Создатель PGP занялся безопасностью итернет-телефонии
28 июля 2005
http://www.securitylab.ru/56241.html
Автор популярного средства шифрования электронной корреспонденции Pretty Good Privacy работает над программой, которая поможет блокировать прослушивание телефонных разговоров, осуществляемых через Интернет.
Прототип своей разработки Фил Циммерман планирует представить на конференции Black Hat в Лас-Вегасе. Актуальность этой программы, по мнению автора, трудно переоценить, поскольку развертывание сервисов интернет-телефонии, особенно в корпоративном секторе, сдерживается именно опасениями за конфиденциальность
разговоров. Новое приложение шифрует/дешифрует VoIP-трафик в реальном времени, что существенно затрудняет прослушивание. По заявлению г-на Циммермана, его разработкой уже заинтересовались несколько компаний.
Автор сообщил также, что не будет делать тайны из исходных кодов своего детища. Однако будут ли они формально распространяться по одной из открытых лицензий, как это было с PGP, пока неизвестно.
Вообще, в течении разговора полезно регулярно в неожиданных местах обмениваться высказываниями по поводу отпечатков сеансовых ключей, причем чтобы по началу этих высказываний было трудно понять, что закончаться они указанием на отпечаток.
Неплохо если отпечаток преобразовывать в осмысленное слово (по номеру в словаре, например) или словосочетание – в этом случае можно задействовать широкий спектр смысловых ассоциаций, вряд ли поддающийся незаметной подмене в реальном времени человеком посредине. :)
комментариев: 9796 документов: 488 редакций: 5664
Но проблема в том, что это метод неформализуемый, а в современных универсальных системах стараются придумать формализованную безопасность чтобы можно было работать на автомате, чтобы не нужно было каждый раз выкручиваться, что-то выдумывать и проявлять изобретательность. Может нужно связаться клеркам компании, которые видели друг друга один раз и с трудом могут вспомнить голос покакой-нибудь видеопрезентации. И они что-ли будут выдумывать вопросы типа: "скажи за пять секунд какого цвета было платье у секретарши, которую мы встретили и на каком этаже офиса это произошло?". Нужен формальный стандарт установления связи.
По поводу отпечатков и сертификатов – смотрите как был устроен совместно выпускаемый NSA и AT&T ещё в начале восьмидесятых телефон STU-III.
Схема с цветами и с голосом ближе к отпечаткам, так как не требует изобретать что-то заново для каждого сеанса аутентификации.