id: Гость   вход   регистрация
текущее время 18:41 28/03/2024
Автор темы: SATtva, тема открыта 07/06/2004 00:45 Печать
создать
просмотр
ссылки

Случаи из жизни


Интересно было бы выслушать реальные истории из опыта участников форума, когда наличие или отсутствие у них (или у их корреспондентов) средств шифрования сказывалось на их работе и жизни наиболее явственно.


Для примера (и для затравки дискуссии) могу вспомнить один подобный случай из своей личной жизни. Произошло это, дай Бог памяти, около пяти лет тому назад. В то время был в чудесных отношениях с одной замечательной женщиной, но вследствие географической удалённости общение подавляющую часть времени протекало в Сети, при этом, как часто бывает, убедить собеседника в необходимости защиты переписки не удавалось.


Переломным моментом стал обычный рабочий день, когда супруг моей собеседницы, заглянув к ней в офис и не застав её там, решил скоротать время ожидания, порывшись в текстах переписки. "Компромат" был исчерпывающий. Более того, вечером того же дня в своём почтовом ящике я обнаружил сообщение за подписью моей собеседницы и, разумеется, пришедшее с её почтового адреса, с желанием разорвать всё отношения. Обескураженность с моей стороны была полная. Уже позднее в телефонном разговоре выяснилась суть случившегося, и практически сразу мой корреспондент согласилась принять все необходимые меры для защиты переписки.


Используй мы сразу шифрование или, хотя бы, электронную подпись, этого инцидента бы не случилось. На мой взгляд, хорошая иллюстрация пользы PGP (или, иначе, вреда в его отсутствие), тем более, прочувствованная на собственной шкуре.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (05/09/2005 07:07)   <#>
У меня реальная потребность в секретности возникла при торговле по eBay. Пользоваться для платежей услугами PayPal я категорически несогласен, зато в Канаде есть такая система — Interac email payments, для переводов по всей канадской банковской систетме. Вот как это работает: тот, кто платит, указывает email адрес получателя, вопрос и ответ на него. Получатель получает весточку со ссылкой на https-страницу, где он вводит свой номер счета и ответ на вопрос. Если все правильно — деньги переводятся.
Так вот, если ответ "сильный", то система достаточно безопасна. Даже слишком большой сложности не требуется, так как это краткосрочный (оперативный, тактический, или как там его по-русски) секрет. Только вот как договориться с незнакомцем, если у того нет PGP и нет желания ничего устанавливать (подавляющее большинство)?

Ясно, что я никак немогу передать никакой секрет неизвесному, так что и в том, и в другом направлении платежей пароль должна придумать и мне по секрету сообщить другая сторона.
Первое решение было выставить на https-страничке форм для ввода кода сделки по eBay, и ответа для банковского перевода (вопросом служил сам код сделки). Для того, чтобы не напрягать другую сторону, я сразу генерировал случайный ответ из 8 чисел. Отсюда мне шло сообщение по зашифрованной почте. Как ни странно, почти все по 3-4 раза посылали информацию, каждый раз меняя всякие мелочи, или просто небыли уверены в том, что я получил. Без обратной связи люди теряют уверенность.

Так что как ни странно, но лучше всего зарекомендовал себя следующий способ: https форм, который вместо того, чтобы послать зашифрованное сообщение мне, дает его на экран того, кто его заполнил, с инструкцией послать зашифрованное сообщение мне по email. Таким образом уже до меня доходило только то, в чем другая сторона уверена. До сих пор пользуюсь.

Вообще-то я с Ианом Григгом согласен в том, что шифрование электронной почты должно быть по умолчанию, с оппортунистическим обменом ключей, и автоматическим генерированием собственной пары при установке. Только как в этом убедить Microsoft? ;-)
— unknown (05/09/2005 09:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
шифрование электронной почты должно быть по умолчанию, с оппортунистическим обменом ключей,

Обычно в таких "user friendly" подходах резко возрастает риск уязвимостей.
Если система сложная, то пользователю придется ее изучить и у него должна быть серьезная для этого мотивация. В случае ошибки можно переложить вину на самого пользователя. Это как управление сложным самолетом. Конструкция правильная, а пилот плохо обучен или не справился.

Если же система простая и рассчитана на массовое коммерческое использование, то изучать как с ней работать бесполезно. Скорее всего в ней будет большое число дыр в реализации, она будет проста для пользователя, но очень неудобна для разработчика.
Для опытного пользователя система, которая делает, что ее не просят (opportunistic conception), тоже плоха, не гибка.

Только как в этом убедить Microsoft?

Нашли кого убеждать. Уж они то сделают такое opportunistic encryption, что потом никто не будет знать как от этого избавится.
— SATtva (05/09/2005 09:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
шифрование электронной почты должно быть по умолчанию, с оппортунистическим обменом ключей,

Это ровно то, что делает PGP Universal и последняя версия PGP Desktop. Конечно, это ещё не часть системы, и пользователь всё равно должен что-то покупать и ставить.
— Гость (06/09/2005 16:36)   <#>
Если нешифрованную почту может читать мой админ, и я начну шифровать, он ведь это заметит, и начнет какие санкции применять, может быть покопается в моей машине в поисках ключа и тп, а именно общий вопрос – раз никто не шифрует, то шифрование вызывает подозрение и доп внимание?
— SATtva (06/09/2005 16:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
он ведь это заметит, и начнет какие санкции применять

И правильно сделает. Может Вы фирменные секреты конкурентам сливаете? ;) Всё, что Вы делаете на работе, для работодателя должно быть открыто, и это правильно. Для личных целей есть домашний компьютер. И вот уже читать его почту неоправданно с любых точек зрения. И уголовно наказуемо, собственно.

