Преступники не используют криптографию?

Даже на античате используют icq.

На то он и античат :)
Все серьезные люди давно ушли с icq и используют jabber + GPG

Мне кажется, неспроста активно сдерживается популярность TorChat (и вообще использования TorHS с целью приватных коммуникаций) и продвигаются решения типа CryptoCat. А ведь идеальным был бы TorChat-плагин для любого месенжера с поддержкой OTR. Кто в курсе, существуют ли такие решения на сегодня?

Все серьезные люди давно ушли с icq и используют jabber + GPG

Надо быть идиотом, чтобы использовать GPG для IM в серьёзных делах.
Достаточно «отжать» комп с приватным ключом и можно будет расшифровать всю перехваченную переписку.

Потому только OTR, у которого полноценный «Perfect Forward Secrecy».
И без разницы поверх чего — ICQ, XMPP или MSN со Skype-ом.

Если разбирать статью по косточкам, чего честно говоря не хочется, поэтому прочитал пока только то, что здесь приведено, без хождения по мукам ссылкам, то можно начать с того, что преступник — это лицо, преступившее закон. Преступником можно назвать каждого. Потому что каждый так или иначе нарушает закон. Не там переходит дорогу, скачивает не там и не то и т. д.
Учитывая, что большинство не использует криптографию, кроме дефолтных https и пароленных rar'ов, и одновременно является потенциальными преступниками, то все верно.
Если речь идет о реальных преступниках, то нужно смотреть область, где совершается преступление. Сомневаюсь, что хакеры, кардеры и прочие нечистоплотные элементы не используют криптографию. Вопрос в том, как они ее используют и что понимать под этим термином. Только и всего. Ну и громкие дела, если верить публикациям и заявлениям сторон, подтверждают, наряду с впном и тором используется аська и винда, без зачисток и шифрования винта, например. Т. е. половинчатое решение – еще хуже, чем никакое в некотором смысле. Те, кто используют криптографию по всему фронту и при этом еще и преступники, те в большинстве своем наверное не попадаются и не светят фэйсами (Ф.И.О.'ми) с обложек таблоидов.


Да ну их. Их время прошло. Даже еще лет 5-6 назад уже было смешно (в т. ч. с аргументацией за впны и против тора, как частный случай смехуёчков). Больше всего лулзов, когда кто-то кого-то кидал или реально палился. Много тем там таких было, читалось как детектив с элементами гротескной комедии. Сейчас, интересно, так же? Иногда заглядываю. Судя по внешним признакам уровень держат:) Хотя может забыл что, злой, античат, еще какие-то ресурсы в доменах .сс — все на одно лицо — лицо преступника старшего школьного возраста (по развитию, максимализму, претензиям). Хотя это частный случай связи преступления и криптографии. Спектр пошире, конечно. Можно, наверно, выделить две группы: крипто и онлайн преступления и крипто и офлайн, т. е. реальные преступления. Ну и на стыке нечто среднее. Соотнести с общей статистикой преступлений. Капля в море, скорее всего, имею ввиду преступления с элементами криптографии.
В то же время, преступления в рамках криптопреступлений наверняка не поддаются четкому анализу, т. к. крипто справляется с задачей сохранения инкогнито преступника и в таком случае его нельзя учесть объективно. Преступление совершено, но не учтено, а если учтено, неизвестны детали, т. к. мало инфы из-за криптографии. Короч, запретить ее к едрене фене и с концом, верно, владимвладимыч, дмитнатольич?!

Поздравляю вас Гражданин, соврамши. Это что, искреннее невежество, или сознательное введение в заблуждение с целью обелить преступников?
Да будет вам известно, переступник – это тот, кто нарушает уголовный кодекс, а не тот кто превышает скорость или не там переходит дорогу. Преступник – это тот кто ворует, убивает, трахает маленьких девочек, крадет деньги с вашей кредитки и распространяет детское порно. По моему глубокому внутреннему убеждению, преступник не человек, для борьбы с ним все средства хороши. Он теряет все свои права с момента совершения преступления и до момента искупления наказанием. Преступник – это страшное клеймо, искупаемое болью, кровью и страданиями.
Будьте законопослушными, не совершайте преступления. А административные правонарушения это мелочи жизни, заплатил штраф и гуляй дальше с чистой душой.

