id: Гость   вход   регистрация
текущее время 00:37 29/03/2024
Автор темы: Nuald, тема открыта 17/05/2007 12:15 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ВостребованностьPgpДляМобильныхУстройств
создать
просмотр
ссылки

Востребованность PGP для мобильных устройств


В рамках разработки специфического приложения для PGP-шифрования на WinMobile/Symbian мы изучаем вопрос о том, нужны ли подобные разработки для более общеупотребительных задач.


С самой адаптацией PGP на мобильные устройства мы более или менее успешно справляемся, причем в перспективе, неважно, какие устройства будут использоваться – мы используем j2me, т.е. программы смогут запускаться на подавляющем числе мобильников, коммуникаторов и смартфонов. Сейчас я вижу два типа приложений – электронная почта и обмен мгновенными сообщениями (скорей всего, будет использоваться Jabber-сервис). Менеджмент ключей пока не рассматриваю, но если надо, могу все рассказать более подробно.


Теперь сам вопрос – будет ли какой-то коммерческий успех у такого рода приложений? Конечно, я бы хотел выпустить такой софт на GPL-основе (и возможно, базовая библиотека и будет Open Source), однако и кушать хочется, и никто на фирме не оплатит разработку такого рода приложений без шанса извлечения прибыли.
Что уважаемое коммьюнити думает?


 
На страницу: 1, 2 След.
Комментарии
— SATtva (17/05/2007 21:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Учитывая, что PGPCorp прекратила поддержку своей мобильной платформы (за исключением Blackberry), это довольно интересная мысль.

Менеджмент ключей пока не рассматриваю, но если надо, могу все рассказать более подробно.

Операции цифровой подписи (на которых в значительной мере основано управление ключами в OpenPGP) вычислительно довольно затратны в среде КПК и телефонов.

К слову, каковы в Вашей реализации источники случайности? Откуда набираете энтропию для выработки ключей?

Теперь сам вопрос – будет ли какой-то коммерческий успех у такого рода приложений?

В порядке саморекламы. ;-)
— SATtva (17/05/2007 21:56, исправлен 17/05/2007 21:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот ещё к вопросу о заинтересованности сообщества: добавил опрос по данной теме (в принципе, Вы это могли сделать и сами).

17/05 (id64): Хотели бы вы приобрести OpenPGP-совместимое средство шифрования для мобильной платформы (КПК, мобильного телефона и т.п.)?
Только если ПО будет бесплатным 20  39.2%
Да, я крайне заинтересован(а) в подобном ПО 16  31.4%
Скорее да, хотя и не испытываю крайней потребности 9  17.6%
Нет, меня это не интересует 6  11.8%
Респондентов: 51
Опрос шел (дней): 11
Добавил: SATtva
— spinore (18/05/2007 00:46)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Здесь нет 5-го пункта – "у меня нет телефона!".
— Гость (18/05/2007 01:27)   <#>
Если будет качественно реализован обмен IM (Jabber, ICQ) и возможность не сохранять историю в открытом виде, то приложение будет иметь успех в любом случае.
— Nuald (18/05/2007 02:32)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
2 SATtva: Пока менеджмент ключей планируется делать на десктопе – на мобильных устройствах, особенно слабеньких, не хватит ни вычислительной мощности, ни памяти. Единственное, можно разработать две версии – light (управление ключами на десктопах) и full (полный менеджмент ключей). В данный момент (а рамках специфического проекта) мы экспортируем keyring через GPG, сохраняем в собственном формате (это не принципиально, просто сейчас нам так проще) и заливаем на мобильник.

