id: Гость   вход   регистрация
текущее время 13:40 28/03/2024
Автор темы: SATtva, тема открыта 07/06/2004 00:45 Печать
создать
просмотр
ссылки

Случаи из жизни


Интересно было бы выслушать реальные истории из опыта участников форума, когда наличие или отсутствие у них (или у их корреспондентов) средств шифрования сказывалось на их работе и жизни наиболее явственно.


Для примера (и для затравки дискуссии) могу вспомнить один подобный случай из своей личной жизни. Произошло это, дай Бог памяти, около пяти лет тому назад. В то время был в чудесных отношениях с одной замечательной женщиной, но вследствие географической удалённости общение подавляющую часть времени протекало в Сети, при этом, как часто бывает, убедить собеседника в необходимости защиты переписки не удавалось.


Переломным моментом стал обычный рабочий день, когда супруг моей собеседницы, заглянув к ней в офис и не застав её там, решил скоротать время ожидания, порывшись в текстах переписки. "Компромат" был исчерпывающий. Более того, вечером того же дня в своём почтовом ящике я обнаружил сообщение за подписью моей собеседницы и, разумеется, пришедшее с её почтового адреса, с желанием разорвать всё отношения. Обескураженность с моей стороны была полная. Уже позднее в телефонном разговоре выяснилась суть случившегося, и практически сразу мой корреспондент согласилась принять все необходимые меры для защиты переписки.


Используй мы сразу шифрование или, хотя бы, электронную подпись, этого инцидента бы не случилось. На мой взгляд, хорошая иллюстрация пользы PGP (или, иначе, вреда в его отсутствие), тем более, прочувствованная на собственной шкуре.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (08/06/2004 09:15)   <#>
Чудесная история. Пара вопросов:
Сообщения он прочитал с ее компа локально или получив доступ к ящику на серваке и
считав с него?
А дальше что было (после того как она согласилась "принять меры") – не в плане ваших отношений, а в плане защиты переписки?
При локальном доступе к компу пользователя шифрование мало поможет.

А вообще использование шифрования для личной (неделовой/нерабочей) переписки – утопично.
Вы бы еще крипторимэйлеры или цифровые сертификаты предложили ей использовать.
— SATtva (08/06/2004 12:12)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Доступ был получен не к ящику, а к мэйл-клиенту, где вся переписка хранилась в открытом виде. Если правильно помню, там связка из Outlook+Exchange была установлена.
При локальном доступе к компу пользователя шифрование мало поможет.

Имеете в виду keylogger'ы и т.п.? В целом — возможно, но не в подобной ситуации.
Вы бы еще крипторимэйлеры или цифровые сертификаты предложили ей использовать.

Не вижу повода иронизировать. После того случая ею был установлен и в течение пары дней освоен PGP. Отмеченная же Вами проблема шифрования всей личной переписки сводится лишь к нежеланию пользователей менять привычный уклад вещей и осваивать средства шифрования. Да, использование, скажем, S/MIME в Аутлуках почти прозрачно, и может выступать некоторой альтернативой PGP в защите личной корреспонденции (не в плане надёжности, конечно).
— Гость (08/06/2004 14:55)   <#>


Так ей нужен был впервую очередь крипто-контейнер или шифрованный раздел диска.
PGP disk ???
— SATtva (08/06/2004 15:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
unknown, зачем тратиться на более дорогое в финансовом смысле решение, когда есть бесплатное? Зашифрованная с помощью PGP переписка так в зашифрованном виде и хранится, это раз, кроме того, криптоконтейнер не решил бы проблему авторизации писем с помощью ЭЦП. Адрес-то корпоративный, письмо с него мог отправить кто угодно и без доступа к мэйл-клиенту.
— Гость (08/06/2004 17:46)   <#>
Ну так без объяснения всех подробностей понять было сложно. Теперь ситуация ясна.
То есть муж отправил поддельное письмо, а не она сама, испугавшись угроз со
стороны мужа, который потребовал "разорвать отношения"... :-)

Или я опять чего-то непонял в этой мелодраме. Мыльная опера какая-то.
— SATtva (08/06/2004 20:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Угу, "санта-барбара"... Да, Вы всё правильно поняли, письмо было поддельным. Действительно, я несколько туманно это описал.
— Гость (09/06/2004 08:50)   <#>
Раз вы так пропагандируете мспользование PGP в личных целях, ну попробуйте
шутки ради, повесить объявление на сайте знакомств с указанием своего ключа и
просьбой вступать в переписку только шифрованным текстом. Может тогда убедитесь,
что это утопия.
Из вашей истории можно понять, что если только с человеком произойдет такой случай, да еще
другой участник переписки будет настаивать, тогда может он и заинтересуется PGP,
Наверное вероятность такогог стечения обстоятельств – как удар молнии.
Другое дело – служебная необходимость, особый род занятий или простое увлечение криптографией.
Но если вы смогли убедить женщину, далекую от всего этого использовать PGP –
можете этим гордиться. Думаю немногим это удасться повторить. Опять же должен
случай произойти, наподобие вашего.
— Wizzard (10/06/2004 20:34)   профиль/связь   <#>
комментариев: 31   документов: 8   редакций: 0
Расскажу свою историю, в первое время когда у меня появилась выделенная линия работала она через прокси сервер на компьютере смотрящим в инет, там же силами этого же самого прокси была настроена внешняя почта, т.е. мой почтовый клиент соеденялся с прокси и отправлял письмо ему, а тот в свою очередь уже по нужному адресу, ремейлер короче.
Так вот зашел как-то разговор у меня с одним из пользователей локальной сети об этом сервере в частности и о информационной безопасности в нашей сети вобще, ну и этот человек говорит что вот настройки на сервере мягко говоря хромают, на мою просьбу как-то это обосновать мне привели дословно темы некоторых моих писем, а также смысл некоторых из них в общих чертах... было оооооочень не приятно :(
После этого случая, пытаюсь всех с кем переписываюсь заставить использовать PGP в хоть сколько-нибудь личных письмах, пока с переменным успехом.
— FoxSoft (21/06/2004 17:47)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 0
unknown:
Раз вы так пропагандируете мспользование PGP в личных целях, ну попробуйте
шутки ради, повесить объявление на сайте знакомств с указанием своего ключа и
просьбой вступать в переписку только шифрованным текстом. Может тогда убедитесь,
что это утопия.


