Регистрация22.07 // Vanish сделает ваши электронные документы самоуничтожающимися
Группа исследователей в области компьютерных наук из университета Вашингтона изобрела способ делать электронные сообщения самоуничтожающимися после определённого периода времени, по аналогии с тем, как сообщения на песке смываются волнами морского прибоя. Исследователи утверждают, что новая программа, которую они назвали Vanish, которая требуется для шифрования сообщений, будет востребована всё больше и больше по мере того, как персональная и деловая информация сохраняется не на персональных компьютерах, а на центральных машинах или серверах. В настоящее время это называют термином "облачные вычисления" и эти облака состоят из данных, включая электронную почту, находящиеся в Web-сети документы и календари, сохранённые на множестве серверов.
Криптография с открытым ключом делает возможным, чтобы две стороны, которые никогда не встречались вместе в физическом мире, начали обмениваться цифровыми секретными данными таким образом, что это защищает их от потенциальной прослушивающей стороны. Эта же технология является сердцем большинства современных систем электронной коммерции.
Vanish использует систему ключевого шифрования другим способом, делая возможным, чтобы расшифрованное сообщение автоматически перешифровывалось в определённом моменте будущего без опасений того, что третья сторона получит доступ к ключу, необходимому для расшифрования сообщения.
Части ключа, в виде небольшого количества имеют тенденцию к "эрозии" со временем, по мере того как они постепенно выходят из использования. Для того чтобы делать ключи разрушающимися ("ржавеющими") или утрачивающими свои свойства в течени промежутка времени, Vanish использует структуру файлообменной (peer-to-peer) файловой системы. Сети такого рода основаны на миллионах персональных компьютеров, интернет-адреса которых меняются по мере того как они подсоединяются и отсоединяются от сети. Это делает невероятно сложным для прослушивающей стороны проследить за всеми частями ключа, чтобы собрать его, поскольку ключ никогда не находится в единственном месте. Технология Vanish может найти применение не только для электронной почты или других типов электронных сообщений.
Тадайоши Коно, доцент университета Вашингтона, являющийся одним из создателей Vanish, говорит, что Vanish делает возможным контролировать "время жизни" любого типа данных, сохранённых в облаке, включая информацию Facebook, Google-documents или блоги. Соавторами работы 
Vanish: Increasing Data Privacy with Self-Destructing Data – "Ваниш: повышение приватности данных с помощью их самоуничтожения", являютя Roxana Geambasu, Amit A. Levy и Henry M. Levy.
Потенциальная польза такой технологии явно проявилась в последнюю неделю, когда хакер-взломщик украл данные компании сетевых социальных медиатехнологий Twitter и отправил по электронной почте в компании интернет-публикаций в США и Франции.
Значение имеет то, что Vanish продвигает "модель доверия", независящую от целостности третьей стороны, как делают другие системы. Исследователи приводят в качестве примера инциндент, когда коммерческий провайдер, предоставляющий сервис шифрования почты на своей стороне, был вынужден выдать содержимое цифровых коммуникаций после вручения ему повестки от канадских органов правопорядка.
Исследователи признают, что существуют неисследованные проблемы взаимодействия с законом в их новой технологии. Например, некоторые законы предписывают корпорациям хранить сообщения электронной почты и делать их доступными.
Исследователи создали прототип системы Vanish на основе модуля plug-in для браузера Mozila Firefox. Использование системы требует, чтобы обе стороны коммуникации имели копию этого модуля, что является одним из ограничений данной технологии. Мистер Коно говорит, что не видит смысла в использовании Vanish для всех типов коммуникаций, а только для самых чувствительных.
Источник: The New York Times
P. S. Установив plug-in Vanish вы уже сейчас можете обмениваться сообщениями, которые будут самоуничтожаться через 8 часов. Сообщения могут быть размещены на любом публичном сайте, блоге, отправлены по почте и выглядят как зашифрованный текст, нечитаемый без плагина, а спустя через время самоуничтожения и с его помощью.
Пример текста:
На сайте проекта размещена онлайн-демо-версия работы с сервисом (она не требует установки ПО на ваш компьютер, но и не обеспечивает безопасности, так как ваши данные перехватываются, этот сервис предназначен для тестирования и обучения работе с Vanish-сообщениями), реальные видеопримеры использования при работе с сайтами Google, Facebook и др.
Презентация этого нового проекта состоится на конференции USENIX-2009 в августе, поэтому не стоит доверять его безопасности, авторы лишь предлагают проверить его работоспособность, лёгкость использования и оценить новые перспективы в защите приватности и возвращению эфемерности в коммуникации, наподобие того как это происходит при разговоре по проводному телефону или при обычном разговоре.
P. S. S. Непонятно, почему однако не может появиться сервис, который будет сканировать в сети Vanish-сообщения, расшифровывать их и сохранять в поисковой системе в обычном виде.