2 Гость: Хранить историю на мобильниках вообще, наверное, не всегда стоит :) Память-то не резиновая. А шифровать историю уже не столь проблематично (правда есть некоторые нюансы, связанные с упаковкой данных на слабых устройствах). А вот насчет ICQ я сейчас думаю – возможно, стоит реализовать только джаббер, а аська будет работать через его транспорт. Свои размышления я разместил в дневнике на jabber.ru – http://www.jabber.ru/node/392
— spinore (18/05/2007 04:35)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Чтобы строить микрокомпьютер, полноценный, на базе мобильника... нужно иметь
свободную ОС на нём, спецификации, и т.п. Как я знаю, то линукс сейчас если и ставится
на мобильники то в качестве большой экзотики. А другие решения будут основаны на
доверии встроенной ОС, что приводит к ошибке в соразмерности угроз или по крайней мере
ставит перед обсуждающейся реализацией вопрос о целесообразности.

Массово народу анонимность не нужна – это надо учитывать, как и шифрование. Вопрос
"зачем шифровать?" я слышу довольно часто в качестве аргумента. И при этом самое
забавное, что люди правы: затраты на перехват их сообщений не окупает стоимость
перехваченной информации, и такая ситуация для 90% юзеров.

Мне не ясно кто будет массовым потребителем pgp на мобильниках. Если исключить гиков,
которые поставят это из-за "секъюрити бай дефолт", то кто останется? Также, не стоит
забывать что те мобильники которые поддерживают подобные надругательства над ними стоят
довольно дорого и не каждому по карману их иметь.

Большинство, как я понимаю, использует мобильник для передачи срочной технической
информации, которая, как правило, не нуждается в шифровании. А то что нуждается
набирается на обычной клавиатуре на обычном компе в спокойной обстановке.

Единственное, еому это может быть надо – это имхо преступникам в момент совершения
преступления в реальном времени чтобы удачнее заметать следы... Но киллеров мало
в целом, – спрос они не обеспечат :-)

Пересаживать людей на джаббер – гиблое дело. Пока к человеку не прийдёт самосознание –
это бесполезно. Ну и, в конце концов, продукт для избранных никогда не был продуктом для
большинства.

Что касается транспортов – там как-то всё не просто. Их пишут, потом внезапно АОЛ
фиксит протокол, транспорты отваливаются, их снова пишут... и т. д. по циклу.
И работают они не так надёжно как родные клиенты и много чего просто не поддерживают.

P. S.: мало у кого удаётся переменить мир. Где-то было сказано "измени себя сам если
хочешь чтобы изменился мир вокруг себя", то есть "начинать надо с себя". Например,
если вы хорошо подумаете то поймёте что всё это бессмысленно, а потому не стоит
овца выделки.
— Nuald (18/05/2007 06:19)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
2 spinore: В целом я согласен, однако есть несколько нюансов.

Во-первых, целевая платформа для софта – не дорогие мобильники, а вообще любые. Практически везде есть J2ME (мобильная ява), и это – единственное требование к мобильнику (ну и конечно, GPRS).

Во-вторых, про изменение протоколов АОЛ-ом. Не важно что менять, клиентское приложение, заточенное под ICQ, либо транспорт на сервере. В любом случае, насколько я знаю, АОЛ не выпускает мобильные приложения, так что придется переписывать поддержку протокола в обоих случаях. А переписывать транспорт намного легче (плюс к тому же не придется заставлять пользователей обновлять их софт).

Но это все мелочи. Вопрос в том, смогут ли те 10% пользователей, которые понимают целесообразность конфиденциальности, обеспечить хотя бы окупание такого софта? В принципе, конечно, можно сделать все бесплатно, но это долго и не факт, что в один прекрасный момент все загнется.
— SATtva (18/05/2007 16:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кое в чём spinore прав. Закрытость спецификаций мобильных платформ создала вокруг них общее ощущение недоверия. (Все мы знаем слухи, что, дескать, "компетентные органы" могут включить микрофон телефона независимо от воли владельца.) Не следует списывать актуальную статистику и тенденции в росте продаж ноутбуков. Скажем, мне проще воткнуть GPRS-карту в компьютер или подключиться к местной WiFi-сети, чтобы передать нужную информацию.

Короче, вопрос слишком неоднозначный. Вероятно, имеет смысл провести серьёзную маркетинговую компанию для оценки перспектив разработки.
— spinore (18/05/2007 22:51)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

конфиденциальности, обеспечить хотя бы окупание такого софта?

