id: Гость   вход   регистрация
текущее время 13:32 28/03/2024
Автор темы: Leksey, тема открыта 22/10/2003 16:43 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/Marlin--РоссийскийПочтовыйКлиентСПоддержкойPGP
создать
просмотр
ссылки

Marlin — российский почтовый клиент с поддержкой PGP


Хочу обратить ваше внимание на новый русский почтовик под названием Marlin. Среди набора его достоинств можно и нужно упомянуть удобную поддержку PGP. Которая по словам автора реализован в соответствии с последним документом RFC по Open PGP.
Как пользователь данной программы могу сказать, что есть еще косяки при использовании марлиновской PGP и порой приходиться прибегать к помощи PGP Freeware (котороя и так установлена у меня для криптования файлов), но, вероятно, вскоре эти проблемы будут устранены.


Как бы там ни было это программа достойна того, чтобы вы хотя бы с ней ознакомились. Этому способствует и небольшой размер дистрибутива.


Форум на сайте программы: http://marlin-mail.com/inv/


Добавлено позднее:
Похоже, я промахнулся с темой форума. Показалось, что здесь раздел об использовании PGP для защиты переписки..
Я не знаю, что такое PGPmail откровенно говоря :-(, хотя пользуюсь PGP с 98 года (еще в пору, когда мануалы для PGP переводил ув. гос. Отставнов). Это, вероятно, терминология какой-то последней версией PGPFreeware?


Мне кажется, что не стоит смешивать алгоритм с кучей каких-то утилит, которые имеют в своем названии PGP. Я очень сомневаюсь, что PGP-что-то там для защиты компьютера от вторщений будет лучше хотя бы того же самого русского Outpost... Циммерман уже отошел от PGPFreeware и отдал его на откуп каким-то барыгам, которых обязал продолжать бесплатно выпускать основную версию. Насколько я в курсе. Вот они туда и напихали каких-то непонятных продуктов с префиксом PGP... Поправьте меня, если я не прав.. Естественно, что PGPDisk штука полезная, но она и существует сто лет..


 
На страницу: 1, 2 След.
Комментарии
— SATtva (23/10/2003 00:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Спасибо, конечно, за информацию, но есть пара серьёзных "но". Первое. Мне совершенно неизвестен разработчик сей программы. Проглядев сайт я не обнаружил ссылок на исходные тексты, что тем более не располагает к доверию. Второе. Существует известный и проверенный мэйл-клиент с тесной интеграцией OpenPGP — это The BAT!. Кроме того, коммерческие версии PGP содержат плагины для удобной работы с наиболее распространёнными почтовыми системами (для старых и бесплатный есть плагины сторонней разработки с открытыми исходниками). Ещё существует GnuPG, поддерживающий всё-что-только-можно.

Короче говоря, я не рекомендую использовать описанную программу для работы со сколь-нибудь ценными данными.

Теперь к добавленному позднее. PGPmail — это компонент, присутствовавший в программе изначально, просто прежде не имевший названия. Используется, собственно, для шифрования почты и файлов. В общем, Вы правы — это термин последних версий, не привнесший, однако, ничего нового.

Брандмауэр в седьмых версиях программы с компонентом PGPnet действительно был несколько не к месту. Но это было исключительно делом политики Network Associates. Циммерман был с ней несогласен и в итоге ушёл, когда NAI закрыла исходники PGP.

Где Вы были последние полтора года я не знаю, но после закрытия подразделения NAI PGP Devision и выставления его на аукцион, на средства ряда венчурных фондов была учреждена компания PGP Corporation, перекупившая большинство патентов у NAI и взявшаяся за дальнейшую разработку продуктов PGP. Восьмая версия вышла уже под их брендом. Циммерман является техническим консультантом компании, в отделе разработок состоят такие профессионалы, как, например, Уилл Прайс и Дэйв Дель Торто. Так что разговор о "барыгах" мне кажется неуместным; стоит предварительно изучить ситуацию, прежде чем делать такие заявления. Исходные тексты PGP открыты — это остаётся одним из главных принципов компании.
— Гость (23/10/2003 10:52)   <#>
Конечно, пожалуйста. :-) Тем более, что программа стоящая.
Что касаемо доверия к разработчикам, то тут ничего сказать не могу. Вы, вероятно, знакомы с кем-то из RitLbat. Я ни знаком ни с Олегом Гордеевым (marlin) ни с кем-то из RitLabs..
Разработчик Марлина сразу определил свои приоритеты в безопасности. Они изложены, например, здесь http://marlin-mail.com/rus/help/introduction/safety.htm

я не обнаружил ссылок на исходные тексты

Гы-гы. А на сайте Бата или сайте Микрософта вы видели ссылки на исходные тексты? Марлин бесплатен для ex-USSR, но не open-source..

