id: Гость   вход   регистрация
текущее время 20:50 28/03/2024
Автор темы: Гость, тема открыта 16/01/2014 10:17 Печать
Категории: анонимность, приватность, криптоанализ, атаки, полный перебор, разное, личности, побочные каналы
https://www.pgpru.com/Форум/Офф-топик/UnknownСДнемРождения
создать
просмотр
ссылки

unknown, с Днем Рождения!!!!


 
На страницу: 1, 2, 3, 4, 5 След.
Комментарии
— коты (19/01/2014 11:55)   <#>

Теория заговора это архипелаг ГУЛАГ. Наша родная коммунистическая партия не признавала ничего подобного и учила только хорошему. А раз не признавала, то значит и не было. А кто не согласен тот конспироложец.


Нет и не было, но сделать было не трудно.


Поражение всей земной поверхности непосредственно взрывом невозможно даже тератонным зарядом, но загрязнения будет достаточно.


А пруфы что там боевые? В колониальной роисси все ценное вывозят на Запад. Нефть, лес, золото, палладий. Уничтожаются все запасы оружия. Подлодки, корабли, самолеты, ракеты, поезда, БОВ, стволы, порох, патроны. Почему уран, плутоний и ядерные заряды должны быть исключением? Еще Эльцин в 93м сболтанул что ракеты больше не направлены на америку. Но с них тогда не просто сняли полетные задания, их полностью разоружили. Все логично, в стиле политики андропова-горбачева.
— unknown (19/01/2014 17:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это не отменяет того, что, может быть, есть простой элементарный способ связать ваш ник с вами, если что-то знать или до чего-то догадаться. Реальный противник может не смочь это сделать.

Анализ социальных связей никто не отменял. И я не мог во всех жизненных обстоятельствах разделять людей, которые знают меня лично, и тех, кто знает, или догадывается о моей сетевой активности и сетевом нике — по языку, интересам, сфере общения, читаемой литературе, профилям поведения. Я исхожу из того, что у меня нет никакого доверия к этим людям и они меня давно нечаянно или даже намеренно слили, с самого начала. Никакой иллюзии по поводу своей анонимности у меня нет.

Потому что нет таких тем и нет таких вопросов ни на одном из форензиковых форумов. Это не доказательство, но свидетельство.

Они в основном занимаются рутинными вещами и бюрократией, как всякие судебно-следственные органы. Им избыточная техническая квалификация не нужна, но что-то на стороне они спросить могут.


Я против расширительного толкования понятия «оружия», тем более против включения туда информации без разбора.


Вот вы смешали сведения об общих методах и конкретные действия, посредством их совершаемые. Это объединение в общность посредством неверной аналогии.

Например, нож может быть орудием преступления, потому что им можно убить. Значит и кровать может быть орудием преступления, потому что на ней можно кого-то изнасиловать. И вообще, потенциально совершить с её помощью любое преступление из уголовного кодекса, от мошенничества до контрабанды оружием. Т.е., человек, досконально разбирающийся в устройствах кроватей и распространяющий эту информацию — потенциально помогает преступникам и сама эта информация — преступление и оружие.

Если вы соглашаетесь с такой абсурдной логикой обвиняющей стороны, то вы — либо виновный, либо потенциально виновный, либо сочуствующий, значит вы уже морально-психологически обработаны так, чтобы на вас можно было легче вешать ложные обвинения. По таким негласным законам работает «кривосудие» во всём мире. И всевозможные методики обманов, манипуляции, пропаганды, допросов и пр. Вас заставляют или сотрудничать, или самоидентифицироваться с обвиняемым, т.е. выбирать из двух одинаково враждебных лично вам альтернатив, попадая в уловки «кто не с нами, тот против нас» и т.д., тысячи их.

Если бы все досконально знали, как манипулируют ниформацией, знали бы основы всех этих PSYOP, HUMINT и пр., то информация не могла бы быть оружием. С одной стороны — это утопия, с другой — монополия на знания общих принципов устройства чего-либо будет всё больше и больше утрачиваться во всех сферах. Придёться обладание разумом считать потенциальным оружием или преступлением. Оставлять или дебилов, или маскирующихся приспособленцев.


Скорее бесполезным. Или очень ограниченно полезным. Но это моё мнение, как бесполезного лентяя, смешивающего абстрактный теоретический перфекционизм с полнейшей практической небрежностью и никогда ничего толком не доведшего до практической реализации. Так что, моя оценка в таких вопросах малозначима.


Если бы в нём была потребность, то вероятность, что его сделали бы на Западе, или те кто уехал на Запад и стал разрабатывать открыто, намного больше. Глобализация вроде как всех уравняла, но тупо нет смысла делать некоторые вещи, находясь в некоторых странах, если при этом надо дополнительно специально скрываться. Почему такой проект не возник, случайно, например, в Китае?


Концепция, теоретические разработки, публикации, куча документации, отлаженное сообщество по разбору багов, масса всего, а код — только финальная крохотная часть работы на выходе, как капля в море. Чтобы по описанию протокола можно было легко разработать параллельную ветку кода даже не подглядывая в исходники.

