У меня есть старинный приятель, часто с ним переписываемся. Предложил ему пользоваться PGP. Он меня послал и посоветовал обратиться к психологу, мол у меня мания преследования.

Я писал в начале этого обсуждения: есть люди, которых Вы не заинтересуете никогда. Ну и оставьте их в покое. Помните, что Морфиус говорил? Некоторые настолько погрязли в Матрице, что будут драться за неё. ;-) Однако, всё это не повод опускать руки.

Какие хорошие ссылки :))

если вы потратите даже цент на защиту от атак "человек посередине", вы окажетесь в проигрыше, поскольку, исходя из экономического и статистического анализа, основанного на отсутствии какого-либо ощутимого риска от MITM-атак, нет ни малейшей нужды в расходовании денег на защиту от них.

Григг — финансовый криптограф, его дело отрабатывать инвестиции в ИБ-инфраструктуру. Он прав — не было успешных атак на криптографическую компоненту SSL, что, однако, не мешает фишерам благополучно его обходить, подделывать значки о "зашифрованном соединении" в хроме браузеров (через уязвимости в них), делать копии защищённых сайтов на левых доменах, получая SSL-сертификаты от обычных УЦ. Это всё атаки на инфраструктуру SSL. Вот и думайте, есть ли прок от такой "прозрачной" криптографии для госпожи Клавы Мышкиной, не осознающей рисков, щёлкающей по присланным ссылкам и остающейся с обчищенным счётом.

Криптография может быть прозрачной для пользователя только если всю непрозрачную часть выполняет за него системный администратор/интегратор. В противном случае криптография становится прозрачной для злоумышленника.

А еще можно рассылать спам с призывами пользоваться «криптографией» и Linux.

Не надо этого делать.

Не надо придумывать заговор, надо смотреть на выгоду. Бесплатный антивирус выгоден провайдерам снижением количества зомби-компьютеров в их сети. Плюс некоторое маркетинговое преимущество. Все.

Да плевать им на зомби-компы, это проблемы абонента (так написано в любом типовом договоре). И почему они не повышают цены (во всех тарифных сетках) на предоставляемые услуги?

Итак, в провайдерской сетке есть энное количество зомбированных машин, рассылающих спам. RBL-списки банят сеть данного провайдера, в следствие чего почта обычных пользователей оказывается недоставленной. Пров встаёт перед дилеммой: отключить пользователей с зомбированными машинами от сети, теряя и долю выручки от них, ИЛИ предоставить за собственный счёт инструмент проверки и устранения заражений. По-моему, пров имеет кровную заинтересованность в подобном сервисе. И, между прочим, именно провайдеры, как никто другой, могут справиться с проблемой заражённых машин. Как-то, вот, и Шнайер последние 2-3 года о том же упорно толкует.

К счастью, по своему опыту судя, должен отметить, что желающих иметь волшебную кнопку "стать защищёным" и "зашифровать" великое множество, но многие не начинают с этим разбираться до тех пор, пока не прийдёт конкретная необходимость этого ...

В пику:

А вот как это было веке так в XIX...

Тот же Шнайер когда-то предлагал такой юмористический способ: придумайте (обязательно сами) хорошую шутку и отправьте зашифрованным письмом (только зашифруйте так, чтобы никто кроме вас не мог расшифровать). Если в один прекрасный день вы эту шутку услышите от кого-то ещё, стало быть, почту каким-то образом прочитали, и шутка зажила собственной жизнью.

Он прав — не было успешных атак на криптографическую компоненту SSL

А теперь угадайте с трех раз почему не было. Правильно – потому что SSL предполагает защиту от MITM атак по умолчанию. Не будет защиты – будут и атаки. Поэтому ваш "финансовый криптограф" несет чушь и делает далеко идущие выводы на неправильных предпосылках.

Оцените стоимость MITM-атаки для аутсайдера (в смысле, не для интернет-провайдера) даже для простого HTTP-трафика (в силу исторических причин, для проводного соединения). А затем сравните полученный результат со стоимостью отмеченных мной атак на инфраструктуру SSL. Надеюсь, тогда станет понятно, почему SSL не соответствует заявленной модели угрозы: потому что не будь даже в нём изначально предусмотрены средства защиты от MITM, взломщик никогда бы не стал проводить MITM-атаку вследствие наличия более дешёвых альтернатив.

Криптография может быть прозрачной для пользователя только если всю непрозрачную часть выполняет за него системный администратор/интегратор.

Ещё проблема в том, что консультантам по ИБ хочется кушать. :)

Хочется, не спорю, только это мои доводы не опровергает. ;-)

В пику:

Для "пики" был бы нужен другой вопрос: "Опасаетесь ли, что у вас произойдёт утечка ..."