Существует известный и проверенный мэйл-клиент с тесной интеграцией OpenPGP — это The BAT!.

Кем проверенный? Вы лично видели как на уровне кода реализована там поддержка OpenPGP?? Не буду спорить, что там может косяков поменьше в ней, но я так и не сумел ей воспользоваться хоть и пытался когда-то. Так и пришлось пользоваться им для почты, а для криптования – PGPFreeware.
Кстати, про сам пакет PGPFreeware – слышал какие-то дурацкий слухи, про то что начиная с версии 6 или 7 в алгоритм умышленно введены какие-то бекдоры и пр.
Хотя, Вы говорите что есть сырцы для виндовой версии.. Т.е. можно самому скоплить под Win32 PGPFreeware??

Короче говоря, я не рекомендую использовать описанную программу для работы со сколь-нибудь ценными данными.

А чем рекомендуете?

Где Вы были последние полтора года я не знаю

Где я был? Я Вам отвечу – я не такой фанат PGP, а просто рядовой его пользователь. Я знаю и уважаю Циммермана, но не более. Кто такие Торто и Прайс я просто не знаю..
Про скачки с продажей я что-то слышал. И слышал, что ЦИммерман не удел. Но тут не про то разговор. С барыгами может я и погорячился, но если посмотреть на комплект программ с префиксами, которые понапихали, то мне сдается, что пришли какие-то тупые и алчные манагеры, которые хотят срубить бабулек под купленный бренд.. Это мое ИМХО при минимуме информации.
Вы то свою инфу поди черпаете их пресс-релизов.. А там могут понаписать, что угодно :-( Хрен мы правду узнаем.

Кстати, А GnuPGP это реализация под Линух??
— Leksey (23/10/2003 10:56)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
PGPmail — это компонент, присутствовавший в программе изначально, просто прежде не имевший названия.

Это так гордо обозвали плагины к аутклюку и Еудоре что-ли ?

Предыдущий постинг мой.
— SATtva (23/10/2003 14:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А на сайте Бата или сайте Микрософта вы видели ссылки на исходные тексты?

Майкрософт, вон, начинает потихоньку исходники ОСей открывать. Пока правительственным организациям. Но это, в общем, к PGP отношения не имеет.

Кем проверенный? Вы лично видели как на уровне кода реализована там поддержка OpenPGP??

RitLabs входила в OpenPGP Alliance под руководством Циммермана, а организация была создана специально для корректной реализации стандарта в продуктах сторонних разработчиков.

Кстати, про сам пакет PGPFreeware – слышал какие-то дурацкий слухи, про то что начиная с версии 6 или 7 в алгоритм умышленно введены какие-то бекдоры и пр.

Вы, видно, не слушаете, о чём я говорю. Здесь на форуме в разделе Политика приводил ссылку на исходники PGP 8.0.2.

А чем рекомендуете?

Собственно, PGP или GnuPG в любой их ипостаси с открытыми исходными текстами (со вторым вообще легко, поскольку это чистый проект open source).

И слышал, что ЦИммерман не удел.

Ещё раз повторю, что это не соответствует действительности. Кроме консультирования PGP Corporation он к тому же является авторизованным распространителем коммерческих пакетов PGP от PGP Corp.

С барыгами может я и погорячился, но если посмотреть на комплект программ с префиксами, которые понапихали, то мне сдается, что пришли какие-то тупые и алчные манагеры, которые хотят срубить бабулек под купленный бренд.. Это мое ИМХО при минимуме информации.

