id: Гость   вход   регистрация
текущее время 09:36 29/03/2024
Автор темы: omni, тема открыта 06/01/2007 21:06 Печать
создать
просмотр
ссылки

PGP стучит?!


Пролетали заметки, что PGP "стучит" хозяину, сообщая первые буквы диска.
Можно об этом поподробнее?


 
На страницу: 1, 2 След.
Комментарии
— unknown (08/01/2007 14:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Там и с лицензионной чистотой этого хозяйства получается довольно сомнительно.


Есть три разновидности таких дисков:
1. Лицензионно чистый, но не предназначенный для широкого использования WinPE. Его возможности ограничены. Копии можно получить только по специальной подписке для поставщиков OEM, крупных корпораций. Разумеется в свободном хождении есть и нелегальные копии таких дисков.
2. Лицензионно "наполовину чистый"
3. Совсем лицензионно нелегальный.

Популярный Bart PE и набор плагинов к нему имеют статус наверное близкий к сомнительно среднему.
— SATtva (08/01/2007 18:13)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, если не принимать во внимание совсем "чёрные" поделки, я имел в виду BartPE. Когда-то у её разработчика были "дискуссии" с MS, и ему предложили формировать пакет LiveCD из дистрибутива WinXP. С тех пор корпорация его вроде бы не трогает, но и особого энтузиазма в отношении его работы не проявляет.
— Гость (08/01/2007 18:55)   <#>
Придумать-то действительно можно всё. А вот реально сделать... Почему, по-Вашему, до сих пор нет по-настоящему устойчивой и надёжной системы, изначально заточенной под правдоподобное отрицание всего, что угодно? А ведь интерес к этому есть, и потребность.


Все очень просто:

№1. Самое слабое звено в цепи – сам человек. Компромат, шантаж, угрозы, насилие, автомат у виска/электрошокер в паху с лихвой перекроют самый лучший механизм шифрования, пока есть субъект в виде живого и здорового программиста...

№2. Лучший механизм – это уникальный механизм, который специально создан для данной организации или лица, и который неизвестен потенциальному противнику, даже возможность его использования. Штампуя фабричным образом такой механизм, вскрыть его будет легко благодаря поверхностному знанию о наличии такого механизма, допущению, что он как раз и используется здесь по косвенным признакам его наличия, и №1...

№3. У Вас слишком высокий уровень требований к системам шифрования. С государством в прятки играть бессмысленно, раздавит и не подавится. А для борьбы с коммерческим шпионажем, современных методов вполне хватает.
— SATtva (08/01/2007 19:12)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Штампуя фабричным образом такой механизм, вскрыть его будет легко благодаря поверхностному знанию о наличии такого механизма, допущению, что он как раз и используется здесь по косвенным признакам его наличия

Это именно то, о чём я писал выше. Пока нет такой достаточно универсальной (а не скрытой уникальной, см. "Security through obscurity") системы, которую нельзя было бы распознать по тем или иным косвенным признакам. А это качество — неидентифицируемость (в идеале, необнаружимость, но это уже епархия стеганографии) — и есть то, чего пока в рамках целой системы не существует.

У Вас слишком высокий уровень требований к системам шифрования. С государством в прятки играть бессмысленно, раздавит и не подавится. А для борьбы с коммерческим шпионажем, современных методов вполне хватает.

Ну, это у нас зачастую просто тренировка для мозгов. :-) Большинство участников проекта работают на вполне себе универсальных ОС, хоть и с предпочтениями в безопасности.
— unknown (08/01/2007 20:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну мы же со Шнайера начинали. Вот первые строки из введения его легендарной красной книги:



В мире различают два типа криптографии: криптография, которая помешает вашей младшей сестре читать ваши файлы, и криптография, которая помешает читать ваши файлы правительствам крупных стран. Эта книга посвящена криптографии второго типа.

Если я возьму письмо, запру его в сейфе где-нибудь в Нью-Йорке, а затем прикажу вам прочитать это письмо, то это не безопасность. Это полный мрак. С другой стороны, если я возьму письмо, закрою его в сейфе, затем вручу этот сейф вам вместе с подробными спецификациями, а также сотней таких же сейфов с их комбинациями, чтобы вы и лучшие в мире "медвежатники" могли изучить механизм блокировки, но вы всё равно не сможете открыть сейф и прочитать письмо – это и есть безопасность.



Разработать уникальный механизм безопасности своими силами и сохранить его в секрете могут себе позволить как раз только силы располагающие огромными финансовыми и исследовательскими ресурсами. И то в последнее время намечается сокращение использования закрытых алгоритмов шифрования, например в США. Если верить их информации, то свыше 90% потребностей спецслужб обеспечивается открытыми схемами и эта цифра неуклонно возрастает.

Попытки создать что-то уникально-самопальное, которое было бы надёжнее – это миф. Вероятность грубейших ошибок в закрытой разработке слишком высока. Это не минно-взрывное дело, когда система одноразовая и может быть каждый раз новой. Когда с вашей системой столкнутся, её могут копировать и будут изучать сколько угодно раз.

Насчёт противостояния с серьёзным, тем более вооружённым противником, есть три соображения:

1. В экстремальном случае требуется обеспечить безопасность "post mortem". Или сдаётесь и сами всё раскрываете, или погибаете. Зачем давать противнику шанс другого выбора?