Нужно разделять законы людские и чекистские. Людские законы традиционные и нужны для существования цивилизованного общества. Чекистские законы нужны госпреступникам для насильственного удержания своей власти. Примеры людских законов – ответственность за убийство, разбой и воровство, правила дорожного движения, правила обращения с оружием, право на самооборону, частную жизнь, свободу передвижения и т.д. Законы чекистские – прописка, ограничения в Интернете, сорм, "право" пастухов на бесконтрольную слежку за людьми, фактический запрет на самооборону (овца защитилась – поставлена под сомнение необходимость пастухов), лишение водительских прав по ничтожному поводу, драконовские штрафы (вождение – привилегия тех "кому надо"), запрет на оборот оружия (которое отличает пастухов от овец) и т.д. Очевидно что криптография не может нарушить людских законов, а используется в основном для защиты от преступников, нарушающих людские законы. Преступники этим не довольны и придумывают новые чекистские законы чтобы увеличить количество "правонарушителей", надеясь затеряться на их фоне.

По некоторым данным хотя и существуют отдельные полицейские элементы, которые используют и даже создают свои собственные системы для компьютерно-технической экспертизы и онлайн-обысков, по данным отчётов о прослушивании большинство полицейских элементов не относятся к этой категории. Вместо этого они используют простые решения: готовые коммерческие продукты и оборудование для коммуникации через СОРМ. Крайне редко когда использование полицейских методик мешало защите от прослушивания. Проблема защиты от уязвимостей проста в гражданском обществе: в большинстве случаев используется открытый софт, который вовремя обновляется, что делает использование уязвимостей полицескими попросту бессмысленным.
Иначе говоря, полицейские мало чем отличаются от рядовых граждан: крайне мало кто из них использует передовые технологии или экспериментальные устройства для перехвата и анализа данных. Вместо этого они привязаны к коммерческим решениям. Коммерческие решения как ничто другое проще в использовании и лучше работают, что и является решающим преимуществом. Кроме того, способности полицейских к пониманию тонких деталей новых технологий (таких как оконечное шифрование, анонимные коммуникации и эшелонированная система защиты) ограничены. Различие между шифрованием клиент-клиент и клиент-сервер недоступно пониманию большинства людей, включая судебных экспертов; аналогично, вопрос, играет ли шифрование на правильной стороне, часто даже не имеет под собой почвы для возникновения.

Fixed.


Никто ничего не сдерживает. Такие заявления звучат, извините, по меньшей мере, смешно. Есть открытое сообщество. Если ни один человек из сообщества не захочет что-то сделать, такого решения никогда не появится:

• Если бы Ян Горлдберг не сделал OTR, мы бы, возможно, про него до сих пор ничего не знали точно так же, как про большинство других криптографических протоколов.
• Если бы Циммерман не релизнул PGP, как бы сложилась история? Стал ли бы PGP стандартом? Что бы мы имели сейчас?
• А если бы Роджер не уговорил руководство релизнуть Tor и отдать его в руки открытого сообщества? Что мы бы имели помимо очередной дырявой кулхацкерской I2P?
• А если бы ntldr не пришёл и не написал DC, откуда бы взялся софт для полнодискового шифрования под винду? Это тоже можно было бы списать на чьё-то сдерживание?

История во многом делается одиночками. Чей-то конкретный осознанный шаг может в перспективе полностью поменять раслад в некоторой области. В частности, если вы доведёте свой проект до ума, вы можете стать одним из таких. И даже не так важно, будут люди пользоваться именно вашим софтом или другим — важнее то, что люди поймут осуществимость решения анонимной голосовой связи, привыкнут к ней. А раз будет ощущение потребности и понимание осуществимости, появятся другие люди, которые напишут софт под задачу и популяризируют решения такого рода.


В протоколе Tor отрицаемость заложена by design, зачем там ещё OTR поверх?


В теории — да, а на практике это не очень просто:

1. Надо найти комп (что делать, если абонент использует анонимную сеть?).
2. Надо преодолеть дисковое шифрование (что само по себе сложность, а там ведь ещё и отрицаемое дисковое шифрование может быть).
3. Надо получить пароль к приватному ключу.