Вот я и пытаюсь донести до Вас более полную информацию. PGP (стандарт OpenPGP) является одним из лучших по гибкости и надёжности решений криптографической защиты информации. Что плохого в том, что компания занимается продвижением этих решений в корпоративный сектор рынка с помощью мощных программных комплексов, как PGP Universal? Тем более, что продолжает выпускать и бесплатные freeware-версии.
И о какой куче "программ с префиксами" Вы говорите? Сегодня десктоповые версии PGP включают только PGPkeys (управление ключами), PGPmail (это не только плагины, а шифрование вообще) и PGPdisk (зашифрованные логические диски). PGPadmin, входящий в корпоративные пакеты, это просто утилита управления политиками безопасности.

Вы то свою инфу поди черпаете их пресс-релизов.

Пожалуйста, давайте без допущений, предположений и прочих гипотез. Я получаю информацию из первых рук или из анализа кипы статей, обзоров и сотен килобайт гипертекста. А также из личного опыта и знаний.

Кстати, А GnuPGP это реализация под Линух??

Не только. И под Вин32. И если у Вас нет доверия к последним версиям PGP — GnuPG, пожалуй, лучшая альтернатива. Он изначально проект open source, распространяемый под нормами лицензии GPL.
— Leksey (23/10/2003 15:40)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Спасибо за подробный ответ..

Майкрософт, вон, начинает потихоньку исходники ОСей открывать. Пока правительственным организациям. Но это, в общем, к PGP отношения не имеет.

Я, извиняюсь, но это уход от ответа. Напомню, вы сказали, что программа странная, поскольку не нашли ссылку на ее сорцы..
А у мелкософт это лишь желание окучить наше минобороны. И вродя там идет разговор только о каких-то фрагментах кода и не более. Т.е. открывание кода происходит в силу хотения еще большего количества денег..

RitLabs входила в OpenPGP Alliance под руководством Циммермана, а организация была создана специально для корректной реализации стандарта в продуктах сторонних разработчиков.

Интрересная информация. Я об этом не знал. Но я думаю, что это больше рекомендательный совет, нежели серьезный контролирующий орган.. Тем более, что время прошедшее..


Вы, видно, не слушаете, о чём я говорю. Здесь на форуме в разделе Политика приводил ссылку на исходники PGP 8.0.2.

Я внимательно читаю ваши ответы мне, но это информация из другой темы форума. И извините меня, за то что я пока еще не успел изучить все ваши постинги на этом форуме :-)

Собственно, PGP или GnuPG в любой их ипостаси с открытыми исходными текстами (со вторым вообще легко, поскольку это чистый проект open source).

Ссылки на пакеты, плиз. Не надо говорить где взять PGPFreeware, а вот насчет PGP и GNUPGP пододробнее..

Ещё раз повторю, что это не соответствует действительности. Кроме консультирования PGP Corporation он к тому же является авторизованным распространителем коммерческих пакетов PGP от PGP Corp.

Я имел ввиду, что девелопментом он больше не занимается.. А должность консультанта это может быть и простая синекура..


Вот я и пытаюсь донести до Вас более полную информацию. PGP (стандарт OpenPGP) является одним из лучших по гибкости и надёжности решений криптографической защиты информации.

Спасибо. Я об этом подозревал от чего-то..

Что плохого в том, что компания занимается продвижением этих решений в корпоративный сектор рынка с помощью мощных программных комплексов, как PGP Universal? Тем более, что продолжает выпускать и бесплатные freeware-версии.

А эти фриваре версии умеют интегрироваться с почтовиками распространенными? Вроде как нет..

Пожалуйста, давайте без допущений, предположений и прочих гипотез. Я получаю информацию из первых рук или из анализа кипы статей, обзоров и сотен килобайт гипертекста. А также из личного опыта и знаний.

Давайте без гипотез. Какой разговор?! Извините, что усомнился в Вашей осведомленности, но я исходил из каких-то своих представлений. И просто не подозревал о таких могучих связях.

Не только. И под Вин32. И если у Вас нет доверия к последним версиям PGP — GnuPG, пожалуй, лучшая альтернатива. Он изначально проект open source, распространяемый под нормами лицензии GPL.

Ссылочку на download, если не затруднит..

Печально, что упомянутую мною программу Вы, похоже, даже не посмотрели, а начали начинать сомневаться в ее "чистоте".
— SATtva (23/10/2003 16:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А у мелкософт это лишь желание окучить наше минобороны.

