id: Гость   вход   регистрация
текущее время 23:54 28/03/2024
Автор темы: Гость, тема открыта 02/11/2005 16:14 Печать
https://www.pgpru.com/Форум/ОбщиеВопросы/ТележкаСВопрсамиПоPGPDesktop9
создать
просмотр
ссылки

Тележка с вопрсами по PGP Desktop 9


Собственно большей частью они "хитрые", и могут касаться не обязательно только PGP, но, так или иначе имеют непосредственное отношение к данному продукту. Но ОЧЕНЬ бы хотелось услышать ответы если не на все, то на некоторые из них.


1) При удалении ключа из связки (keyrings) происходит ли БЕЗОПАСНОЕ удаление данного ключа? Или мне потом free space wipe вдобавок на носителе гонять?


2) Безопасно ли работает (в смысле, удаляет) pgp shred и free space wipe на современных винчестерах со встроенной кэш-памятью?


3) Безопасно ли работает (в смысле, удаляет) pgp shred и free space wipe на флэш-носителях?


4) Поддерживает ли PGP9 функцию WDE со смарткартами Aladdin eToken PRO? В документации заявлен Aladdin eToken USB. Смарткарты eToken PRO будут работать или нет?


5) Существуют ли смарткарты, с которыми будет работать PGP с функцией WDE, которые могут сделать чего посильнее, чем RSA 2048? Существуют ли вообще такие смарткарты? Планируется ли в будущих версиях PGP включать поддержку смарткарт с большей длиной ключа либо алгоритмами DH/DSS?


6) вопрос знатокам eToken PRO еще сюда вдобавок. Насколько я знаю, при блокировке PIN возможно восстановление токена только с потерей всей информации (в т.ч. ключей). Существуют ли специальные средства (в принципе), позволяющие восстанавливать данные (ключи) со смарткарт стандларта PKSC#11, если был заблокирован PIN?


7) Каковы отличия 9.0.2 от 9.0.1? Бесплатно ли мне обойдется обновление (у меня лицензионный сроком на год)


пока вроде все...


 
Комментарии
— SATtva (02/11/2005 16:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
1. PGP 8 и 9 удаляют ключи безопасно. О более ранних версиях ничего сказать не могу, как и о GnuPG.

2. Безопасно настолько, насколько перезаписываются сектора диска. Перезаписать непосредственно кэш Вам не удастся, но вероятно, что в процессе очиски диска произойдёт и "вымывание" данных и из него случайными данными, записываемыми на диск (это может быть и не так; всё зависит от алгоритмов, реализованных в аппаратуре кэширования).

3. Программу не волнует техническое устройство носителя, пока ОС своими средствами обеспечивает к нему доступ. Флэш-носители воспринимаются, как и обычный гибкий или жёсткий диск, соответственно происходит и удаление данных.

4. Именно (только) eToken PRO и поддерживаются.

5. Нет и таких карт не существует. Самое большее, что Вы сейчас сможете встретить, — это RSA с 2048-битовым ключом. Более крупные непрактичны из-за катастрофического падения производительности и скорости операций. Возможно, с ростом популярности алгоритмов на эллиптических кривых положение станет меняться. Но в ближайшие год-два (а, быть может, и до истечения патента на ECC) я бы на это не рассчитывал.

6. Только взлом и дешифрование содержимого EEPROM, а Вы как хотели? Вам нужна безопасность или встроенный бэк-дор? ;)

7. В 9.0.2 ввели поддержку WDE для Win2000, появилась японская локализация, исправлена пара малозначительных багов. Обновиться Вы можете бесплатно, но существенных преимуществ это не принесёт.
— Гость (02/11/2005 18:51)   <#>
1. Если можно, ссылочку на ресурс, где это сказано.
2. вопросов пока нет
3. Все же непонятно – данные удаленные с флэша – можно ли будет действительно восстановить (допустим, 28 пассов было)
4. В доке сказано Aladdin eTokenPRO USB Token. Имелось ли в виду, что поддреживаются ТОЛЬКО USB-токены, либо в том числе и смарткарты eTokenPRO с карт-ридерами USB для WDE?
5. нет вопросов.
6. В смысле – сама задача взлома и дешифрования EEPROM возможна с помощью спец. аппаратуры?
7. все понятно, вопросов нет.
— SATtva (02/11/2005 19:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
1. Нельзя. ;) Разве можно упомнить источник всего, что знаешь? Возможно, в дискуссионном листе Cryptorights обсуждалось, ссылка на него есть в соответствующем разделе. А вообще Гугл знает всё.