2. Это обычное теоретическое допущение. Если система идеальна против любого противника на бумаге, то в реальном мире она даст какую-то меньшую защиту.

3. Есть хорошая цитата у Bellar & Rogaway в их "Введении в современную криптографию". У меня нет русского перевода, вот смысл по памяти: Если противник способен прибегнуть к шантажу или подсыпать яд вам в кофе, то это не проблема криптографического протокола. Это не проблема системы информационной безопасности. Эта проблема некриптографическая и должна решаться некриптографическими средствами. Думаю и стеганография тут не поможет.
Методы защиты тут чисто организационные, юридические, экономические и т.д. Занимайтесь изучением охраны периметра или найдите возможность покинуть государство в случае чего.
— Гость (08/01/2007 21:41)   <#>
Форум глючит. Написал большой пост, а он просто не отправился. Зависло исполнение на добавление коммента...
В двух словах: Я имел ввиду говоря об уникальности не сам механизм шифрации/дешифрации, а именно механизм комбинирования проверенных методов защиты данных так, что бы специалист не смог идентифицировать их шаблонным образом (т.е. проследить всю цепочку закономерностей и взаимозависимостей между ними). писать софт с нуля равносильно самоубийству, а вот добавить свои компоненты для улучшения безопасности и возможности имитации реальной среды исполнения – вполне приемлимо, что сделает систему уникальной среди готовы систем типа "установи и зашифруй"..
3. Думаю, что понятие криптографии более всеобъемлющее. У двух людей разный уровень болтливости=> один хранит секреты лучше и дольше(в т.ч. и свои) и ему не нужна программная криптография, другой после бутылки расскажет "всю правду о своей супер системе программного шифрования"... Кадры решают все :)
— unknown (09/01/2007 09:07)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну что тут ещё добавить. Ненаучный это подход, а то что называется dirty hack :-)
— Гость (09/01/2007 10:13)   <#>
А что поделать? Не ждать же идеальную систему от ученых, одобренную ЦРУ и Пентагоном :) Для защиты все средства хороши.
— unknown (09/01/2007 11:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вперёд, дерзайте! Только если Ваша система будет основана на сохранении в секрете её деталей и попытке запутать и одурачить потенциального оппонента в надежде, что он просто не поймёт, как она устроена, то и обсуждать Вам будет её не с кем. Это попытка самоуспокоения и не более.

Для мелкого/среднего бизнеса используется или легальное и открытое шифрование или копромисс между безопасностью и экономический подход, основанный на страховании рисков. Зачем рисковать, спасая имущество/информацию, если они застрахованы. Это тот прагматичный путь который предлагает Шнайер в своих более поздних работах вместо более раннего абсолютистского и чисто теоретического.

По поводу силового противостояния, Вы и сами настроены скептически. А я настроен скептически по поводу возможностей перехитрить такого оппонента.
— Гость (09/01/2007 18:32)   <#>
У каждого правда своя и интерес. И приоритеты :)
— spinore (10/01/2007 16:10)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Ещё идея появилась вдобавок к тому что написал unknown: со временем всё большее число людей начинает использовать шифрование и разбираться в IT. Соответственно, следить за юзерами на госуровне становится всё труднее. настанет время, когда использование шифрования само по себе вряд ли будет рассматриваться как критерий чего бы то ни было. Но пока это ещё не так, к сожалению :(
— Гость (10/01/2007 18:33)   <#>
Скорее наоборот, со временем следить будет все легче и легче, посколько возможности слежки при помощи новейших технологий будут перекрывать необходимость в расшифровке конечных данных(достаточно их перехватить при помощи сотни способов). На помощь спецслужбам встанут суперкомпьютеры, способные анализировать весь траффик с высокой точностью, в базис оперативных систем будут встроены модули для спецслужб(о которых мы и не узнаем), интернет поставят под полный контроль, обосновывая это необходимостью борьбы с терроризмом, хакерами и пиратами. В реальной жизни везде будут видеокамеры и датчики(по их мнению для нашего блага). Возможно, всех людей заставят вмонтировать себе под кожу чипы, что бы знать, не совершает ли такое лицо преступлений. Одним словом, тотальный информационный лагерь рано или поздно наступит... Не стоит думать, что государство и спецслужбы сдадут свои позиции. Посмотрите на Америку, там спецслужбы хорошо нажились деньгами и полномочиями на 11 сентября...и это только начало. "Matrix has you, Neo."
— omni (15/01/2007 18:33, исправлен 15/01/2007 21:19)   профиль/связь   <#>
комментариев: 34   документов: 10   редакций: 1
Нет, по поводу "стука" я не выдумал – Гость в этой ветке написал 14/04/2006 01:36 следующее:
PGP принципиально не пользуюсь – стучит гад на хозяина, первые три буквы контейнера привет передают...

а ему другой Гость ответил:
Пользуйтесь TrueCrypt, он не стучит на хозяина...


И на этом бурная дискуссия закончилась. Поскольку дальнейшего обсуждения не последовало, я решил, что все, кроме меня, уже об этом знают, потому и задал свой вопрос.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3