Да, тут Вы, конечно, совершенно правы. ;-)

Но я думаю, что это больше рекомендательный совет, нежели серьезный контролирующий орган..

Разумеется. Но речь идёт о рекомендациях по реализации стандарта от его автора, что является делом весьма полезным. Но так или иначе, на The BAT! Свет клином не сошёлся: это весьма хорошая программа, имеющая, к тому же, очень широкое распространение как в частной, так и в бизнес-сфере, имеющая встроенную поддержку OpenPGP. Но программа не единственная.

Ссылки на пакеты, плиз. Не надо говорить где взять PGPFreeware, а вот насчет PGP и GNUPGP пододробнее.

http://www.pgpi.org
http://www.gnupg.org

А эти фриваре версии умеют интегрироваться с почтовиками распространенными? Вроде как нет.

Последние версии не умеют. К более ранним (вторым, пятым, даже шестым, кажется) есть плагины от сторонних разработчиков. Найти можно там же на http://www.pgpi.org. Но это касаемо тесной интграции. А вообще операции с Current Window во всех версиях от 6.0, по-моему, ненамного менее удобны.

Ссылочку на download, если не затруднит.

См. чуть выше.

Печально, что упомянутую мною программу Вы, похоже, даже не посмотрели, а начали начинать сомневаться в ее "чистоте".

Простите, не хотел оскорбить никакие из Ваших чувств. В самом первом своём ответе я отметил, что не рекомендую эту программу тем людям, которым приходится обращаться с ценной информацией. Вся наша дальнейшая дискуссия сводилась к моему разъяснению своей позиции. Два главных её пункта — закрытые исходники (это к вопросу не только и, возможно, не столько о "люках", сколько о корректности реализации OpenPGP) и неизвестность разработчика. Другие достоинства программы, как то её защищённость от вредоносного кода в письмах и прочее, я сомнению не подвергал.
— Leksey (23/10/2003 16:42)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Простите, не хотел оскорбить никакие из Ваших чувств. В самом первом своём ответе я отметил, что не рекомендую эту программу тем людям, которым приходится обращаться с ценной информацией. Вся наша дальнейшая дискуссия сводилась к моему разъяснению своей позиции. Два главных её пункта — закрытые исходники (это к вопросу не только и, возможно, не столько о "люках", сколько о корректности реализации OpenPGP) и неизвестность разработчика. Другие достоинства программы, как то её защищённость от вредоносного кода в письмах и прочее, я сомнению не подвергал.

Я наконец понял. :-)
Т.е. Вы советуете использоваться связку почтовый клиент + PGPFreeware или GNUPGP и не доверять никаким реализациям OpenPGP в любых почтовых программах?

К слову, http://www.pgpi.org ссылается на PGPFreeware 8.x...
Т.е. как я понимаю есть лишь два пакета под винды для работы с PGP – это PGPFreeware и GNUPGP? Это так?

Последние версии не умеют. К более ранним (вторым, пятым, даже шестым, кажется) есть плагины от сторонних разработчиков. Найти можно там же на http://www.pgpi.org. Но это касаемо тесной интграции. А вообще операции с Current Window во всех версиях от 6.0, по-моему, ненамного менее удобны.

Шестерка в своем дистрибутие вродя и так имеет плагин к Аутглюку.
А кнопочка декрипт в окошке письма еще удобнее.. :-)

P. S.
Насчет популярности Бата – легального его что-то я не так много видел. В основном везде ворованный. :-(
А Марлин программа бесплатная с заявленным автором курсом на повышенную надежность секурную и соответственно повышенную приватность..

Блин. Кто бы сказал, что GNUPGP консольная аппликация.. :-( Еще не пробовал, но чую, что имеются у ней проблемы с русским языком.. :-(
К гую PGPFreeware привыкаешь быстро..
— SATtva (23/10/2003 18:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Я наконец понял. :-)
Т.е. Вы советуете использоваться связку почтовый клиент + PGPFreeware или GNUPGP и не доверять никаким реализациям OpenPGP в любых почтовых программах?

В целом, да. Ещё раз уточню, что не советую использовать любые реализации OpenPGP с закрытыми исходниками для работы с ЦЕННОЙ информацией. Если же шифруете обычную частную переписку, то почему бы и нет. Короче говоря, соизмеряйте риски.

