌های سریعتر برای ایجاد تصادم و از اونطرف با اومدن کامپیوترهای پیشرفته تر و سریعتر و ارزونتر و بودن سرویس‌های ابری عظیم مثل EC2 آمازون که به آدم‌ها اجازه می ده با گرید کردن کامپیوترهای کوچیکتر به یک سوپرکامپیوتر برسن،‌ درست کردن یک هش تکراری با هش دلخواد هزینه‌اش حسابی پایین اومده، شاید چیزی در حدود ۷۵ تا ۱۲۰ هزار دلار که برای شکستن رمزهای TLS مبتنی بر SHA1 هزینه‌ای بسیار پایین به حساب می‌یاد.

در همراهی با مایکروسافت، موزیلا و گوگل کروم هم اعلام کردن که در زمانی نسبتا مشابه، سرتیفیکیت‌های تی ال اس مبتنی بر SHA1 رو غیرفعال خواهند کرد. کامپیوترها واقعا دارن پیشرفت‌ می‌کنن.

ماجرا از اینجا شروع شد که آریان یک ایمیل بهم زد گفت که وقتی سعی کرده در مایکروسافت اکانت درست کنه به این مشکل برخورده:

هاها بله. مایکروسافت بهش گفته که اسم Aryan حاوی عبارت‌های غیرمجاز است و نذاشته اکانتش رو درست کنه. ظاهرا این مشکل بقیه هم هست و آقای Dickinson و Rusek و خانم Reyes هم همین مشکل رو دارن و جواب‌های مایکروسافت هم اکثرا کپی پیست اینه که «بعضی اسامی اجازه ندارن» و یکبار هم پیشنهاد کرده که طرف از یک اسم دیگه استفاده کنه.

ماجرای بامزه ای است وقتی کنترل رو به ماشین ها می دیم و وقتی بین المللی می شیم (: من یکسری از این کلمه ها رو اصولا نمی دونم چه گیری در چه زبانی دارن ولی منطقا آریان و ریز و روسک که مشکل زبان انگلیسی ندارن. یادتون باشه اگر «سیستم هوشمند» طراحی می کردین نیازمند چیزی بیشتر از یکسری if‌ هستیم (:

یک بحث سیستم عامل‌های آزاد اینه که کامپیوتر من باید تحت کنترل من باشه نه تحت کنترل یک شرکت. درست مثل خودرویی که من از کارخونه می خرم و با اینکه تنظیمات کارخونه روشه اما در نهایت من هستم که کنترلش می کنم و بدون اینکه بخوام با پارس خودرو چک کنم، به ال.۹۰. در پیتم دستور می دم کجا بره و اونم لازم نمی بینه که وقتی منو رسوند استخر، به پارس خودرو اعلام کنه که امروز کجاها رفتم.

اما ظاهرا مایکروسافت و ویندوز ده هنوز اینو نفهمیدن. محققین امنیتی آرس تکنیکا می‌گن که حتی بعد از غیرفعال کردن بینگ، کورتانا و فعال کردن بالاترین سطح پرایوسی در ویندوز ۱۰، این سیستم عامل هنوز اطلاعاتی رو به سرویس‌های مختلف مایکروسافت می‌فرسته که شماره شناسایی کاربر رو هم به همراه دارن. این مساله بعد از جریان زیر نظر گرفتن کودکان به شکل پیش فرض باعث شده بحث‌های پرایوسی دوباره داغ بشه. درسته که ممکنه من به خیلی از این سرویس‌ها احتیاج داشته باشم و ذاتا بد نباشن ولی ۱) باید در پیاده سازی‌شون حریم خصوصی من رعایت بشه و وقتی لازم نیست اطلاعات من روی شبکه منتقل نشه و ۲) این امکانات باید تحت کنترل من باشن تا اگر خواستم اونها رو روشن نکنم نه اینکه به شکل پیش فرض روشن باشن و من فقط اگر درک و سواد کافی داشتم بتونم خاموششون کنم.

مایکروسافت در این مورد که چرا علیرغم تنظیمات پرایوسی، بازهم اطلاعات رو منتقل می کنه توضیحی نداده ولی به احتمال زیاد مانند ماجرایی که چند وقت پیش برای ابونتو افتاد، برخی از تنظیمات رو تغییر خواهد داد تا جلوی گسترش این سبک از انتقادها به سیستم عامل جدیدش رو بگیره.

راستی! امروز اولین روزی بود که من چند دقیقه ای با ویندوز ۱۰ کار کردم ولی خب معلومه که هیچ نظری در موردش ندارم و فقط امیدوارم دسکتاپ سرچ رو بهتر کرده باشه و بالاخره Virtual Desktopها رو هم به سیستمش اضافه کرده باشه. فکر کنم از سال ۲۰۰۰ به بعد هر سیستم عاملی که این دو تا رو نداشته باشه برای من غیرقابل استفاده است.