И даже эти все эти пункты сработают, они окажутся бесполезными, если подключи шифрования уже успели смениться, а их копии были уничтожены абонентом. В лучшем случае атакующий получит доступ к всему тому, что зашифровано последними подключами, а не ко всему тому, что когда-либо было зашифровано данным ключом.


OTR хорош как теоретическая игрушка, а на практике всё не так хорошо. Помимо ранее высказывавшихся аргументов, есть и другие: OTR до сих пор несёт в себе печать шифрпанковского прошлого, и если вы активный пользователь OTR, вы с этим постоянно будете сталкиваться.

OTR постоянно глючит при обрывах связи, реинициации соединений; есть риски, что что-то пойдёт в сеть нешифрованным; в разных клиентах OTR сделан несколько криво и глючно по-разному, и это порождает ещё одну тонну глюков. Почитайте рассылку на cypherpunks.ca, там столько дискуссий на тему поведения OTR в тех или иных случаях в разных клиентах, всяких тонких глюков и прочего, что... И если у обоих абонетов стоит один и тот же тип клиента, ещё можно о чём-то говорить, то если клиенты разные, то множьте число глюков сразу на 10. OTR, честно говоря, вообще очень сильно полагается на следование абонентов протоколу, что никак не учитывает внезапные обрывы связи, выходы в оффлайн, внезапные реконнекты и т.д. На практике это выливается во временную невозможность установить OTR-соединение, невозможность расшифровать полученные сообщения, невозможность отправить свои сообщения и т.п.

Недавно unknown недавно очень чётко выразил мысль: по-хорошему, если речь идёт о

IM в серьёзных делах

и

«отжать» комп с приватным ключом,

то ни PGP, ни OTR не дают юридической отрицаемости.


Разница есть, потому что не все протоколы одинаково хороши. Не все даже открыты. Под многие нет даже полностью открытых клиентов, что делает организацию безопасного транспорта шифрованных сообщений через них головной болью (яркий пример — Skype). Тем не менее, XMPP идеологически уже давно устарел, это видно и из самого протокола (вещи типа централизованности) и из его capabilities.

В достоллмановские времена люди думали по-другому. Например, были популярны открытые лицензии с запретом использования в коммерческих проектах (что сейчас редкий случай). С приходом известной братии люди стали мыслить иначе: появлись GPL/LGPG/BSD, и акцент стал ставиться не на запрете использования в коммерческих проектах, а на открытости кода и его распространения (где он используется — уже не так важно, хотя могут налагаться некоторые ограничения в коммерческом использовании).

В те времена создавался код без оглядки на security, из-за чего потом вся индустрия хлебнула не мало проблем. Раньше думали, что security — это то, что не обязано быть in mind, что её можно потом сверху наложить какими-то патчами или настройками (мы до сих пор расхлёбываем последствия этого подхода, они и сейчас торчат повсюду). Позже всё-таки произошёл сдвиг в сознании и поинеры (в хорошем смысле этого слова) начали разрабатывать системы и протколы, которые secure-by-design. Это хорошо, но и оно уже устарело. Каких-то жалких 10 лет назад люди не понимали, что системы должны быть ещё и anonymous-by-design (а многие не понимают до сих пор). Соответственно, всё, что было придумано ранее, до осознания концепции anonymous-by-design, приходится выкидывать, полностью заменяя на что-то другое. В частности, многие фичи XMPP явно противоречат и всеми способами наршуают идею anonymous-by-design: это и всякие request time, request version, request ping и многое другое. Из-за XMPP может утечь слишком информации, что делает XMPP крайне плохо совместимым с анонимностью.


Когда-то давно здесь был пост на эту тему, где утверждалось, что то ли треть, то ли две трети (уже сам не помню) вами указанных категорий не используют вообще никакого шифрования.

Вообще, есть принципиальная вещь, которая заставляет задуматься: оконечное шифрование коммуникаций без анонимности бесполезно, а если абсолютная анонимность есть, то оконечное шифрование играет лишь вспомогательную роль. Всё, что посылается абонентам, оседает на их компьютерах, причём часто ещё и в нешифрованном виде. Отправивший информацию теряет контроль над ней. Нет никакой возможности проверть, насколько тщательно абонент будет следить за безопасностью им полученных данных. Будь ты хоть трижды анонимен, но если ты сообщил что-то критическое по шифрованному каналу, что абонент не смог сохранить в тайне (причины почему уже вторичны), то грош цена такой анонимности.