К слову, http://www.pgpi.org ссылается на PGPFreeware 8.x...

Это политика PGP Corporation, запрещающая дублировать дистрибутив программы на иных сайтах кроме своего. Учитывая открытые исходники, не лишено смысла. Но все предыдущие версии можно скачать с http://www.pgpi.org .

У проекта PGPi ещё ведь и другая цель была кроме сбора всех freeware-версий: распространять программу по миру в обход экспортный ограничений США на средства стойкого шифрования. Однако после отмены этих ограничений необходимость в размещении копий на европейских серверах отпала, всё можно качать напрямую из Пало-Альто в солнечной Кремниевой долине т.е. с сайта PGP Corp.

Т.е. как я понимаю есть лишь два пакета под винды для работы с PGP – это PGPFreeware и GNUPGP? Это так?

Не считая коммерческих версий PGP — да.

Блин. Кто бы сказал, что GNUPGP консольная аппликация.. :-( Еще не пробовал, но чую, что имеются у ней проблемы с русским языком.. :-(
К гую PGPFreeware привыкаешь быстро.

GnuPG чем хорош — для него независимые разработчики кучу фронтэндов, бэкэндов и всяких плагинов понастряпали, в том числе и графических интерфейсов. Всего этого добра на официальном сайте навалом.

Но это уже несколько другая тема. Я пока боюсь отдельный раздел для обсуждений GnuPG открывать — тема бездонная. Но в перспективе планирую.
— Leksey (24/10/2003 10:00)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
В целом, да. Ещё раз уточню, что не советую использовать любые реализации OpenPGP с закрытыми исходниками для работы с ЦЕННОЙ информацией. Если же шифруете обычную частную переписку, то почему бы и нет. Короче говоря, соизмеряйте риски.

Все Вы вроде правильно говорите. Но для меня, который все равно качает бинарку, в т.ч. и того же GnuPGP разница не такая большая.
Если даже я скачаю сорцы и скомпилю, то где гарантия, что я их скомпилю правильно и в том что в коде нету бекдоров?? Я же не могу просмотреть код чисто физически, а кроме того я просто в этом не понимаю ничего..

GnuPG чем хорош — для него независимые разработчики кучу фронтэндов, бэкэндов и всяких плагинов понастряпали, в том числе и графических интерфейсов. Всего этого добра на официальном сайте навалом.
Но это уже несколько другая тема. Я пока боюсь отдельный раздел для обсуждений GnuPG открывать — тема бездонная. Но в перспективе планирую.

Будем смотреть, что это за Сухов..
— SATtva (24/10/2003 13:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если даже я скачаю сорцы и скомпилю, то где гарантия, что я их скомпилю правильно и в том что в коде нету бекдоров?? Я же не могу просмотреть код чисто физически, а кроме того я просто в этом не понимаю ничего..

Это не аргумент. То, что Вы не можете правильно прочитать исходные тексты, совершенно не дождественно, тому, что их нельзя прочитать В ПРИНЦИПЕ. По этой причине автор программы open source не может внедрять в неё любую недокументированную функцию ("люк" в частности) без основательных и оправданных опасений за свою репутацию, ведь рано или поздно "бэкдор" обнаружится. На работах над GnuPG, а также вокруг него в пользовательском сообществе сосредоточена огромная толпа народа, так что любые дырки были бы уже отловлены. Кроме того команда GnuPG входит в OpenPGP Alliance.
В общем, стоит учитывать философию разработчиков open source. Могу посоветовать хороший материал на эту тему:
http://www.bugtraq.ru/law/articles/noo/part1.html
http://www.bugtraq.ru/law/articles/noo/part2.html
и т.д.
— Leksey (24/10/2003 14:06)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Это не аргумент. То, что Вы не можете правильно прочитать исходные тексты, совершенно не дождественно, тому, что их нельзя прочитать В ПРИНЦИПЕ.

Слишком категорично. :-( И это по моему мнению все же аргумент. Не очень весомый, возможно, но все же.. Но писал то я от своего мнения, т.е. это аргумент пользователя..
Вы невнимательны – я качаю бинарку, а из чего она собрана известно лишь...
Если уж быть параноиком, то быть им до конца.. :-)
Глупо отрицать, что o-source проект в данном случае предпочтительнее, но это тоже не абсолютная панацея.