Ещё один момент связанный с тем, о котором упомянул Elk в последнем посте в теме про иднетификацию с помощью wifi и кпк: джаббер позволит зашифровать сообщение но не даст нужной анонимности. Положим, вы соджаббериваетесь с неким человеком по своему телефону с некоторого места. Факт наличия связи с этого места и вашего телефона установят всё равно. А что вы там кому передали или отписали могут выбивать уже "специальными методами". Так более удачным для подобных случаев имхо является использование неофициальной рации, действующей на расстоянии, необходимом для рассматриваемого случая.
— spinore (18/05/2007 22:53, исправлен 18/05/2007 22:54)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Это я к тому, что идея конечно хорошая, но стоит вопрос о её целесообразности и об объёме поддержки со стороны сообщества.
— Nuald (19/05/2007 03:44)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
2 SATtva: Провести серьёзную маркетинговую компанию пока не позволяют ряд причин, такие как отсутствие средств и времени на такого рода исследования. Как я уже говорил, идея возникла просто потому, что у нас есть заказ на шифрование для мобильных устройств, но это специфическое приложение, связанное с банковскими услугами. Можно считать этот топик небольшим маркетинговым исследованием :-) Конечно, есть еще и зарубежные коммьюнити, но пока с ними не охота связываться, потому что процент умных и адекватных ответов у них обычно не особо велик.

2 spinore: Если говорить про IM, да и в принципе, про почту, то ничто не мешает делать маршрутизацию сообщений через ряд анонимных прокси. Конечно, для этого придется иметь собственный сервер, но это не особая проблема. Правда, еще будет стоять вопрос о доверии, однако это не относится к данному топику.

А вот про анонимность ничего сказать не могу. Думаю, что те, кто хотят реальной анонимности, просто сотовыми не пользуются, поэтому они находятся в любом случае вне категории потенциальных пользователей такого рода софта.
— SATtva (19/05/2007 22:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё один момент связанный с тем, о котором упомянул Elk в последнем посте в теме про иднетификацию с помощью wifi и кпк: джаббер позволит зашифровать сообщение но не даст нужной анонимности.

Всё-таки анонимность и конфиденциальность — несколько разные задачи.
— Samvel (27/06/2007 10:56)   <#>
Сейчас сижу в Интернете в поисках именно того, что обсуждается. Руководство фирмы поручило найти безопасный и удобный способ общения для десятка начальников между собой. Лучше всего – мобильный клиент некоего мессенджера с шифрованием. Потому что сотовый телефон всегда с собой. И потому что сообщение мессенджера, в отличие от записи голоса – не доказательство в суде.

Если цена программки была бы долларов до 35, купили бы обязательно 10 экземпляров.

Одна поправка. Необязательно ориентироваться на j2me ради переносимости и универсальности. Если удобнее или проще, или фунциональнее любая другая платформа, следует без колебаний предпочесть ее. Потому что люди, которые хотят прятать секреты бизнеса в шифруемом мессенджере, не затруднятся приобрести именно тот аппарат, который нужен адресно именно для этой одной цели.
— Nuald (27/06/2007 11:36)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
Ну вообще-то есть BlackBerry – специальные телефоны. Правда, сейчас кто-то в Европе от них отказывается, т.к. подозревают, что весь трафик перехватывается Штатами.

А так, учтем :) Сейчас PGP мы уже в принципе реализовали в сотовом, правда для этого он должен поддерживать JSR 75 (т.к. мы читаем keyring из файла), соответственно, под некоторые модели сотовых программу необходимо будет сертифицировать.

Осталось за малым – написать или расширить собственно мессенджеры и почту. Пока в этом направлении достижений не много – другой работы навалилось.
— SATtva (27/06/2007 21:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
И потому что сообщение мессенджера, в отличие от записи голоса – не доказательство в суде.

Вообще-то, ни то, ни другое не является доказательством, если не было получено в соответствии со всем комплексом процессуальных действий.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3