В реальности — это конечно недостижимый идеал. Даже проект уровня Tor слабо ему соответствует — они уже захлебнулись разбирать 30 тикетов в день. Обычные OpenSource проекты справляются с нагрузкой, привлекая как можно больше разработчиков. Но если представить, что OpenSource проект связан секретностью/псевдонимностью, то его уровень скатится до очень низкого. Так же, при всей талантливости, малоперспективны проекты разработчиков-одиночек. Даже открытые, но где официальный разраб — только один. По этой причине маргинализовался и провалился линуксовый loop-aes против cryptsetup/dm-crypt, хотя изначально он намного опережал аналоги.


Против противника уровня государства никакой серьёзный объём публикаций в расчёте на безнаказанность по своей анонимности/псевдонимности невозможен, неважно, код это или данные.


Крайне маловероятно. Чисто теоретически при условии, что он никак не завязан на риаллайф, не тратит деньги на нагруженный хостинг, не привлекает никого для написания кода, не извлекает прибыли из своей деятельности и пр.


Сатоши — пример ... бесполезной модели разработки и бесполезного использования псевдонима.


Что конкретно имелось в виду?

Никто бы не стал мстить Сатоши за разработку биткоина. Это такой же тип пиара проекта, как на монографии Шнайера в начале 90-хх («АНБ никогда не хотело бы видеть эту книгу опубликованной»). Ничего Шнайеру не было, но он хоть и не скрывался. А Сатоши смог оставить только одну работу и положить начало программной реализации. В итоге мы имеем кривой протокол с кучей форков, не имеющих шансов его побороть, потому что первый вышедший на рынок захватывает всё. Скорее всего, Сатоши ухудшил перспективы своей идеи в обмен на личное обогащение на премайнинге, ради этого ему и нужен был псевдоним. А когда скрываться за ним стало трудно, он просто исчез. Возможны, конечно любые сценарии и совпадения случайностей, точных подробностей пока никто не знает.

Но если бы он занимался открытой разработкой, сначала бы публиковал стандарт, делал бы тестовые реализации, после них — официальный запуск с протоколом исключения премайнинга, тогда было бы больше пользы.

Я лично ни на какую особую полезность не претендую и категорически против секретных проектов.
Стоит ли это понимать как "вам не стоит доверять секретную информацию"?

Только если по какой-то официальной работе. У меня рано сформировалась сложившаяся и устоявшаяся картина мира, поэтому на работу, в которой можно было бы стать whistleblowers, я никак попасть бы не смог или сразу бы с неё ушёл. Так что ни с какими официальными секретами (не считая скучных и нафиг никому не нужных мелких коммерческих-производственных) мне никогда дело иметь не приходилось, чему я и рад. А в остальном, я бы сам не хотел иметь никаких дел ни с какими чужими секретами. Так что помогать whistleblowers, как это делают журналисты или Ассандж я бы тоже не стал. Просто посоветовал бы всё слить в паблик без редактирования.

Помогать каким-то тайным активистам — тоже мне лично неинтересно. Мне интересно только собирать, анализировать и доводить общеизвестную информацию (реже собственное мнение) через паблик и всё. Без всяких секретов.

По многим вопросам (не буквально конечно и не по всем) мне близка точка зрения Дж. Янга.
— Гость (19/01/2014 18:40)   <#>


Сатоши это NSA проект. Не имея возможности победить возглавили этот процесс. Если что-то пойдет не так, у них всегда есть патенты и прочие рыночные механизмы. Пока элита лишь нахваливает биткоины, а спецслужбы контролируют особо зарвавшихся анонимов по типу Эрика с Россом.
— unкnоvvn (19/01/2014 20:48)   <#>
Разные комментарии оказались информативными и, что более интересно, неплохо аргументированными. До такой степени, что читая их изолированно один от другого, соглашаешься буквально с каждым аргументом собеседника. Отдельно можно выделить политтроллинг.
Тем не менее, вот эти слова – "Я исхожу из того, что у меня нет никакого доверия к этим людям и они меня давно нечаянно или даже намеренно слили, с самого начала. Никакой иллюзии по поводу своей анонимности у меня нет" – звучат из уст человека, чей профиль красноречив в одном – unknown. Слив гипотетически возможен на допараноидальном этапе участия (соучастия:) в форуме, когда, возможно, человек не использовал тор или пренебрегал какими-либо иными средствами или условиями сохранения анонимности. Но это даже не слив, а только предпосылки.

По остальным пунктам: в сухом остатке, по мнению unknown'a, получается предпочтительна неанонимная деятельность при участии в проектах, направленных на обеспечение анонимности, т. к. такая модель обеспечивает конкурентные и иные преимущества и т. д.


Скромность, как и шрамы, ага.
Дело в том, что в зависимости от много чего, ntldr может и сам примерно выразить отношение к своему продукту в подобном роде. С легкой долей самоиронии. На деле это не меняет как-либо статус софта. Он нужен, полезен, востребован. Сужу об этом на своем примере, с поправкой на привычку к ТС при работе в Виндовс, и примерах др. "анонимусов".