Меры по соблюдению приватности, по моему мнению, должны быть комплексными. Т.е. иметь сверхзащищенный пакет и работать, например, на MS Windows это серьезый удар по приватности. Но лично я, на это закрываю глаза и все же работаю в w2k..
НО если следовать Вашим рекомендациям с сомнением относиться к программам и системах не open-source, то стоит посоветовать Всем, кто хранит секретную информацию не пользоваться win32 системами.

Весьма интересно чем пользуетесь вы? Т.е. какой опер.системой и каким пакетом для работы с PGP? Если не секрет, конечно. :-)

P. S. Никак не хотел в течении ветки поддеть вас или обидеть. Мне действительно интересно мнение специалиста по PGP. Потому как я лишь рядовой юзер этого изобретения. И как оно работает понимаю весьма туманно.. Не считая, конечно, общей теории..

ЗЫ2 За ссылку спасибо. Но мне сие чтиво показалось достаточно тоскливым.. Хотя, я не хочу вдаваться в его обсуждение.
— SATtva (24/10/2003 14:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Слишком категорично. :-( И это по моему мнению все же аргумент. Не очень весомый, возможно, но все же.. Но писал то я от своего мнения, т.е. это аргумент пользователя..

И я Вас совершенно не хотел задеть. Просто озвучил общий принцип. Есть ведь и куча других способ добыть достоверную копию программы. Ну, допустим, Вы сомневаетесь, что скомпилируете исходник корректно, тогда можете обратиться к человеку, которому доверяете, чтобы он сделал это за Вас, подписал бинарник и отправил Вам. Это лишь один из вариантов. Можно и скаченный с сайта бинарник дезассемблировать и проверить на соответствие исходным текстам. И так далее.

НО если следовать Вашим рекомендациям с сомнением относиться к программам и системах не open-source, то стоит посоветовать Всем, кто хранит секретную информацию не пользоваться win32 системами.

Это не совсем так. Защищённость ОС трудно оценить по тем же критериям, что и исполняемую в её среде программу криптографической защиты информации. Безусловно, open source позволяет с большей быстротой отлавливать баги в коде, но также и находить и "эксплоитить" бреши в системе безопасности. Поэтому при комплексном анализе специалисты слишком часто расходятся во мнении, какая ОС — Винда или *никс-системы — является более надёжной. Майкрософт часто по другой причине клянут: за те бабки, которые она срубает, можно было получше заштопать Винду, а не выпускать по 10 критических патчей каждую неделю. И это в противовес бесплатному Линуксу. Теперь MS пошла другим путём и выдумала систему Paladin, уже заложенную в основу следующей ОС, но это совсем другая история, больше подходящая для раздела Политика.

Весьма интересно чем пользуетесь вы? Т.е. какой опер.системой и каким пакетом для работы с PGP? Если не секрет, конечно. :-)

Прочитав всё вышесказанное, Вы, наверное, не будете удивлены, что я работаю на WinXP (и 98 при необходимости). Мороки с ней меньше. Если же MS реализует в ОС Longhorn систему Paladin в том виде, в каком она обсуждается сейчас, — перейду на Линукс.
Как частный пользователь работаю с PGP Workgroup Desktop 8.0.2, ряд ключевых пар храню на USB-токене. Но этим дело не ограничивается. Компьютер защищён аппаратно-программным комплексом защиты от НСД, установлен DriveCrypt Plus Pack, брандмауэр, антивирус, IDS, программа для скрытного серфинга и ещё ряд систем контроля и ограничения доступа.
— Leksey (24/10/2003 15:19)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Во. Это меня изрядно заинтересовало. Если не сложно, расскажите подробнее.
Потому как доверителей, упомянутых Вами, у меня точно нет и получить дельный совет не от кого. А Вы, похоже, не только крепкий теоретик, но и практик. К таким людЯм я испытываю уважение..

