Иллюзия безопасности в реальности

Компьютерная Безопасность и схожие размышления.

Вы разговариваете об алгоритмах, битности ключей, генерируете 4096 битные ключи RSA в надежде что они оправдают вашу иллюзию в большей безопасности. Наверняка большинство используют AES-256 вместо AES-128, палагая, что первый защитит лучше. Шифруете почту, файлы, используете eToken, Смарт-Карты, подписываете файлы, и это всё даёт вам лишь иллюзию безопасности.

Защитить домашний компьютер практически невозможно. В России например, большинство использует пиратские копии O/S, рассмотрим самую популярную – Windows. Как узнать что дистрибутив Windows Не был модифицирован пиратами, что это действительно оригинал от Microsoft? Насколько мне известно, никак.

Устанавливая П/О, зачастую невозможно проверить, то что ты устанавливаешь, это действительно оригинальный дистрибутив, не изменён ли он в процессе передачи, хранения и т.д... Например: Все знакомы с крупнейшей фирмой по разработке софта Adobe Software, выпускающие такие продукты как Adobe Photoshop, Adobe Ilustrator, Adobe Acrobat, и т.д. Стоимость лицензии на Adobe Photoshop превышает 300C=, большинству россиян купить такой дорогой софт не по карману. Выход: Покупаем пиратский диск. Как узнать что в дистрибутиве нет шпионского П/О и прочий гадости? Никак. Многие, конечно бы сказали – антивирусы. Увы, моя точка зрения что сама идея антивирусного П/О, ненадежна.

Вы разговариваете о 8ми значных числах в затрате на взлом ваших машин. Мне смешно. Меня просто спровоцировало ваше неграмотное общение.

Пример:
У меня есть зашифрованный файл-контейнер. Поэтому доступ к моим данным не получит никто, кроме меня.

Я думаю что правильно было бы сказать так:
Я создал зашифрованный файл-контейнер на компьютере, который находился, в полностью экранированном помещении. Дизассемблировал всё установленное П/О на компьютере и четко понял что оно выполняет, и убедился что работа криптосистемы не искажена и работает как предусмотрено.

Изучил работу всего оборудования компьютера и убедился, что всё работает верно. Компьютер подключен к автономному источнику питания, схему которого я тоже детально изучил.

После создания контейнера дезинтегрировал компьютер и все его компоненты (на микросхемах даже в отсутствии питания может остаться информация), оставив только носитель с своим файл-контейнером.

Уничтожил ключ к файл-контейнеру, и через 5 секунд вышибу себе мозги. Поэтому доступ к моим данным не получит никто. Даже в таких рамках безопасности остаются некие дыры.

Возьмём реальную задачу. Требуется получить доступ к данным хранящимся в PGP контейнере.

Варианты:

1). Выделить бюджет в $100 000 000, нанять лучших криптографов, вести работу по взлому PGP контейнера, думаю что вероятность успеха взлома довольно велика.

2). Нанять "Громиллу" за $100, который "атакой в лоб" криптоанализирует ваш мозг и получит криптографический ключ или парольную фразу.

3). Вы пользуетесь ПО, допустим антивирусом "Кашперовского" и я это знаю. Выделить $100 000 на доработку антивируса с целью угнать пароль с определенного лицензионного ключа антивируса, и отослать его мистеру – x.

P. S. А как вообще узнать что у вас оригинальный дистрибутив "Антивируса Кашперовского"? Я не знаю. Хотя вроде бы антивирусы, относятся к софту по безопасности, круто правда?! Разработчики даже на напряглись чтобы выложить хеш дистрибутива. Тоесть я должен верить что это "Антивирус Кашперовского" только потому, что на установочном окне или интерфейсе написано "Антивирус Кашперовского". Вроде-бы больше ничего не требуется. Кстати, неплохая отмаза на случай наезда потом юзера на "Антивирус Кашперовского" с предъявами что "Антивирус Кашперовского" это шпионское ПО и он у меня украл ключ, повлек моральный и денежный ущерб и т.д... А хотя впрочем зачем? Ведь в принятой лицензии O/S это всё обусловлено. А произошло собственно говоря вот что: O/S частично исказила носитель информации на участке которого находился исполняемый код "Антивирус Кашперовский", и он стал работать так, как не предусмотрено. А поскольку вы перед установкой O/S принимали лицензионное соглашение, то, за искажение данных ответственность никто не несёт.

И, за цифры в базе данных некого учереждения могут посадить в тюрьму. Хотя в ПО явно указано "Искажение Данных". Только на фразу что ! ПО работало некорректно и просто исказила данные в базе данных", никто не поведётся, вот так вот дела обстоят.

Вообщем-то вариантов атак куча, как с присутствием человеческого фактора, так и без. А если машина подключена к интернету, полностью защитить её – невозможно.
Защищаться уместно и необходимо. Переписку, файлы шифровать и т.д... Но осознавать, что мы не можем быть в ней уверенны в реальности. Думаю что уверенным можно быть только на уровне математических формул, алгоритмов, но не в реальном мире.