Если вы такой законопослушный, то почему нарушаете федеральный закон?

В соответствии с п.2 ст.10 Федерального закона РФ "Об информации, информационных технологиях и о защите информации" информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о её обладателе или об ином лице, распространяющем информацию, в форме и в объёме, которые достаточны для идентификации такого лица. Выделение посетителей, владельцев и администраторов интернет-сайтов в отдельную категорию граждан, с правами и обязанностями отличными от указанных, данным Федеральным законом не предусмотрено.

Целенаправленные действия, направленные на сокрытие или искажение достоверных сведений об обладателе информации или об ином лице, распространяющем информацию, в форме и в объёме, которые достаточны для идентификации такого лица, являются нарушением указанного Федерального закона.

Где ваше имя, фамилия и другая информация, достаточная для того, чтобы мы вас однозначно идентифицировали? Ещё поди и под Tor'ом пишете (SATtva свидетель), что подпадает под сознательное сокрытие информации. Присаживайтесь, будем вас, тролля, оформлять.


Это один из нацистских фашистских лозунгов. Это также противоречит международному и национальному законодательству, которое определяет права подозреваемых, обвиняемых и осуждённых, а также регламентирует тотальный запрет на многие «средства борьбы». Т.е. вы под анонимным троллем распространяете здесь экстремистские лозунги, подпадая под УК РФ. Вы преступник, и для борьбы с вами все средства хороши. Ждём, когда подтянется второй тролль из вашего отдела и начнёт разыгрывать здесь спектакль с другой ролью типа «Смешно наблюдать, как они аппелируют к законам и конституции. Если надо, законы поменяют за раз».


Прочитал как «нужно разделять законы людоедские и чекистские». Долго думал.

Спасибо за поздравления. Принимаются! Если уж цитируете, то обратите внимание на то, что приводятся просто примеры. И если с пешеходом тема больная вообще, как для пешеходов, так и для автомобилистов, то с профильной темой, касающейся Инета, все не так.
Крикнете ночью громко, административка. Скажете шепотом, а стены-то слышат, уголовка. Клевета, например. Одно и то же слово, фраза, деяние могут трактоваться по-разному. Так что не надо четко разграничивать и квалифицировать, тем более фигуральные выражения. Возражений не последует по уголовно наказуемым преступлениям, связанным со скачкой-раздачей, (хранение, распространение, взлом, неправомерный доступ, нарушение авторских и т. п.)? А аппеляции к кодексам — то такое. Они все очень напоминают пластилин в умелых руках юристов, прокуроров, адвокатов. И если будет доказана вина, то и переход в неположенном месте может быть квалифицирован и истолкован по-разному. Отдам это на откуп тем, кто в теме. Сам одно время как-то начинал читать кодексы, особенно зачитывал налоговый, да. На каком-то этапе, довольно быстро понял, бред. Потолочные определения и трактовки, как бы не упивались и не гордились ими наши законники, такие же цифры и т. д., т. е. взятые с потолка.
Т. е. оно, как бы как картинка окейно смотрится, логично, последовательно. Вместе с тем запутанно. А к реалиям часто вообще не имеет никакого отношения. Нафиг надо, если есть возможность отцепить ненужный вагон? Тем более, государство мне должно, хотя бы вклады из Сберкассы, а я ему ничего не должен. Именно государству, аппарату.
Все эти тома кодексов, правок, поправок и т. д. можно свести в несколько строк из односложных предложений. Но. Римское право, екарный бабай. В российских реалиях.
Поэтому развитие Интернета, технологий и криптографии позволяет и помогает мне делать некоторые вещи не так, как того требуют идиотские законы, а так как надо бы по честности. Или по справедливости. При этом я никому не мешаю и не делаю плохо. Того же требую от других, в т. ч. государства, но оно туповато-быдловатое, поэтому лучше когда оно не может понять криптографические крякозябры, что в офлайне эквивалентно нейтралитету с моей стороны и номинальному законопослушанию. И чем больше народу будет находить подобные компромиссы, тем лучше для народа же.