Прочитав всё вышесказанное, Вы, наверное, не будете удивлены, что я работаю на WinXP (и 98 при необходимости). Мороки с ней меньше. Если же MS реализует в ОС Longhorn систему Paladin в том виде, в каком она обсуждается сейчас, — перейду на Линукс.
Как частный пользователь работаю с PGP Workgroup Desktop 8.0.2, ряд ключевых пар храню на USB-токене. Но этим дело не ограничивается. Компьютер защищён аппаратно-программным комплексом защиты от НСД, установлен DriveCrypt Plus Pack, брандмауэр, антивирус, IDS, программа для скрытного серфинга и ещё ряд систем контроля и ограничения доступа.

По палладин не слышал и хрен бы с ней пока. Еще дожить надо. Политка MS меня волнует только тогда, когда касается меня...

А дальше было перечислено столько вкусных слов.. Но не все я понял.
0. PGP Workgroup Desktop 8.0.2 – энто которая платная версия?
1. USB-токен это хрень которая втыкается в USB-порт, обладающая пзушкой на которую что-то можно записать. Иначе говоря, то что сейчас обзывают USB-drive?
2. Что есть аппаратно-прог. комплекс от НСД? НСД – это несанкционированный доступ? Аппаратная это значит, что железка какая-то? Ключик что-ли имеется ввиду?
3. Брендмауер какой? Софтверный, понятно. Но что за марка?
-. DriveCrypt Plus Pac – тоже за денежку купленный?
4. Антивирь какой?
5. Что такое IDS полез смотреть в яндех. Не особо нашел что-то, то сумел догадаться что это Intrusion Detection System, о которой я что-то слышал. Но я думал, что эту функцию выполняет огнестенка ваша?
6. Что такое скрытый серфинг ме сложновато понять. :-(( Не сообщать что-ли referreal сайт да в поле клиента что-то другое казать? Т.е. скрывать информацию о клиенте, системе и сайте с которого пришел? Ничего другого при серфинге вроде не сообщишь о себе..
7. ... ряд систем контроля и ограничения доступа
что же это такое? Мне в голову ничего не приходит.

Сам я на домашней компутере, который сидит в тушинском хоменете имею w2k SP4 + скачанные хотфиксы и кумулятивы (на дырки проверяюсь сканером Retina), отключены все какие возможно сервисы и DCOM-ы различные, всякие доступные секьюрити полиси тоже активированы – типа удаления при выключении свопа опера в качестве браузера (никаких iframe и прочих гадостей вроде vbscripts), хотя плюшки включены (иначе неудобно по форумам ходить), AVP3, но только для демандовой проверки выполняемых файлов (потому как ресурсы очень жрет), почтовый клиент Marlin, PGPFreeware 6.x. В качестве основной сетевой защиты Outpost 2.x с закрученными гайками (также хочу настроить IPSecurity виндовое, когда пойму как). Из протоколов активен только TCP/IP.
Пользовался в свое время софтом типа AnonProxy, но искать постоянно живые анонимизирующие прокси затрахало. А socks настроить что-то не получилось.
Для терминального доступа только SSH, но для почты обычное незащищенное соединение. Есть мысли перейти на SSL для почтового сервера..
PGP использую для защиты файлов, пересылаемых по электронной почты и для приватной переписки. Что-то действительно секретное вобще компутеру стараюсь не доверять. Максимум – запишу на болванку, а ее в лесу закапываю..
— SATtva (24/10/2003 16:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
0. PGP Workgroup Desktop 8.0.2 – энто которая платная версия?

Она самая.

1. USB-токен это хрень которая втыкается в USB-порт, обладающая пзушкой на которую что-то можно записать. Иначе говоря, то что сейчас обзывают USB-drive?

Примерно. USB-драйв — это просто носитель информации вроде компакт-диска. USB-токен — аналогично смарт-карте, защищённый от взлома модуль с небольшой ПЗУ (в среднем 32Кб) и криптографическим процессором. Позволяет сохранять на нём криптографические ключи без риска, что их оттуда выскребут (хотя справедливости ради стоит отметить, что существуют некоторые методики взлома смарт-карт, но они гораздо более сложны, чем простое копирование закрытого ключа с жёсткого диска).

2. Что есть аппаратно-прог. комплекс от НСД? НСД – это несанкционированный доступ? Аппаратная это значит, что железка какая-то? Ключик что-ли имеется ввиду?

Это эксклюзивное решение от компании Конфидент, и его детали я бы раскрывать не стал.

3. Брендмауер какой? Софтверный, понятно. Но что за марка?

