Не густо с коментами, это все потому что нет оригинальных строк про экспорт демократии :) То ли дело на ЛОРе, доставляют все страницы обсуждения.

Допустим, сам Tor ничего не экспортирует, это лишь инструмент доступа к информации.

Допустим, сам TorЛОР ничего не экспортируеткомментирует, это лишь инструмент доступа к информации :)

:-)

Чудны у ЛОРа посетители. и2пшники против торешников. К чему бы это.

Если им железок дадут столько же сколько есть у wikipedia, то дело попрёт с огромным успехом.

Чувствую скоро придется уходить с тора. Высокая значимость и широкое распространение привлекают повышенное внимание к проекту как к цели для атак. Рано или поздно будет успешная атака, и тогда никому мало не покажется. Один общепринятый стандарт анонимизации – это все яйца в одной корзине. Корзина разобьется и всем трындец.

Чувствую, скоро прийдется уходить с GnuPG. Высокая значимость и широкое распространение привлекают повышенное внимание к PGP-шифрованию как к цели для атак. Рано или поздно будет успешная атака, и тогда никому мало не покажется. Один общепринятый стандарт шифрования – это все яйца в одной корзине. Корзина разобьется, и всем трындец. Welcome to NSA Suite A!

P.S.: Я правильно понял шаблон "Tor уже не тот"? Чудны у pgpru посетители.

Ой, не надо сравнивать простую шифровалку, которую и атаковать то некуда, с сложнейшим сетевым приложением, которое хоть заатакуйся сотней разных способов. Уровни безопасности несопоставимы.

Безопасность Tor'а основана на чём-то ещё, кроме как неуловимости Джо и обфускации, а ваши аргументы таковы, будто бы то и на самом деле так.

Давайте сравним от чего зависит безопасность GnuPG и Тора.

GPG:
1) От безопасности алгоритмов шифрования.
2) От правильности их реализации.
3) От разработчиков программы (они имеют возможность вставить бекдор, который вероятно не сразу будет обнаружен).
4) От безопасности каналов первоначальной доставки программы пользователю.

Безопасность Tor зависит от всего вышеперечисленного плюс:
5) От возможностей глобального и псевдоглобального наблюдателя.
6) От возможностей атакующего по наводнению сети своими серверами.
7) От безопасности ключей DA.
8) От уязвимостей в программном коде (именно в коде, а не в реализации алгоритмов). GPG иммунен к таким уязвимостям, а любое сетевое приложение нет.
9) От безопасности браузера и других программ которые будут работать через Tor. Конечно это не относится к самому тору, но относится к конечному результату действий анонима.

К GPG добавляйте пункты:
5) От разработчиков компилятора, которым компилируют gpg.
6) От наличия троянов в железе, на котором происходит шифрование c помощью gpg.
7) От наличия прослушивающей аппаратуры в помещении, где используется gpg (перехват паролей, изображений с экрана и т.д.)
8) От генератора случайных чисел, используемом в ОС, на котором запущена gpg.
9) От безопасности прикладных программ, использующих gpg и потому имеющих доступ к приватному ключу (как то jabber client).
10) От наличия MITM-атаки (с каждым ли из своих адресатов вы сверяли отпечатки ключей, хотя бы по телефону?)
11) Все вышеприведённые пункты не имеют смысла, если можно просто прийти к адресату, менее параноящему чем вы, и тупо изъять у него содержимое шифрованной PGP-переписки, которые он, конечно же, не шифрует, ибо зачем?.

Наверняка можно дописать ещё кучу пунктов, я не специалист — это только то, что обсуждалось на pgpru.com последние года и что мне запомнилось.

Пункты 5-9 как раз аналогичны вашим Tor'овским 5-7. Ваш 8ой пункт не верен: можно подсунуть такой, якобы верный, gpg бинарь юзеру, что по результатам шифрования/подписи будет легко восстаналиваться приватный PGP-ключ. Ваш пункт 9 нейтрализуется правильной программной настройкой файерволла.

5) От разработчиков компилятора, которым компилируют gpg.

Компилятором много чего еще компилят. Трудно будет вставить незаметный бекдор срабатывающий именно в GPG. Да и компилируемый код нетрудно проверить. Я вот частенько смотрю что там нагенерил компилятор из моих исходников.

6) От наличия троянов в железе, на котором происходит шифрование c помощью gpg.

Тоже самое. Ориентировать на gpg, особенно если он кастомной сборки а не из стандартного бинарника, будет очень трудно. Ну а говорить о generic бекдоре против любой криптографии смешно.

8) От генератора случайных чисел, используемом в ОС, на котором запущена gpg.

Странно, я всегда считал, что такие программы не полагаются на чужие реализации криптоалгоритмов, а имеют всё нужное в себе или пользуются проверенными библиотеками. Печально, если это не так.

Ваш 8ой пункт не верен: можно подсунуть такой, якобы верный, gpg бинарь юзеру, что по результатам шифрования/подписи будет легко восстаналиваться приватный PGP-ключ

Это всё сугубо теоретические атаки, требующие активного участия пользователя, что может показаться ему подозрительным. Ну а атака на переполнение буфера в сетевом приложении ничего такого не требует. Раз – и получил троян, а потом и сам не понял откуда все пароли и личные данные вместе со списком скачанной порнухи оказались у ментов.

Ваш пункт 9 нейтрализуется правильной программной настройкой файерволла.

Троян тоже нейтрализуется правильной настройкой фаерволла? Не смешите меня. Он не нейтрализуется даже запуском браузера от специального пользователя. Я сам неделю назад написал 0day локал рут эксплоит и выгодно его продал.

Я сам неделю назад написал 0day локал рут эксплоит и выгодно его продал.

Хостинге опасносте.