P. S. S. S. Для максимальной защиты авторы рекомендуют шифровать Vanish-сообщения с помощью GPG/PGP для конкретных адресатов. Если у пользователя потребуют раскрыть ключи и пароли, которые он использовал для шифрования своей GPG-переписки, то после расшифровки перехваченых писем в них будет просроченный Vanish-шифртекст, который до этого не был доступен третьим сторонам в открытом виде и ключи для расшифровки которого уничтожены системой Vanish. Предлагаемый разработчиками plug-in FireVanish является расширением плагина FireGPG и специально предусматривает прозрачное взаимодействие этих двух протоколов (OpenPGP/Vanish) через браузер Firefox.
убийстворешение проблем непубличными способами, аукцион по продажекокаинаакций благотворительного фонда от анонимного спонсора.комментариев: 155 документов: 20 редакций: 5
– информация может неограниченно копироваться
– контент информационной копии не уничтожается после уничтожения оригинала
комментариев: 9796 документов: 488 редакций: 5664
Данный протокол не противоречит этим аксиомам, а действует в соответствии с ними.
Протокол не предназначен для защиты от копирования. Если вы успели скопировать Vanish-текст и расшифровать его – то вы можете распорядится открытым текстом как вам вздумается. Если вы опоздали и в вам достался только просроченный Vanish-текст, то он бесполезен, так как нет ключей для его расшифровки.
Если уничтожить ключ расшифрования, то контент будет нечитаем (нерасшифровываем).
Основная причина создания протокола вот в чём — если за человеком уже следят: преступники; хакеры; инсайдеры, делающие утечку личной информации многих пользователей; люди в погонах и пр. — то защищаться только таким способом бесполезно. Но следить за всеми дорого даже не в деньгах, а в людских ресурсах. Зато дешево просто сохранять надолго инфу на всех, не обрабатывая её, в расчёте поднять, когда понадобиться.
Чаще человек попадает в поле внимания вышеприведённых злоумышленников уже спустя какое-то время после чего-то. И проще его соединения не перехватывать и не дежурить вокруг него круглосуточно, а поднять о нём всю ранее накопленную инфу — письма с серверов, записи в блогах, соц. сетях, форумах, запросам к поисковых системах и т.д. Легально — по судебной повестке, нелегально — путём взлома или когда происходят массовые утечки данных о пользователях. Но это всё может произойти спустя месяцы или годы после того как информация была размещена или передана.
Это не защитит, если тот с кем вы общаетесь — стукач-информатор или если публичный почтовый сервер или портал будет расшифровывать Vanish-текст и пересохранять его. Но серверы сохраняют данные в первую очередь не по злому умыслу и не по приказу "Старшего Брата", а потому что проще накапливать инфу и удалять по мере переполнения вместо специального уничтожения. Чаще, они не стремяться нарушать приватность пользователей специально — им просто на это плевать, потому что так дешевле. И "Большой брат" чаще имеет успех не потому что кого-то принуждает, а потому что пользуется сложившейся ситуацией в выгодную для себя сторону.
Можно зашифровать Vanish-текст с помощью PGP/GPG и если будет оказано давление на пользователя или придёт судебная повестка на требование выдачи ключей и паролей — раскрыть их для писем, которые были изъяты с сервера или даже перехвачены в сети. Тогда протокол сработает в полной мере — текст будет уже нечитаемым, а расшифрованного отрытого текста из Vanish-текста те, кто переписывались могли не сохранять.
Как это работает:
Пользователь генерирует локально ключ шифрования Vanish-текста, шифрует им сообщение, разделяет ключ по методу разделения секрета Шамира (очень примерно: когда ключ из n частей преобразуется в n+k частей, притом для обратной сборки могут быть утеряны любые части, но когда их число меньше n или n+i i<k, то обратная сборка ключа – криптографически сложная задача). Ключ распределяется по случайным узлам p2p-сети по таблице хэш-распределения DHT – distributed hash table. Всё это генерируется и выбирается самим пользователем. После чего он ненужные данные на своей стороне уничтожает.
Знание части ключа не облегчает подбор всего ключа. Это не означает, что есть известная и неизвестная части, что чем больше известных, тем проще подобрать неизвестные, нет — нужно собрать полностью необходимое число частей и с помощью специальной функции вычислить из них ключ — функция стойкости пороговая, а не плавная.
Некоторые узлы могут отключиться, потерять части ключа, но пока их число достаточно для восстановления — его можно собрать.
Но раз в восемь часов (пока неразвёрнут вариант со сроком 1 неделя) честные узлы будут уничтожать части ключей. Конечно может быть некоторое количество и нечестных узлов (как в сети Tor), но их всегда будет скорее всего некритичное меньшинство. По Vanish-тексту любой желающий может попытаться получить ключ обратно из Vanish-сети, собрать его и расшировать Vanish-текст. Или обломаться, когда время жизни ключа в сети истекло.
Пользователь не обязан доверять честности Vanish-сети, как он доверяет например централизованному сервису меток времени или удостоверяющему центру сертификатов, так как сеть Vanish нецентрализована и к ней могут подключаться добровольцы, большинство из которых заинтересовано соблюдать правила.
Данный протокол подходит для неинтерактивной, относительно медленной или непрямой передачи информации (форумы, эл. почта, "быстрые блоги", твиттер).