3. Ну переключился транзистор, как Вы узнаете, в каком состоянии он был раньше? По остаточному статическому заряду. Считается, что чем дольше определённые данные хранятся на носителе, тем меньше шансов уничтожить их безвозвратно. Читайте Гутмана. В идеале носить нужно просто стереть в порошок.

4. USB Token — это всегда аппаратный ключ в форм-факторе брелока, подключаемый к USB. О смарт-картах там нет ни слова.

6. Электронная туннельная микроскопия, DPA и пр. В целом, задача мэйнстримных аппаратных ключей — не предотвратить взлом, а сделать его обнаружимым (кража устройства, взломанный корпус, стёртая эпоксидка). В большинстве случаев этого достаточно.
— Гость (07/11/2005 10:40)   <#>
SATtva, немного непонятно по пункту 4 – проясните, пожалуйста.

Имеется ли в виду, что функция WDE будет работатьТОЛЬКО с eTokenPRO в форм-факторе брелока и НЕ будет работать со смарткартами eTokenPRO (на самом сайте Aladdin сказано, что эти вещи полностью совместимы)?

И еще, по п.6.
То есть, я понял, при наличии спец. аппаратуры считывание памяти на заблокированном токене в принципе возможно. Насколько это ("на глаз") дорогостоящие методы с точки зрения стоимости и времени?
— SATtva (07/11/2005 12:22)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
4. Не тестировалось. Просто разъясняю пункт руководства. Если речь идёт о USB Token, а не USB Smartcard/Reader, то это брелок. Наверное ведь, неспроста именно так написали? Но Вы вольны проверить.

6. Довольно дорогостоящие — от $20 тыс. и выше.
— Гость (12/11/2005 12:39)   <#>
У меня почамуто не скачиваеться ПГП 9 я регистрируюсь а на емайл не приходит confirm код. пробовал на 2х разных емайлах.
На один уже раньше приходил а на другой первый раз вводил.
Из за чего это может быть?
— unknown (12/11/2005 14:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
То есть, я понял, при наличии спец. аппаратуры считывание памяти на заблокированном токене в принципе возможно. Насколько это ("на глаз") дорогостоящие методы с точки зрения стоимости и времени?

Обычно, когда такие методы дают в качестве лабораторного задания студентам Кэмбриджа, Массачусетса или еще какого-нибудь ВУЗа, занимающегося подготовкой спецов в области безопасности методы дешевеют на порядки. Те у кого много денег и ресурсов привыкают думать многозначными денежными суммами.

Так дорогостоящее лазерное сканирование под электронным микроскопом догадались заменить ультрафиолетовым просвечиванием для получения топологических снимков, на которых побитово видны заряды внутри микросхем.

Шнайер в "секретах и лжи" приводил пример, когда очень дорогостоящее оборудование (сотни тысяч долларов) было легко арендовано злоумышленниками. Можно использовать фальшивые документы. Это можно также сделать легально, или воспользоваться тем, что работники научных учреждений даже в самых благополучных западных странах берут взятки.

Если абсолютизировать, то оценить стоимость взлома чего-либо очень малореально. Это величина дискретная – или никто на Земле (методов науке неизвестно) или кто-угодно.
Хотя сам Шнайер пытается оценивать риски безопасности в коммерческой деятельности.
— SATtva (12/11/2005 17:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
юЗВЕРЬ, Вы о демонстрационной версии? Может быть Ваш почтовый сервер принимает письма со ссылкой на закачку за спам?
— SATtva (12/11/2005 17:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хотя сам Шнайер пытается оценивать риски безопасности в коммерческой деятельности.

Да и не он один. Банки и страховые компании особенно в этом преуспевают. Правда, такие оценки действительно более вероятностные, чем количественные.
— Гость (13/11/2005 01:59)   <#>
Да о демонстрационной, но я пробовал на 2 разных ящика один у моего провайдера другой на http://www.safe-mail.net/ .
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3