Т.е. что-то вроде, трициклы скорее бесполезны или ограниченно полезны. Основной масее достаточно общ. транспорта и личных авто, даже классических байков. Но люди, кому нужна мобильность байка и устойчивость авто скажут, трицикл полезен.


Классический фундаментальный подход. Но ведь наколенке можно нарисовать карандашом портрет. А можно на мольберте, красками, кистями, на холсте и т.п. От художника зависит портрет. Кадры, короче, решают. Но в целом подход научно обоснованный, конечно, выглядит привлекательнее. Но не для лица, желающего сохранить анонимность.
Дальше все зависит от конкретной сферы применения. Наукоемкие или ресурсоемкие проекты сам анонимно не потянешь (хотя можно попытаться организовать процесс), только официально, с этим не поспорить. Проекты менее затратные можно, сохраняя анонимность или пседонимность. Все упирается в значимость, а это понятие сильно растяжимое, как резинка от трусов.
Концептуально типа "Давид и Голиаф".

С интересом почитал мнения Гостя и unknown'a. Было познавательно. Пишите еще. © Стороны подошли к проблеме с разных сторон, но оба мнения и подхода заслуживают внимания, в зависимости от специфики и обстоятельств, хмао.
— unknown (19/01/2014 21:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Спасибо за объединение позиций! С вашей помощью, я кажется лучше стал понимать, что хочет донести другая сторона, что долгое время до меня доходило крайне смутно.
— Гость (19/01/2014 22:53)   <#>
Три вещи ослабляются с каждым днем вследствие возрастающего противодействия: Невежество, Ненависть, Несправедливость.
Три вещи с каждым днем усиливаются вследствие
возрастающего к ним стремления: Знание, Любовь, Справедливость.
Три вещи постоянно уменьшаются: Мрак, Заблуждение, Смерть.
Три вещи возрастают постоянно: Огонь или Свет, Разум или Истина, Дух или Жизнь. Эти три вещи в конце возьмут верх над всеми другими
Триады бардов
— Гость (19/01/2014 23:08)   <#>

Пример кровати — большая натяжка, а с ножом всё именно так. Никто не запрещает ножи, но есть отличие между кухонным ножом и клинком. Прежде всего — это толщина стали, заступ возле лезвия и длина ножа. Нож, который делают для нападения, не должен гнуться — это накладывает ограничение на сталь. При втыкании ножа рука не должа соскальзывать с рукоятки и резаться об лезвие — это требует сделать "заступ" (не знаю, как называется) между лезвием и рукояткой. Оружейный нож должен доставать до сердца — это требует минимальной длины. Если вас с таким ножом встретят на улице, вам пришьют статью о ношении холодного оружия несмотря на то, что хранение точно такого же ножа дома ненаказуемо. Поэтому правильнее сказать, что ножи уже частично запрещены. То же касается хождения по улице с кастетами и прочими средствами нападения. Логика кривосудия законодателей такова: если нечто в основном используется для противоправных действий, а запрещение его не ударит больно по остальным благонамеренным гражданам, то надо это нечто запретить. Я сейчас не говорю о том, плохо это или хорошо, это просто факты.

Хотелось бы видеть чёткую грань между тем, что считается оружием и тем, что допустимо. Что бы вы сказали о наказании за распространение вирусов, за организацию DDoS-атак? С одной стороны, это просто программы. Их можно распечатать в виде шестнадцатеричных кодов и повесить на стенку. Глупо запрещать конкретные последовательности чисел, не так ли? С другой стороны, что делать с теми, кто эти коды разрабатывает и рушит сетевую инфраструктуру, что приводит к вполне ощутимым финансовым убыткам?


Если я задаю определённые вопросы, это ещё не значит, что я сам согласен с "такой абсурдной логикой". Мне, например, может хотеться видеть максимально возможную чёткую, ясную, убедительную аргументацию в защиту конкретной точки зрения. Т.е. такую аргументацию, которая будет обезоруживать аргументы любых сторонников противоположной точки зрения.


"Не могла бы быть" — что значит? Вы признаёте, что она-таки "есть"?


Массово люди не склонны к изучению и осмыслению информации несмотря на её общедоступность. Это то, о чём писал Хаскли. К тому же, объём информации растёт, сложность её растёт. Усвоение информации требует всё большей и большей квалификации, предварительной подготовки, обучения. Мы движемся к сингулярности, когда два специалиста, работающие в одной и той же области, перестают понимать друг друга. Недавний пример — документы Сноудена. Они общедоступны. Как вы думаете, какой процент обывателей, с учётом сделанного шума, хотя бы раз открыл оригинальные документы? Я практически уверен, что таких не наберётся и 1%. Даже технически подкованные гики, как правило, не читали эти документы, довольствуясь переработанными и перевранными статьями из СМИ.