این هفته یک بحث پرایوسی مفصل درگرفته. بعضی افرادی گزارش می کنن که وقتی توی ویندوز ده برای بچه‌شون اکانت ساختن که اکانت‌هاشون با هم قاطی نشه، ویندوز شروع کرده به شکل هفتگی یک ریپورت از فعالیت‌های فرزند رو برای پدر یا مادر فرستادن! مثلا اینکه «بچه‌تون حسن این هفته به این سایت ها سر زده، اینقدر با کامپیوتر کار کرده و فلان دقیقه با این برنامه و بهمان دقیقه با اون برنامه کار کرده».

یکسری بحث اینجاست که آیا پدر و مادرها حق دارن روی فرزندان کنترل داشته باشن؟ مثلا اونطوری که دولت معتقده باید روی ما کنترل داشته باشه که یکهو سایت‌های خطرناکی مثل جادی.نت رو نخونیم (: اینجا دو سه نظر مختلف روی بحث‌ها هست و مثلا مخالفین می گن همونقدر که لازم نمی دونن دوچرخه یا کارت کتابخونه یک پسر ۱۶ ساله رو کنترل کنن، در اینترنت هم نباید اونو زیر نظر بگیرن و به جاش باید آموزش کافی بدن و اعتماد مشورت کردن رو به وجود بیارن.

ولی اصل نارضایتی اونجا بوده که آدم ها مدعی هستن این زیرنظر گرفتن بدون مجوز اونها بوده و حتی اگر مایکروسافت فیچری برای زیر نظر گرفتن دیگران فراهم کرده، نباید اون رو بدون رضایت والدین روشن کنه یا به شکل پیش فرض فعالش بذاره و فقط باید اطلاع بده که اگر کسی خواست، سراغش بره.

در قسمت اول شاید بشه بحث بیشتری کرد ولی در قسمت دوم به نظر من صد در صد حق با والدین است و من باید صاحب کامپیوتر خودم باشم. کامپیوتر من باید زیر نظر من کار کنه نه من زیر نظر کامپیوترم.

نکته: اگر از کامپیوتری استفاده می کنین که ویندوز ده داره و پدر و مادرتون براتون به عنوان «فرزند» اکانت مستقل درست کردن، احتمالا ایمیل های هفتگی کارهای شما رو به پدر و مادر اطلاع می ده (:

در حالی که همه هر سال غر می زنیم و مسخره می کنیم، مهدی غیاثی یک کار خوب کرده: بررسی دقیق و گزارش کردن باگ تقویم شمسی ویندوز به مایکروسافت. خودش می نویسه:

من دیروز تلاش کردم که با پشتیبانی ویندوز صحبت کنم، بلکه بتونن یه باگ ریپورت بفرستن به تیم مورد نظر و این قضیه ساعت ویندوز رو حل کنن. ولی در کمال ناباوری، دیدم تاریخی که ویندوز می‌خواد این دفعه ساعت رو بکشه جلو، دقیقن درسته. اولش فکر کردم آپدیتی چیزی دادن و این مشکل حل شده، از پشتیبانی تشکر و خداحافظی کردم.
اما موضوع وقتی عجیب‌تر شد که دیدم لپ‌تاپ قدیمی‌ای که روش ویندوز ۷ داره و آپدیت هم نشده، اون هم قصد داره دقیقن به موقع ساعت رو بکشه جلو!
شروع کردم به تغییر تاریخ ویندوز، تا ببینم در هر سالی چطور می‌خواد ساعت رو جلو و عقب بکشه. دیدم ظاهراً هر سال یک روز میفته عقب‌تر. یعنی سال ۲۰۱۵ کاملاً درسته، بعد سال ۲۰۱۶ یک روز عقب‌تر میاد، سال ۲۰۱۷ یک روز بیشتر و … و جالبه که دوباره در سال ۲۰۲۰ درست میشه. ظاهراً سال ۲۰۱۰ هم همینطور بوده. انگار الگوریتمی که سعی می‌کنه تاریخ شمسی رو منطبق کنه بر میلادی و به دست بیاره که چه روزی باید این تغییر رخ بده، یه باگ داره که هر سال یک روز میفته عقب، و در سال‌های مضرب ۵ دوباره درست میشه و سالهای بعدش دوباره یکی یکی میره عقب!

و رفته و باگ رو ریپورت کرده. خوبه اگر شما هم می خواین تقویم درست بشه و زمان درست جلو و عقب کشیده بشه به صفحه گزارش این باگ در فروم ویندوز برین و با فشار دادن دگمه Me Too در سمت راست بالا، بگین که شما هم این مشکل رو دارین. البته اگر فکر می کنین راه بهتری هست خیلی خوبه اونم دنبال کنین و به بقیه هم بگین تا شاید بالاخره از باگ لعنتی راحت بشیم.

و البته اینجا هم می تونین به فیچرهایی که دوست دارین به ویندوز اضافه بشین رای بدین که در صدرشون تقویم فارسی و بازشدن مارکت برای ایران و اینجور چیزها است.

عکس از امین.