На самом деле, ничего утопичного здесь нет. Использование шифрованных сообщений возникает тогда, когда есть что скрывать. Для первоначального зкомства это конечно перебор, но вот в последующем... Самое веселое, что в таком случае спасает только PGP. КриптоПро, на который сейчас переходят в нашем офисе (исключительно с той целью, что он сертифицированный) кодирует сообщение отправляемое – ключом адресата, а помещаемое в папку "Отправленные" – собственным ключом автора. В результате всю шифрованную корреспонденцию можно свободно прочитать при доступе к компьютеру :shock:
— Гость (22/06/2004 13:12)   <#>
FoxSoft:
unknown:
Раз вы так пропагандируете мспользование PGP в личных целях, ну попробуйте
шутки ради, повесить объявление на сайте знакомств с указанием своего ключа и
просьбой вступать в переписку только шифрованным текстом. Может тогда убедитесь,
что это утопия.


На самом деле, ничего утопичного здесь нет. Использование шифрованных сообщений возникает тогда, когда есть что скрывать. Для первоначального зкомства это конечно перебор, но вот в последующем... Самое веселое, что в таком случае спасает только PGP. КриптоПро, на который сейчас переходят в нашем офисе (исключительно с той целью, что он сертифицированный) кодирует сообщение отправляемое – ключом адресата, а помещаемое в папку "Отправленные" – собственным ключом автора. В результате всю шифрованную корреспонденцию можно свободно прочитать при доступе к компьютеру :shock:

В PGP/GPG можно НЕ использовать
опцию "always encrypt toself",
а в криптоПро этом нельзя отключить
это дело что-ли?
Это что зашито в сам стандарт что-ли?
— Гость (24/06/2004 12:19)   <#>
В стандарт это не зашито, это такая реализация. О правилах использования шифровальных средств посмотрите приказы ФАПСИ №№ 152 и 158 они утверждены в МИНЮСТЕ. Кстати там сказано, соответствующие органы "могут планировать и проводить проверки совместно с заинтересованными органами криптографической защиты" Правильность использования шифровальных средств
— SATtva (24/06/2004 13:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Дмитрий С, "орган криптографической защиты" — это подразделение организации по обеспечению информационной безопасности и ответственное за развёртывание и поддержку СКЗИ. Речь в этих приказах идёт о том, что этот самый орган может привлекать специалистов ФАПСИ (ФСБ) для проведения аудита их системы информационной безопасности.
— FoxSoft (25/06/2004 12:53)   профиль/связь   <#>
комментариев: 8   документов: 1   редакций: 0
unknown:
В PGP/GPG можно НЕ использовать
опцию "always encrypt toself",
а в криптоПро этом нельзя отключить
это дело что-ли?
Это что зашито в сам стандарт что-ли?

А я и не говорил про алгоритм. Я говорил про странную реализацию. Подобная вещь, ИМХО конечно, сильно снижает стойкость системы. По крайней мере с точки зрения возможности прочесть отправленное сообщение.
— Гость (26/06/2004 22:46)   <#>
Предистория: имеется локальная сеть, в сети около 40-50 человек, сеть некоммерческая поэтому админа нету, каждай юзер сам себе админ.
Теперь история:
Не далее как вчера зашел к человеку на диск D$ с логином Администратор и сложным паролем – пустой пароль.
Ну и мои руки сами потянулись к папке The Bat.. я не хотел.. они сами:) короче у него там 400!!!! МБ писем четыресто, несколько тысяч писем в отправленных и принятых... включая письма от служб восстановления пароля... я просто плакал... все равно что открыть дверь квартиры и поставить огромный указатель "хозяев нету, грабить там ->"
Ну ладно, я как честный человек ниче с этими паролями делать не стал... только зашел на сервер знакомств и с помощью его пароля подредактировал его анкету... теперь у него ориентация из гетеро стала гомо... Вот человек обрадуется новым знакомым :)))

В общем думайте сами решайте сами... Но если вы используете шифрование то уже будет не так страшно даже при краже этой информации. И даже если б я таким образом украл у него секретный ключ, то необходима и парольная фраза.
— Гость (28/06/2004 13:47)   <#>
SATtva Для того чтобы было более понятно привожу цитату полностью
"70. В целях координации государственного контроля и контроля, проводимого лицензиатами ФАПСИ, федеральные органы правительственной связи и информации могут планировать и проводить проверки совместно с заинтересованными органами криптографической защиты, рекомендовать лицензиатам ФАПСИ объекты проверок.
71. Непосредственный допуск к проверке комиссии или уполномоченного федеральных органов правительственной связи и информации осуществляет руководство проверяемых лиц при предъявлении проверяющими удостоверения (предписания) на право проверки, заверенного печатью, и документов, удостоверяющих личность. "
А " Органом криптографической защиты может быть организация, структурное подразделение организации – лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо. " Так что это не обязательно внутренее подразделение компании. Например это может быть компания распространяющая шифр. средства.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3