В силу сказанного я думаю, что "обладание разумом" всегда будет уделом только "изобранных", причём не по причине труднодоступности или лёгкодоступности знаний, а по той причине, что знания являются наркотиком, на который трудно подсесть. Чтобы начать испытывать интерес к какой-то области знаний, нужно уже много знать и понимать из этой области. До тех пор, пока вы не понимаете, вы должны изучать эту область на чистом энтузиазме без какой-либо отдачи, но на долгий упорный труд способно меньшинство населения. С другой строны, как только вы достигли определённого порога в знаниях, перед вами раскрываются удивительные горизонты интересного и неизведанного. Каждое новое усилие по изучению этой области даёт вам всё большую моральную отдачу. Начиная с какого-то момента вы уже не можете бросить интересоваться этой областью знаний, она для вас превращается в наркотик. Та информация по этой области, что для новичка — набор бессмысленных заклинаний и фактов, которые неясно, к чему пришить, для вас — ценный камень в общей картине мироздания, открывающий интересные новые связи между объектами, фактами, свойствами.

Яркий пример — сетевая анонимность. Казалось бы, это должны быть многим интересно, но сколько людей регулярно сюда что-то пишет по этой теме? Человек 10 из 250 миллионов русскоговорящих. Чувствуете масштаб? Остальным это просто неинтересно. Они сюда приходят с вопросами "где мне что прописать в настройках, чтобы всё было ОК?", получают ответ и сразу же сваливают, не вникая в подробности. Для них анонимность — одна из статей расхода. Это как если бы они пришли в автосервис, попросили отремонтировать машину, вкратце выслушали, в чём проблема, и уехали, забыв о проблеме, потому что их жизнь крутится вокруг других проблем, неавтослесраных. Профессионалов, которым интересно автослесарство само по себе, — меньшинство. С анонимностью точно так же.


Вы не понимаете одну вещь: винда — не линукс, у неё код закрыт, и полной официальной документации на внутренности тоже нет, что необходимо для написания настолько внутрисистемного софта, как системное полнодисковое шифрование. Единственный способ узнать эти подробности — реверсить код винды и читать результаты реверсинга других реверсеров. Для такого большого проекта как винда, переполненного своими багами и обратными совместимостями, это титанический труд. Нужно много лет сидеть и рутинно разбираться с кодом винды, чтобы более-менее понимать её внутренние интерфейсы. Вы должны одновременно держать в голове огромную массу технических деталей, чтобы написать такой проект. Это не даёт гарантию отсутствия утечек, но при усилиях выше некоторых сводит их вероятность на уровень ниже некоторого. Например, TC однажды уже попалился на незнании каких-то деталей, а с DC такого фейла пока ещё не было. Как вы думаете, сколько людей в мире (исключая сотрудников MS, которым запрещено заниматься такими разработками в свободное время, да и самого свободного времени нет) настолько хорошо знают чёрный ящик под названием "винда", что способны написать такой код?

В ответ могу привести мнение двух уважаемых людей. Один какой-то раз мне сказал: вот, смотри, в этом техническом вузе много тысяч учащихся, из них сотни линуксоидов, много промышляющих коммерческим и не только программированием, немало коммитеров в оупенсорсные проекты, но на всю эту массу найдётся только 2 человека, примерно, способных написать какой-нибудь несложный патч к ядру винды — это чтоб ты почувствовал разницу между коммерческим прогерством под открытые интерфейсы и прогерством для системных закрытых интерфейсов. А другой человек сказал в лоб: во всём мире есть всего порядка 100 человек, способных создать такой продукт, это очень немного.

С разработкой DC воткрытую могли бы быть претензии к тому, что код винды легально реверсить запрещено. Вы же помните историю со скайпом? Официальная легальная покупка реверсерских тулзов типа IDA тоже может быть проблемой. Я не уверен, что их легко может официально купить одиночка. Всё это накладывает ограничения на появление такого продукта, хотя вокруг пишутся тысячи опунесорсных системных программ под другие системы.

Не в последнюю очередь можно упомянуть другой пример: скайп. Вас не удивляет, что несмотря на миллионы его пользователей, до сих пор ни один человек не написал ни одного оупенсорного клиента к нему, хотя к той же проприеатрный закрытой аське этих открытых клиентов уже был пруд пруди при намного меньшей аудитории? Да, можно сослаться на запрет разарабатывать альтернативные клиенты скайпа (если скайп заметит такой клиент у кого-то, может его аккаунт заблочить, и будет прав по лицензии), но всё равно. Почему бы не взять и детально не разобрать конкретную версию скайпа, сделав неотличимый от официального, но оупенсорсный клон? Очевидно же, что при миллионной аудитории скайпа такой проект будет интересен очень многим? Почему никто до сих пор этого не сделал? Я не говорю про реальный смысл это делать (его нет), но по законам рынка уже должно было найтись минимум несколько юзеров, это сделавших.


Как всегда, пробема в том, что проект замахивается на большее, чем может унести. Разрабатывать Tor — это одно дело, но разрабатывать его подо все оси, включая несовместимые с UNIX — уже другое, не говоря о том, что поддержка собственного форка firefox и видалии не лезет по ресурсозатратности уже ни в какие ворота. Чтобы тянуть то, на что они замахнулись, у них должно быть примерно столько же ресурсов, сколько у Mozilla.


Разве конкретные причины провала известны? Вдруг автор более не смог находить достаточно свободного времени на проект или попросту потерял к нему интерес? А если бы не то и не это, может быть, он бы до сих пор опережал cryptsetup/dm-crypt. Ваши аргументы понятны и осмысленны, но настолько ли они категоричны, насколько должны быть?