Если пользователи могут установить прямое соединение (чаты, IP-телефония, VPN), то они могут использовать для защиты от принуждения в выдаче ключей протоколы DH и OTR.
Использование стеганографии в качестве другой альтернативы также упоминается авторами работы. Основной контрдовод – сложно придумывать множество стегоконтейнеров – фото и др. для регулярной передачи.
Маловероятно, чтобы кто-то через каждые пять минут выкладывал фотки в блоге, а другие ему в ответ тоже размещали в аналогичном формате. Это всё равно плохо скрывает факт передачи информации между участниками.
Добропорядочные пользователи могут заверять выданные сервисом сертификаты и проставлять свое время, так что сервис контролировать еще можно, а вот удостоверяющий центр сложнее..
Видео
Кстати говоря, у занимающего превое место eMule c полмиллиардом (498,008,917) скачиваний тоже имеется своя DHT (kad), которая поддерживается ещё и некоторыми другими файлообменными программами, и которую также можно использовать для чего-нибудь анологичного Vanish.
Малая популярность стеганографии (хотя откуда это известно? :) на мой взгяд явление искусственное, поскольку она есть толстый северный лис для большого брата.
комментариев: 9796 документов: 488 редакций: 5664
Пользователь генерит ключ из 20 (к примеру) частей из которых нужно собрать любые 10 для восстановления ключа и локатор – список узлов p2p сети, на которых лежат эти части ключа.
Vanish-шифртекст состоит из собственно шифртекста и локатора. Получатель по локатору узнаёт откуда скачивать части ключа и расшифровывает Vanish-шифртекст у себя локально — как вы и сказали.
Параноикам авторы рекоммендуют комбинировать это дело не только с PGP/GPG, но и с Tor (по умолчанию у большинства параноиков он ведь есть) — тогда получается ещё более мощная защита от разного рода атак. Тройной эффект так сказать. Предлагают это дело даже для защиты временных файлов и от холодной перезагрузки с жидким азотом.
Для стего потенциал есть. Ну придётся вам прикидываться любителем смотреть годами одну и ту же камеру, согласовывать обратный канал связи, прятать стегопрограммы. А с Vanish можете формально показать эксперту — да пользовался, да программа есть, но данных по определению извлечь невозможно, даже насилием над пользователем.
Пока Vanish работает поверх обычной Torrent-сети, в которой по умолчанию происходит обновление элементов DHT-таблиц 8-часов. И даже это по исследованию авторов вполне надёжно, даже с точки зрения безопасности. Из-за свойств практически всех P2P это будет работать почти в любой из существующих, но в будущем авторы хотят всё-таки спроектировать p2p-протокол со специальной подержкой Vanish.
комментариев: 9796 документов: 488 редакций: 5664
[offtopic]
Мини-опрос — не для нашего сайта. Или примитивный тест на рациональность мышления.
Какую причину вы считаете наиболее вероятной?
Добыча энергии с помощью Управляемого Термоядерного Синтеза (УТС) не производится:
a) Из-за невозможности быстро найти решение фундаментальных научно-технических проблем.
б) Из-за нехватки достаточно крупных инвестиций в исследования.
в) Из-за незаинтересованности инвесторов в слишком отдалённых сроках практической отдачи.
г) Из-за возможно малой экономической пользы при сегодняшнем уровне развития техники, даже если часть проблем будет решена.
д) Из-за тайных заговоров нефтяных магнатов, которые намеренно это не допускают.
е) По политическим мотивам.
[/offtopic]
Далек от этого, но наверняка не (в)
Вероятно, я вам покажусь мыслящим иррационально, но, если вопрос поставить более общо, заменив "УТС" на "новые источники энергии", и убрав слово "нефтяных", я склоняюсь к ответам д) и е).
ps
Доказательство теоремы Гёделя есть самосвержение рассудка с царского трона.
комментариев: 9796 документов: 488 редакций: 5664
Авторы предусмотрели и это и ещё множество других атак.
Обращения к узлам может заснифить провайдер пользователя и восстановить по ним локатор и по нему скачать ключ, даже если Vanish-текст в открытую в сеть не передавался. Параноикам пока рекомендуют Tor.
Остальным говорят Tor — overkill.
Vanish – защита вашей информации, которой вы обменивались в прошлом от атак, которым она может подвергнутся в будущем, что чаще всего и встречается. Но если атаки уже начались — то пользы мало.
В будущем авторы и хотят встроить в систему шифрованный DHT с эфемерными ключами для защиты от снифинга и уговорить кого-то типа азуреусов поддержать проект — для обмена музыкой тоже будет полезно.
комментариев: 9796 документов: 488 редакций: 5664
Наверное понятия "рациональность/иррациональность" здесь не вполне корректны, признаю.
Все по-своему правы. Причин всегда много. Обычно что-то происходит или не происходит, когда причины из разных областей взаимоусиливаются и складываются в общий вектор, а не по какой-то одной. И наоборот, влиять на систему можно с разных сторон.