Я чист... Отлегло. Не ворую, не убиваю, в основном девочки уже большие попадаются, не краду и не распространяю. Личер я.

Это однородные члены или только перечисление? Получается, сначала он ворует девочек, потом их убивает, затем трахает, крадёт деньги с их кредиток, а после распространяет порно, где описаны вышеприведённые действия? Отлегло. Тоже чисто абсолютно.

2 /comment73484


Остроумно, повеселило :) Простое зеркальное отображение иногда м.б. достаточно достоверным.

Никто ничего не сдерживает. Такие заявления звучат, извините, по меньшей мере, смешно. Есть открытое сообщество. Если ни один человек из сообщества не захочет что-то сделать, такого решения никогда не появится

Разрабы тора только за, у них даже есть какие-то тикеты и вроде бандл под эту тему намечается, но решение отодвигается на далёкие годы в планах. Действительно не по злому умыслу. В торе десятки вещей, которые обычному пользователю незаметны, но которые надо быстрее менять: переводить скрытые сервисы с RSA на EC, повышать скрытность, поменять десятки мест в алгоритмах работы со статистикой и пр.


S/MIME


Это очень дорого, если не по деньгам, то по трудоёмкости и требованию к квалификации. И при этом невыгодно. Вообще не вписывается в коммерческую модель разработки. И в некоммерческую открытую с трудом. В бельгийском ун-те Лёвен пишут замечательные работы про утопический мир, в котором будут внедрены платежи, билеты, базы данных, по которым ничего не отслеживается. Это убытки для коммерческих фирм как на многократное удорожание разработки таких систем, так и на потерю прибыли от владения извлекаемой информации. Т.е. это для какого-то нереального мира, где у властей и коммерсантов другая логика и мотивы.

Одна из проблем, которую начинают муссировать о якобы связи между IT-технологиями и преступностью, связана с тем, что мелкие по масштабу, но даже тяжкие преступления (бытовуха, насилие, грабежи) никакого отношения к IT не имеют и в реальном мире преступник оставляет гораздо больше доказательных следов.

Но в крупномасштабных преступлениях (преступные группы, мафия), как ни странно, также. Даже если им нужна какая-то скрытая коммуникация, они гораздо больше зависят от открытых контактов. Крупномасштабные преступления — это бизнес. А преступный бизнес мало отличается от бизнеса обычного, легального. Нужна представительность, статусность, продвижение, вовлечение новых участников, борьба за влияние. Всё это очень заметные внешне действия, хотя сами по себе могут быть и недоказательными. Но их нельзя перенести в виртуальную анонимную среду, это другой мир, с другими ценностями. Преступление — это действие, завязанное на реальный мир, всё остальное (чисто виртуально-информационные преступления), хотя и м.б. в законах, но слишком надуманно.

Тем не менее, коммерческие фирмы всё же внедряют, к примеру, тот же HTTPS. Или можно вспомнить про всё тот же lavabit. Т.е. примеры бизнеса на безопасности или с элементами безопасности есть, хотя когда-то то же HTTPS было редчайшим исключением, а не правилом.

Нужен сдвиг в сознании. Если широкие массы откажутся работать с, к примеру, соцсетями без убедительных гарантий того, что контроль над информацией есть только у них самих, то владельцы соцсетей будут вынуждены внедрять криптографию. А тенденции таковы, что шифрование находит всё более широкое применение, и количество людей, задумывающихся о контроле над личной информацией, растёт.


И яркий тому пример — наказание за пиратку, которую приравняли к тяжким уголовным преступлениям, т.е. фактически сравняли с убийством (или воровством денег в особо крупных размерах при том, что это не воровство, а недополученная сверхприбыль владельцев, которые сами бесплатно взяли сырьё для своей информации от сообщества, т.е., по копирастской терминологии, просто его украли).

И после этого всего на удивление гротескно звучит фраза о значимой роли открытого сообщества. Таки ZOG рулит миром. И если чуть погуглить и незаангажировано проанализировать, то часто можно обнаружить неестественность процессов как следствие внешнего воздействия. Матрица, однако :)