Есть примеры того, как "панки" из-за протеста в свободное время специально разрабатывали открытые проекты (практически "на слабо"), бьющие по всем параметрам все известные коммерческие — просто ради того, чтобы доказать, что "мы можем нагнуть коммерсов". Т.е. квалифицированный специалист-программист, работающий на какую-то компанию, сидит, и денно и нощно со всей своей квалификацией, опытом и качеством строгает "проект" чисто чтобы "доказать", что это "возможно" создать в открытом сообществе.


Т.е. вы соглашаетесь с тем, что если государству, где живёт разработчик, не нравится анонимность и криптография, то такие проекты надо разрабатывать анонимно/псевдонимно, скрывая свою личность?


На закрытом FH хостилось множество достаточно одиозных сайтов, инфа о некоторых из которых даже удостоилась страниц в википедии. Вы слышали о поимке хоть одного из владельцев тех сайтов? Лично я — нет. И раз их не нашли сразу, пока FH был жив, вряд ли их найдут теперь, когда FH более не существует.


Когда биткоин был чисто умозрительным проектом, никто не мог предсказать, к чему он приведёт, насколько масштабные изменения возникнут в экономике, сколько врагов концепции коинов возникнет. Вдруг кто-то из этих врагов решит отомстить и убьёт автора? Популярность и известность — это всегда риск, чем бы они ни были вызваны, потому что появляется много врагов. Не зря известности часто ходят с охраной. Возьмёт глава спецслужб того же Ирана и скажет "мы уже устали бороться с тором, давайте-ка решим проблему по другому" и отдаст приказ внешней разведке начать охоту на ключевых разработчиков тора. Заметьте, их не охраняют, как президентов, устранить их физически проще простого.

В связи с биткоином, прежде всего, вспоминается история с Нот Хаусом. Он не так хорошо кончил, как Шнайер, не так ли?


Победить свой собственный проект? Почему бы тогда его просто не выпускать на публику? И не было бы никаких коинов.


В патентовании было отказано, а в том, что это был их проект, новости такого рода заставляют усомниться. Вообще, pgpru — оно не для параноиков в медицинском смысле этого слова, это вам куда-нибудь к Половко надо, хотя за создание белого шума в треде всё равно спасибо.
— Гость (20/01/2014 00:08)   <#>

Результат будет тот же. Если из 10000 постов есть один, в котором (условно) написано "я есть такой-то", то противник, найдя этот пост, докажет, что все 10000 постов принадлежат именно ему (считаем, что профиль не был взломан и скомпрометирован). При это не важно, когда тот пост был написан: вчера или 15 лет назад. Никто ведь не является профессиональным грамотным параноиком от рождения, никого с пелёнок к сети анонимных ремейлеров и другим анонимным сетям не приучали. Прежде, чем наберётся багаж знаний, необходимых для анонимности (и, самое главное, для осознания её необходимости!), человек, как правило, успевает оставить о себе множество следов в онлайне.


Помимо уже упомянутых аргументов против неанонимной разработки (они не отрицают аргументы за, а только дополняют их взглядом с другой стороны; т.к. есть преуимущества, и есть недостатки) можно вспомнить ещё один, классический: разработчик средств ИБ лишает безопасности самого себя. То же касается не только разработчиков, а всех, кто не скрыл свой акивный интерес к средствам ИБ. Есть пара примеров на тему:

Макарова буквально вынесли из салона машины вместе с креслом и компьютером в момент передачи очередного письма. Программисты предупредили оперативников: наверняка у преступника на клавиатуре есть аварийная кнопка, чтобы в момент задержания стереть всю информацию и лишить следствие улик. Примерно как в фильме “Гений”, где герой Александра Абдулова морочил голову сыщикам. Впоследствии так оно и вышло. Правда, уничтожить файлы Макаров все же не сумел.

Marques allegedly dove for his laptop when the police raided him, in an effort to shut it down.
Видимо, последнее страхующее звено безопасности не сработало, раз сканы паспорта всё-таки нашли и результаты его гуглопоиска тоже нашли. Не может не напомнить:
Основные методы борьбы с полнодисковым шифрованием — внезапный захват компьютера подозреваемого во включенном состоянии любой ценой. Рекомендуется добиваться от судей "No-Knock warrants" — "ордеров без стука", внезапного "surpise" вламывания в жилище и внезапных ночных "in the middle of the night" обысков.

Чем больше противник знает о вашей квалификации, тем лучше он подготовится к атаке на вас. Если нейтральный всё скрывающий аноним может опасаться рутинного обыска, случись что, то известный специалист в криптографии будет опасаться тайного установления жучков, видеокамер, TEMPESTа и затроянивания его железа в момент его отсутствия:

Джейкоб жаловался, что после этой истории вроде бы в отеле, кто-то в его отсутствие покопался в его ноутбуках.

Действительно, зачем устраивать внезапный обыск, если и так известно, что у него с вероятностью почти в 100% всё зашифровано, а пароль стойкий? Надо заранее подготовиться и украсть пароли, или спланировать обыск так, чтобы заполучить систему в момент, когда она незапаролена и загружена.