Symantec'овский Norton Internet Security 2003 Pro. То же касается и антивируса. Весь софт лицензионный.

5. Что такое IDS полез смотреть в яндех. Не особо нашел что-то, то сумел догадаться что это Intrusion Detection System, о которой я что-то слышал. Но я думал, что эту функцию выполняет огнестенка ваша?

Всё верно.

6. Что такое скрытый серфинг ме сложновато понять. :-(( Не сообщать что-ли referreal сайт да в поле клиента что-то другое казать? Т.е. скрывать информацию о клиенте, системе и сайте с которого пришел? Ничего другого при серфинге вроде не сообщишь о себе.

Программа, использующая рулеточную смену анонимного прокси, т.е. IP-адрес меняется примерно каждые 5 секунд. Но этой штукой я редко пользуюсь.

7. ... ряд систем контроля и ограничения доступа
что же это такое? Мне в голову ничего не приходит.


Ну, не стану же я все свои хитрости раскрывать и свою систему досконально описывать. ;-) Представьте, если бы в средние века феодал-хозяин замка повесил на его воротах подробный чертёж с указанием толщины стен, глубины рва и всех тайных проходов и подписью "Добро пожаловать". ;-)

Максимум – запишу на болванку, а ее в лесу закапываю..

Хех. ;-))
— Гость (07/12/2003 18:27)   <#>
SATtva:
Проглядев сайт я не обнаружил ссылок на исходные тексты, что тем более не располагает к доверию. Второе. Существует известный и проверенный мэйл-клиент с тесной интеграцией OpenPGP — это The BAT!. Кроме того, коммерческие версии PGP содержат плагины для удобной работы с наиболее распространёнными почтовыми системами (для старых и бесплатный есть плагины сторонней разработки с открытыми исходниками). Ещё существует GnuPG, поддерживающий всё-что-только-можно.


Случайно забрёл сюда. Поскольку сказанное выше в некоторой степени касается меня, попробую ответить.
Исходных текстов, действительно, нет. И, видимо, их какое-то время и не будет. Как верно было замечено, другие тоже не очень стараются с этим. Но с выходом очередной версии постараюсь опубликовать исходники предыдущей версии. Именно для того, чтобы успокоить (или огорчить :-) пользователей.
Основное отличие в реализации OpenPGP от других почтовых клиентов в том, что в marlin вся реализация – на собственном коде, в отличие от того же The Bat!, где взяты библиотеки от Циммермановского PGP, к тому же довольно старого. Я реализовал полностью свой код (конечно, изобретение не моё :-) вся информация из книжек – напр. Прикладная криптография – очень достойная книжка – и из примеров кода), который завязан на конкретную систему – Windows, на конкретный тип процессора – Intel x86, и это позволяет значительно сократить количество возможных ошибок в коде, чем если бы пришлось сразу писать мультиплатформенный и мультипроцессорный код. В отличие от других реализаций, моя реализация с самого начала ориентирована на ООП, использует все его возможности. Ну и результат: по скорости генерации ключей обе системы сопоставимы, но, например, для генерации ключей используется не устаревший метод – Ферма (как в PGPi), а более точный – Миллера-Рабина, и в отличие от The Bat! Для дешифрации сообщения достаточно одного клика мышкой, а если пароль кэширован, то и этого не нужно, при этом безопасность ничуть не хуже.
GnuPG фактически поддерживает не новый стандарт OpenPGP, а старый вариант, который был родителем OpenPGP. Поэтому в GnuPG не поддерживаются новые форматы ключей, сигнатур и т.п.
И ещё одно отличие. Этого уж точно нет ни в одном другом клиенте. В RFC 2440-6 было добавлено одно нововведение, которое наконец-то снимает проблему кодировок. То есть теперь можно указывать кодировку текста в OpenPGP-пакете. Хотя в стандарте OpenPGP и раньше было указано, что нужно использовать UTF-8, даже в PGP чихали на это – используется системная кодовая страница по умолчанию.
Поскольку marlin работает корректно с полностью юникодными сообщениями (даже со смешанными кодировками), то это нововведение позволяет решить проблему передачи таких сообщений (при условии, что получатель сообщения тоже поддерживает эту спецификацию). И обработка кодировки пакета добавлена в marlin.
= olegg =
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3