id: Гость   вход   регистрация
текущее время 14:42 28/03/2024
создать
просмотр
ссылки

А Вам не кажется?


Что помимо нас, честных параноиков, здесь шарятся представители спецслужб, и используют обсуждаемую инфу для борьбы с нами?!
И как с этим бороться?!


 
Комментарии
— Гость (01/06/2012 08:06)   <#>
Вы предлагаете сделать форум закрытым? :)


Они такие же двуногие, как и мы с вами, имеют полное право. Сокровищница знаний открыта для всех, в том числе и для них. К тому же, помимо нас, честных параноиков, здесь шарятся и представители криминальных кругов, и используют обсуждаемую инфу для нарушения закона. И как с этим бороться?!


Не раскрывать излишную конкретику и технические детали, которые несущественны в рамках обсуждаемых вопросов.

P.S. Косвенно уже неоднократно обсуждалось (/comment52215, /comment41615, /comment41621).
— unknown (01/06/2012 10:11)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Честные параноики отличаются от представителей спецслужб и криминальных кругов в том числе и тем, что интересуются в основном открытыми методами защиты. Так чтобы секретную часть или не использовать вообще, или сгенерировать как небольшой легкосменяемый хранимый секрет (ключ), или чтобы каждый мог подстроить некие дополнительные секретные подстройки под себя на основании общедоступных принципов.

Сами обсуждаемые методы защиты должны оставаться эффективными даже если противник знает их принцип. Т.е., собственно Принцип Керхгоффса.
— Гость (01/06/2012 11:10)   <#>
unknown, обновите у себя версию https everywhere — сейчас ссылки проставляются сразу, без всяких secure.wikimedia, достаточно http на https в wiki-ссылках заменить.
— unknown (01/06/2012 11:27, исправлен 01/06/2012 11:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Спасибо, это из-за букмарка стартовой страницы. С гуглом теперь также, просто https.

— unknown (01/06/2012 11:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, чей-то неплохой пост в ЖЖ, почему всё-таки в большинстве случаев принцип Керхгоффса не применяется и почему большинство потребителей и разработчиков систем безопасности не является настоящими честными параноиками. Вот методы, основанные на "принципе медведя" у нас не обсуждаются и не рекомендуются. Потому что для персональной приватности/анонимности и для малых собществ, не связанных с получением прибыли он не подходит. А там где подходит, в этих сообществах по интересам пусть и обсуждают и держат в секрете.
— Гость (01/06/2012 12:00)   <#>
А про white box cryptography можете что-нибудь написать, своё мнение? Нашёл по вашему посту ссылку, там вроде бы диссер.
— unknown (01/06/2012 12:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В любом случае скептически. Оно не поддерживает public key crypto и частую смену ключей и кроме как для DRM скорее всего ни для чего не годится. Насчёт уровня стойкости сомневаюсь, как и для всякого DRM, в работах заявляется отсутствие фундаментальной теоретической обоснованности. Даже в сравнении с обычной симметричной криптографией.

Кроме того, непонятно, как оно может продержаться против активного атакующего?
— Гость (01/06/2012 14:07)   <#>

Разработчики советуют всё же использовать encrypted.google.com версию:
Q. Why does HTTPS Everywhere use encrypted.google.com? It looks different...

A. The HTTPS version of Google at encrypted.google.com looks different, and sometimes omits links and buttons, that are on the www.google.com domain. In the past, HTTPS Everywhere had to use encrypted.google.com because that was the only way to perform searches over https. It is now possible to use https://www.google.com, but we continue to use the encrypted.google.com subdomain by default, because it provides slightly better security properties. However, you can use www.google.com instead by enabling the "Search www.google.com" ruleset in the HTTPS Everywhere preferences.

Кстати, в гугле это только для залогиненных идёт автоматическое перенаправление. Но, по сути, оно практически бесполезно без HTTPS Everywhere, т.к. изначальный запрос в той же лисе без манипуляций с keyword.URL и добавления google SSL searchplugin идёт по HTTP.
— Гость (01/06/2012 16:21)   <#>
как и для всякого DRM, в работах заявляется отсутствие фундаментальной теоретической обоснованности. Даже в сравнении с обычной симметричной криптографией.
Если там ничего не обосновано, как такие работы принимаются академическим сообществом в качестве диссертаций, статей, защит? Получается, там одна спекуляция сплошная? Или что-то за этим всё-таки стоит?
— unknown (01/06/2012 16:30, исправлен 01/06/2012 16:36)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Само академическое сообщество, которое принимает это направление, пишет что оно не обосновано. Сами авторы в конце своих статей в конце доказательств и теорем пишут, что-то вроде "они продвинулись в доказательстве, внесли вклад", но по сути ничего не доказали. Т.е. пока это красивая математическая обёртка скорее чисто описательного характера.


fileTowards Security Notions for White-Box Cryptography


White-Box Cryptography (WBC) is of practical importance. Unfortunately, it lacks a theoretical foundation. This paper provides an initial step towards a formalization of WBC.

И так почти во всех работах. Пока только этап формализации. Но есть даже сомнения, возможно ли построить систему доказательств, аналогичную хотя бы той, что есть в симм. криптографии.


Что написали бы критики этого направления — не знаю, таких работ пока нет, возможно за неимением интереса к проблеме со стороны тех, кто мог бы покритиковать.

— Гость (01/06/2012 16:56)   <#>
Всякие хакеры успешно пользуются обфускацией, есть куча методик, но там много чисто технических нюансов — завязка обфускации на конкретный софт, бибилиотеки, системы отладки. Тем не менее, всё это можно в какой-то степень формализовать (хотя бы на уровне кулинарной книги). Не знаю, что бы это дало для теории помимо собственно «искусства».
— unknown (01/06/2012 17:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
WBC претендует на то, что не является обфускацией. Кстати, формализация обфускации на уровне чисто теоретических коней в вакууме действительно существует и работы на эту тему публикуются.
— Гость (03/06/2012 09:15)   <#>
Вот методы, основанные на "принципе медведя" у нас не обсуждаются и не рекомендуются. Потому что для персональной приватности/анонимности и для малых собществ, не связанных с получением прибыли он не подходит.


Что касается Tor и gpg, тут понятно, но некоторые области (например, телефония) не особо охвачены защитой частной жизни. А те же смс-технологии все больше и больше внедряют банки и госслужбы для отслеживания места нахождения "клиентов", чтобы режим мог любого неугодного бросить за решетку.
Найти решения бывает достаточно сложно, например, с теми же смс некогда скайлинковские номера optiroam принимали смс от вебмани, киви и прочей фигни, сейчас они это заблочили. А было очень удобно, анонимно к ним подключиться, а потом принимать смс на анонимную почту или джаббер.
Где-то тут эта информация прошла, и через некоторое время эту возможность они заблочили. На претензии отвечают, что это сделано "в целях борьбы с фродом", но это однозначно работа на спецслужбы, какое им дело до "внешнего" фрода, когда они деньги зарабатывают и каждая входящая смс у них стоит денег? Это явно не бизнес-решение, а анальное рабство в пользу спецслужб.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3