Наверное, не надо пояснять, что от таких целенаправленных методов очень трудно защититься, особенно от TEMPEST. Не будет же каждый разработчик криптософта сооружать для себя бункер с клеткой Фарадея и пропускным режимом. Эти аргументы подталкивают к выводу, что лучший разработчик шифрования или средств анонимности — тот, кому скрывать нечего. :)
— ntldr (20/01/2014 00:22)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Дело в том, что в зависимости от много чего, ntldr может и сам примерно выразить отношение к своему продукту в подобном роде.
Проект писался и пишется в первую очередь для себя, в редко выдающееся свободное время. На мировую значимость не претендую, но стараюсь делать качественный продукт. Качеству кода уделяется больше времени, нежели видимой стороне.
Пользоваться или нет – каждый решает сам. Мне не интересна популяризация проекта и нет времени этим заниматься.
— unknown (20/01/2014 00:41, исправлен 20/01/2014 00:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Хотелось бы видеть чёткую грань между тем, что считается оружием и тем, что допустимо. Что бы вы сказали о наказании за распространение вирусов, за организацию DDoS-атак? С одной стороны, это просто программы. Их можно распечатать в виде шестнадцатеричных кодов и повесить на стенку. Глупо запрещать конкретные последовательности чисел, не так ли?

Это сложный впорос, который требует долгой проработки. Могу дать только сырой, плохо сформулированный ответ.


  1. Информация об общих методах, способах, технологиях — должна быть свободна.
  2. Разработка любых программ и алгоритмов должна быть свободной.
  3. Ответственность должна наступать только по факту применения программ или других информационных средств.
  4. Факт применения должен быть зафиксирован, как принёсший реальный вред или ущерб: остановка заводских центрифуг, поломка медицинского оборудования, похищение денежных средств. Или должны быть явные угрозы и шантаж такого применения.
  5. Информация конкретного характера, направленная на облегчение причинения конкретного ущерба личности и организации может рассматриваться как подлежащая ограничению. Но только до момента её утечки в паблик. Наказанию могут подвергнуться те, кто собирал и выкладывал в паблик такую информацию. Распространители в паблике уже никакой ответственности нести не должны. Те, кто применяет эту информацию из паблика для совершения преступления, должны нести ответственность только за само преступление, а не за факт использования информации из паблика. Если она получена не из паблика, то это может быть отягчающим обстоятельством. Вообще, по этому пункту надо тщательно разбираться индивидуально с каждым случаем: умысел, замысел, деяние, совершение и пр., а не зацикливаться на самой информации.
  6. Информацию, которая влияет не на технологические системы, а на умы людей, считать свободной. Статьи о пропаганде, экстремизме, призывам и пр. — свести до минимума, как репрессивные. В качестве преступления рассматривать опять же не информацию, а призыва к совершению конкретных действий, заведомое унижение и провокация преследований или насилия в отношении каких-то групп лиц и пр. в виде спланированных действий, с временем местом и т.д. Т.е. 6 пункт, как и пятый — очень спорный и требует индивидуальных разбирательств по каждому случаю.

Понятие информационного оружия. войны и пр. — лучше исключить вообще. Это способы массового обмана, мошенничества, их надо рассматривать в индивидуальном порядке, разбирая по фактам. Сами эти понятия часто прикрывают один обман другим, более выгодным, другой стороне.


С другой стороны, что делать с теми, кто эти коды разрабатывает и рушит сетевую инфраструктуру, что приводит к вполне ощутимым финансовым убыткам?

Общий принцип: наказывать только за деяния с конкретным умыслом, а не за разработку методов.


информация не могла бы быть оружием.
"Не могла бы быть" — что значит? Вы признаёте, что она-таки "есть"?

Это ирония. Ну про женщин говорят — «красота — страшная сила». А ведь в средние века могли и буквально понять, что это оружие в руках дьявола, записать в ведьмы и отправить на костёр.


Массово люди не склонны к изучению и осмыслению информации несмотря на её общедоступность. Это то, о чём писал Хаскли. К тому же, объём информации растёт, сложность её растёт. Усвоение информации требует всё большей и большей квалификации

Количество групп активистов во всех областях тоже растёт. Это не принципиалльно новый процесс, но он сильно ускорился и развивается не так как раньше.


Это как если бы они пришли в автосервис, попросили отремонтировать машину, вкратце выслушали, в чём проблема, и уехали, забыв о проблеме, потому что их жизнь крутится вокруг других проблем, неавтослесраных

Есть области, в которых потребительский подход не работает. Анонимность — самый экстремальный пример, когда производителю совсем невыгодно, чтобы покупатель был анонимен. Это ограничение не только в рамках политики, массовой психологии, но и современной экономики. На самом деле, это во многих областях встречается, но не так остро.


Почему бы не взять и детально не разобрать конкретную версию скайпа, сделав неотличимый от официального, но оупенсорсный клон?

Протокол тут же сменят. Если с простыми мессенджерами это легче пофиксить, то здесь затраты не стоят временного результата.