Но суть вопроса ясна. Об этом писали и Циммерман, и Шнайер, и другие. Поэтому и возлагаются надежды на оппортунистическое шифрование. Когда зашифрована только толика почты, любое такое сообщение вызывает подозрение и интерес. Если зашифрована вся, никто к ней не присматривается.
— Lustermaf (17/11/2005 13:42)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Такое впечатление, что тут обсуждаются нужные только участникам форума вещи. Обычным же пользователям до них далеко-далеко...

Когда кого-то пытаешься посвятить в шифрование электронной почты, встречаешь не то что трудности с освоением, непонимание, а просто сопротивление. Люди считают, что это нужно только специалистам и фанатам OpenPGP, «а мне это не надо, изучать не хочу — я же не могу всё на свете знать».
— SATtva (17/11/2005 17:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Такое впечатление, что тут обсуждаются нужные только участникам форума вещи. Обычным же пользователям до них далеко-далеко...

Признаю, случается такое. За пинки в идеологически верном направлении был бы признателен.
— unknown (17/11/2005 17:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
... И узок был круг декабристов и страшно далеки они были от народа.
— Гость (21/11/2005 01:41)   <#>
не панемаю
— Lustermaf (28/11/2005 18:18)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Начало здесь, продолжение упирается в реальную жизнь...

SATtva:
Если кто-то захочет обратиться по IM, он установит jabber.

Вот здесь главное. Если кто-то захочет к Вам обратиться, а не Вы к нему.

Мне же часто приходится обращаться к кому-то, а не кому-то — ко мне. И приходится играть по его правилам — ICQ безо всякого шифрования. :( :( :(

SATtva:
Если же захочет остаться на icq, то должен быть готов нести все связанные с ней риски.

Ну тут и так всё понятно: криптография обычных людей, тем более использующих не Jabber, a только ICQ, никак не интересует.
— Вий (04/12/2005 16:18)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Когда кого-то пытаешься посвятить в шифрование электронной почты, встречаешь не то что трудности с освоением, непонимание, а просто сопротивление. Люди считают, что это нужно только специалистам и фанатам OpenPGP, «а мне это не надо, изучать не хочу — я же не могу всё на свете знать».

Самое интересное, что в этом трудно убедить не только людей, использующих инет дома в личных целях, а даже на предприятиях, которые сейчас активно используют электронную почту для пересылки документов, на часть из которых вполне можно ставить гриф "конфидециально". Да что говорить, отдельных и совсем не обьязательно глупых (мозги у человека под другую науку заточены) пользователей с трудом удается научить пользоваться самой обычной, нешифрованной почтой. На мой взгляд на предприятиях как правило (даже не как правило, а практически 100-процентно) недостаточно развиты идеи информационной безопасности.
— Вий (04/12/2005 17:52)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Не так давно, правда в большей степени в целях разведки, я предпринял попытку провести идею защиты почты на родном предприятии. Администратор сети отреагировал с разумением, однако сказал, что будет совсем не просто убедить в необходимости реализации этой идеи множество ответственных и очень занятых людей. Я поговорил с техническим руководителем и отправил наиболее интересные выдержки статьи Циммермана человеку, отвечающему за делопроизводство. Реакции не последовало, и я понял, что данное направление нужно именно пробивать, что особенно сложно с учетом необходимости убеждения в этом внешних корреспондентов.
Думаю причина такого положения дел в инерционности человеческого мышления, от которого и мы с Вами думаю не избавлены. С детства людей учат прежде всего писать на бумаге, а при написании письма прятать бумажное письмо в конверт, потому что это нужно, удобно, в конечном счете на конверте пишется адрес. А электронное письмо и так "никто не видит", и "железный" конверт потому не нужен, и почтальон в лужу такое письмо не уронит. Написал, нажал на кнопку и все, красота и просто неимоверные удобства!
Я думаю, что осознание необходимости сокрытия почты придет еще не скоро, тогда, когда компьютерная грамота пропитает психологию большинства людей так, как сейчас обычная, бумажная. Однако даже при таком раскладе общая компьютерная грамота не выделяет вопроса информационной безопасности как одного из приоритетных. Возможно для того, что бы помочь данному процессу действительно придется вводить в обиход такие почтовые программы, хотя я сомневаюсь, что это произойдет по крайней мере в ближайшее время, которые просто не будут работать без использования средств криптографии, либо (чего по видимому не будет никогда) пока законодательством не будет установлено обязательное применение средств шифрования в деловом обороте.
— unknown (04/12/2005 19:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В новостях у нас мелькало сообщение про то, что сотрудники американских секретных служб (связанных в т.ч. борьбой с терроризмом и предположительно охраной президента) используют нешифрованную почту, имеют незащищенную учетную запись у обычного провайдера и вся их информация была доступна хакерам.

либо (чего по видимому не будет никогда) пока законодательством не будет установлено обязательное применение средств шифрования в деловом обороте.

Это еще неизвестно что хуже. Могу угадать что там узаконят и кому от этих законов будет выгода и госзаказы.
— Гость (05/12/2005 18:36)   <#>
Это еще неизвестно что хуже. Могу угадать что там узаконят и кому от этих законов будет выгода и госзаказы.

Возможно. Именно поэтому необходимо популялизировать такие системы как OpenPGP, дабы было меньше соблазна стандартизировать нечто недостойное.
— Вий (05/12/2005 18:39)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Вот черт, не разобрался пока с недавно установленным Outpost. Блокирует куки, надо бы более тонко настроить, хотя на странице было видно, что я вошел под своим именем. :roll:
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3