!rCWNvpCTZHQkiRYUDE:matrix.org

Matrix.fi

305 Members
Keskustelua Matrix-protokollasta (matrix.org) ja siihen liittyvistä sovelluksista suomeksi. Suomi-space: #matrix-suomi:kapsi.fi83 Servers

Load older messages


SenderMessageTime
28 Sep 2022
@cos:hacklab.ficosliekkö huono suomennnos, en ainakaan tajuaisi mitä toi tarkottaa13:15:59
@jkarlson:kapsi.fiEmil Karlson"Encryption upgrade available" oli muuten englanninkielinen muoto13:17:27
@cos:hacklab.ficosOn sekin vähän epäselvä. Päivittyy 1.0:sta 2.0:n?13:18:19
@sl:envs.netSamLeh
In reply to @jkarlson:kapsi.fi
joo, mäkin arvelin, että siihen liittyis
Siksi olen esittänyt mm. avaintenhallinnasta kritiikkiä, ettei vanhentuneet avaimet poistu. Koska sitten ne mahdollistaa viestien purkamisen myöhemminkin jos ne varastetaan.
13:31:19
@olmari:hacklab.fiSami Olmari
In reply to @jkarlson:kapsi.fi
mut hassua, että melkein toimii ilman
no, cross-signing on kuitenkin sen alkuperäisen päälle jatkettu, cross-signing olemassaolo ei ole ultimaattinen vaatimus että matrixin E2E toimii.. Samalla en toki osaa tietää miten just vaikka Element sit tykkää (:
13:31:34
@sl:envs.netSamLeh Sami Olmari: Elementin salaus hajoili, jos loggasi useamman clientin sisään ilman cross-signiä käyttäen recovery keytä. Toi oli just se mikä aiheutti mulla hirveästi ongelmia jossain vaiheessa. 13:32:15
@sl:envs.netSamLehSiinäkin on joku UX pöljyys, että device pitää verifioida vaikka cross signaa erikseen, eli käytännössä pitää lukea QR koodi kaksi kertaa ruudulta. Eikö se kerta voisi riittää?13:33:01
@flux:matrix.orgflux SamLeh: mutta jos vanhat avaimet poistetaan, niin ei itsekään voi lukea vanhoja viestejä? 13:36:33
@sl:envs.netSamLeh
In reply to @flux:matrix.org
SamLeh: mutta jos vanhat avaimet poistetaan, niin ei itsekään voi lukea vanhoja viestejä?
Ei niitä ole tarkoituskaan voida lukea sen jälkeen kun ne on vanhentunut (retention).
13:37:07
@flux:matrix.orgfluxaivan, joo no toi olisi ihan hyvä13:37:26
@flux:matrix.orgfluxlopulta auttaisi myös siihen ikuisesti kasvavaan avainstoreen, jos käyttää retentiota13:37:50
@sl:envs.netSamLehIhmettelin myös joskus miksi IV:stä puolet on nollaa, mutta ilmeisesti ratkaisu on sellainen joka käyttää joka blokille IV:tä johon lisätään CTR, eli IV vaihtuu jokaista salattavaa lohkoa varten. Koodia en tosin koskaan jaksanut katsoa. En sinänsä tiedä, miksi tuo olisi parempi kuin täysin satunnainen (kokonainen) iv.13:47:17
@sl:envs.netSamLeh * Ihmettelin myös joskus miksi IV:stä puolet on nollaa, mutta ilmeisesti ratkaisu on sellainen joka käyttää joka blokille IV:tä johon lisätään CTR, eli IV vaihtuu jokaista salattavaa lohkoa varten. Koodia en tosin koskaan jaksanut katsoa. En sinänsä tiedä, miksi tuo olisi parempi kuin täysin satunnainen (kokonainen) iv. - Toki krypto on sellasta joka toimii kuin keittiöpsykologia. Jos krypto professorit on näin sanoneet, niin kai se sitten on parasta olla niin. En tiedä.13:48:41
@sl:envs.netSamLeh * Ihmettelin myös joskus miksi IV:stä puolet on nollaa, mutta ilmeisesti ratkaisu on sellainen joka käyttää joka blokille IV:tä johon lisätään CTR, eli IV vaihtuu jokaista salattavaa lohkoa varten. Koodia en tosin koskaan jaksanut katsoa. En sinänsä tiedä, miksi tuo olisi parempi kuin täysin satunnainen (kokonainen) iv. - Toki krypto on sellasta joka toimii kuin keittiöpsykologia. Jos krypto professorit on näin sanoneet, niin kai se sitten on parasta olla niin. En tiedä. No se tuli mieleen, että jos toi CTR on per avain juokseva luku, niin sit siinä ois järkeä. Että vältetään se mahdollisuus että satunnainen IV aiheuttaisi kahdelle lohkolle saman IV:n, kun alku on random ja CTR onkin per avain juokseva. 13:51:36
@tulir:maunium.nettuliriv:n loppuosa on nollaa ettei se vuotais yli14:02:14
@tulir:maunium.nettulirkoska siinä 64 bitin jälkeen eri implementaatiot tekee eri asioita14:02:48
@tulir:maunium.nettulirtoki riittäis et se tokan puolen eka bitti olis 0, mut kukaan ei oo vaihtanu spekkiä sanomaan et pitäis tehä vaan niin14:03:18
@sl:envs.netSamLehTässä versiossa taitaa nyt olla ne krypto muutokset sitten mukana - https://github.com/matrix-org/matrix-js-sdk/releases/tag/v20.0.015:26:48
@sl:envs.netSamLehTässä compare paikatuista CVE:istä - https://github.com/matrix-org/matrix-js-sdk/compare/v19.6.0...v19.7.015:29:14
@olmari:hacklab.fiSami Olmari-1 ne on jo, mutta tuo tais AFAIK ola taasen hotfix kun ei ihan kaikkki sit pelannukkaan, mut joo...15:29:44
@olmari:hacklab.fiSami Olmari19.7.0 on se CVE fix ja 20.0.0 sit kai jotain mikä korjaa jotain oheista mitä edellinen hajotti, siksi noi tuli pikavauhtia15:31:54
@tulir:maunium.nettulirvielä tulee kai yks pätsi kun korjauksessakin on jotain vikaa15:35:05
@tulir:maunium.nettulirelewebissä 1.11.7, 1.11.8 ja pian varmaan 1.11.915:35:19
@olmari:hacklab.fiSami Olmari"top kek"15:35:22
@tulir:maunium.nettulirtai ehkä 1.11.9 on peruttu15:36:06
@tulir:maunium.nettulirimage.png
Download image.png
15:36:08
@uumas:kapsi.fiuumaskuinkas kriittinen tää on, kannattaako clientti (Android) irrottaa verkosta kunnes päivitetty?15:36:40
@rss:maunium.netRSS

Uusi tuutti @matrixdotorg​:​lta:

Full details of today's security release.

If you are using Element or an application that shares the same SDKs (Beeper, Cinny, SchildiChat, Circuli, http://Synod.im) then please upgrade now.

We have no evidence of exploitation in the wild.

https://matrix.org/blog/2022/09/28/upgrade-now-to-address-encryption-vulns-in-matrix-sdks-and-clients

16:10:07
@rss:maunium.netRSS

New post in matrix.org: Upgrade now to address E2EE vulnerabilities in matrix-js-sdk, matrix-ios-sdk and matrix-android-sdk2

16:10:09
@_neb_rssbot_=40cos=3ahacklab.fi:matrix.orgRSS Bot [@cos:hacklab.fi] Element Blog:
Important security update
16:10:44

There are no newer messages yet.


Back to Room List