Разве конкретные причины провала известны? Вдруг автор более не смог находить достаточно свободного времени на проект или попросту потерял к нему интерес? А если бы не то и не это, может быть, он бы до сих пор опережал cryptsetup/dm-crypt. Ваши аргументы понятны и осмысленны, но настолько ли они категоричны, насколько должны быть?

Я был пользователем сначала полулегальных шифрпанковских патчей к ядру, затем loop-aes, затем dm-crypt. Как-то следил за рассылкой. Мне показалось, что Джери очень талантливый разработчик и фанатик в хорошем смысле, но это сгубило его проект. Сам он более уравновешенный, чем Ганс Рейзер, который тоже опередил время со своей ФС, но что-то между ними есть похожее. Стремление сделать всё так единолично по своему, лучше других, да как-то по шифрпанковски и в одиночку не справиться. В итоге массы вытянули свои менее передовые идеи до более продвинутого уровня.


Т.е. вы соглашаетесь с тем, что если государству, где живёт разработчик, не нравится анонимность и криптография, то такие проекты надо разрабатывать анонимно/псевдонимно, скрывая свою личность?

Это неизбежное скатывание в маргинализацию, изоляцию и шифрпанк. Для государства глупо с этим бороться, если есть какие-то более свободные в этом плане государства, где всё это разработают. США могло бороться со свободной криптографией, поскольку оно было лидером в этой области. Его власти проиграли эту борьбу, теперь они могут экспортировать крипто в любые страны, где его запрещают. Запрещать его разработку в других местах теперь бесполезно: западные страны покроют все потребности в программных разработках. Возможно, DC — это действительно очень специфическое исключение в своей особой нише.


Есть примеры того, как "панки" из-за протеста в свободное время специально разрабатывали открытые проекты (практически "на слабо"), бьющие по всем параметрам все известные коммерческие — просто ради того, чтобы доказать, что "мы можем нагнуть коммерсов".

Есть даже примеры, как одиночки пытались или пытаются доказать, что они могут сделать круче, чем большие некоммерческие проекты без финансирования: ныне заключённый Рейзер, врач-анестезиолог Молнар.



АНБ признавало своей самой большой ошибкой выпуск DES в паблик. Он планировался только как секретный алгоритм, упрятанный в микросхемы. Да и открытию RSA они вероятно тоже были не рады. И много чему ещё. Вот даже сейчас Шамира на какие-то конференции не пускают. Всё равно теперь криптографов много, всем жизнь не испортишь и оставшихся не запугаешь.


Возьмёт глава спецслужб того же Ирана и скажет "мы уже устали бороться с тором, давайте-ка решим проблему по другому" и отдаст приказ внешней разведке начать охоту на ключевых разработчиков тора. Заметьте, их не охраняют, как президентов, устранить их физически проще простого.

Израиль успешно ликвидирует иранских физиков-ядерщиков. Ходили слухи и о ликвидации российских физиков, на российской территории, которые работали в иранских проектах. Но эта стратегия работает, потому что проект Ирана — секретный, хотя бы формально. Вот если бы они открытли сайт проекта вида "Open Source Atomic Bomb", завели вики, трекер, ePrint Archive, выложили все чертежи, формулы, программы, предложили вести открытую разработку учёным всего мира, открыто проводили эксперименты и испытания, тогда охотиться за учёными было бы бессмысленно. Только открыто такую инициативу они реализовать не могут не только по политическим и военно-стратегическим мотивам, но и потому, что это затратный проект, завязанный на реальные физические установки, крупные лаборатории и производственные объекты, большие расходы на материальные, а не только чисто интеллектуальные ресурсы.


Так что физическое устранение — это скорее израильский метод, а не иранский и против разработки тора он неэффективен.

— Гость (20/01/2014 01:08)   <#>
и против разработки тора он неэффективен
Да ну? Убьют разработчиков тора, кто их заменит? Два с половиной анонима, которые не побоятся? Или государство предоставит новым разработчикам охрану на уровне первых лиц?
— Гость (20/01/2014 01:19)   <#>

Насчет рисков в случае криптовалют: разработчика новакоин пытались ограбить. К нему домой заявились пацаны в масках и потребовали перевести коины на кошелек, это было сразу, как только эти коины начали торговаться на бирже. Разработчик — русский и неанонимный. После этого он потер везде свои контакты, а также темы на bitcointalk.org (он там один из админов форума), видимо, боясь повторения событий. Тема провисела буквально день и была около года назад.

Человек к тому моменту уничтожил весь премайн (по требованию владельца биржи BTC-e), поэтому у него в наличии были только какие-то копейки, которые он и перевёл грабителям. Его просто пугнули и легонько побили, но без тяжких телесных. Видимо, преступники охотились за премайном (а там очень много премайна было), но не знали, что он уже уничтожен по требованию BTC-e.

Правда, деньги — это специфическая тема, тут такое развитие событий в порядке вещей, и, даже более того, оно закономерно. Если у кого-то появляются деньги, и нет охраны, либо положеного к ним статуса, то у других людей появляется желание их изъять, это закономерно.

Кстати, почти все авторы клонов криптовалют анонимны, даже биржа BTC-е зарегистрирована на непонятно кого, никто доподлинно не знает, кто за ней стоит. В принципе это логично, и я бы удивился, будь иначе. Компания оффшорная, данные whois на домен скрыты, и владелец не спешит раскрывать свою личность.

Здесь тоже взаимоисключающие параграфы:

Препятствием на пути денежных переводов стало и то, что владельцы BTC-e хотят оставаться в полной анонимности, для чего они создали длинную цепочку банков-посредников. Ее основатели — Алексей и Александр, которые развили свои навыки в технопарке Сколково. Управляющая компания BTC-e находится на Кипре.

Владельцы по-прежнему не хотят раскрывать себя, в том числе свои фамилии, однако они согласились пролить свет на причины возникших проблем с банками, взволновавших такое количество пользователей.

Моё мнение — оффшор на дропа + легенда.
— Гость (20/01/2014 01:22)   <#>

Как правило, вещи, делающиеся для себя, а не для галочки или по указке и т.д., они и есть продолжение автора. Качественный продукт получается, когда делаешь его для себя. Или для других, как для себя.


Учитывая специфику продукта, думаю, что критерий тут несколько иной. Если ваш продукт поможет человеку, двум, десяти, сотне выполнить свою номинальную функцию, сохранив критически важные данные, а в ряде случаев читай свободу, жизнь, это уже значимость. Не мировая, но играющая важную роль в жизни людей. Прибегая к такому софту, человек доверяет ему самое ценное в виде цифровой информации. А это уже признание. Само по себе.
Мировую™ значимость хорошо уловили в Эпл, Винде и мобильных приложениях ко всему этому. Вот где битва за пользователя:)


Сложись обстоятельства в свое время немного иначе, и возможно, я бы пользовался DC. ТС в моем случае — это скорее дело привычки, чем осознанного предпочтения по ряду критериев. Примерно так же как Intel, а не AMD, например. Или AMD, а не Intel.
Искусственно популяризировать то, что нужно человеку не вижу смысла. Кому надо, сами придут к выбору подобного софта или конкретно DC. Выбор не так велик, как по мне, так состоит он между ТС и DC.
— Гость (20/01/2014 02:24)   <#>

В принципе, ещё есть коммерческое PGP, но, как говорил Шнайер, бойтиесь продуктов коммерческих компаний, т.к. на них могут надавить власти, заставив встроить закладку, и вы об этом не узнаете:

Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков.
— Гость (20/01/2014 02:47)   <#>

Вы противопоставляете политических активистов и криптографов, но присмотритесь внимательней: так ли велико между ними отличие?

Обычное "разоблачение" активиста во вполне нейтральном свете, если он не перебарщивает, смотрится так: как-то сообщил о творящемся беззаконии, и он поехал проверять. Приехал, опросил людей, опросил жильцов, местных прохожих, провёл фото и видеосъёмку, результаты "журналистского расследования" и собственные ощущения изложил в статье, отправил её редактору в газету. Из представленных материалов следует, что в заданной географической точке действительно находится противозаконно построеная дорога, там действительно есть высокий забор, действительно никто не знает, кому принадлежит территория в этом заповеднике, а за забором красуется многомиллиардный многоэтажный дворец. Официально все отнекиваются, а неофициально все знают, что это нелегальная госрезиденция. Вы не обязаны этому верить, вам просто дали факты. Вы можете самостоятельно приехать на ту же точку, спросить у тех же людей, сделать те же фотографии и собственные выводы, даже опровергнуть статью и написать её собственное "разоблачение". Этот активист работает как геолог: он пришёл, нашёл редкую породу и описал её в журнале. Описание может быть полностью нейтральным, но выводы всё равно будут напрашиваться сами собой. Так же, как невозможно поверить в том, что сруб в лесу образовался случайно сам собой, так же трудно поверить и в то, что многомиллиардным дворцом владеет никому неизвестный аноним, успешвно сохранивший в тайне факт своего владения собственностью и дорогами в запрещённом к строительству заповеднике.

Это были активисты. Теперь то, что делают криптографы: берут государственный шифр и начинают его анализировать. В этом нет никакой политики, хотя при желании её можно примешать сюда точно так же, как в предыдущем абзаце. Очередной Коблиц пинает очередной ГОСТ, расскзаывая вам, как и что надо сделать, чтобы убедиться в тех или иных фактах, только если в случае активистов это были дворцы и дороги, то тут — конкретные дифференциалы, приводящие к слабости шифра. По факту после разоблачений такого активиста Коблица у производителей сертифицированного софта могут начаться вполне ощутимые финансовые проблемы с продажей оборудования зарубеж, с его сертификацией в других странах, с принятием своего шифра в стандарт и не только. Это место, где абстрактное описание наблюдений вызывает изменения в реальном мире и бьёт по финансам, по народному доверию к отечественной криптографии, да ещё и раскрывает слабости отечественных шифров перед геополитическим противником — США.

Почему вы, тем не менее, считаете, что деятельность Коблица — не активизм?
На страницу: 1, 2, 3, 4, 5 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3