Телефонная книга в сотовом телефоне.
Органы правопорядка старательно препятствовали приезду в СПб участников 2-ого Социального Форума. Практически все активисты сообщают что сотрудники интересовались содержимым телефонной книги их сотового телефона, не редки были случаи стирания записей и намеренной порчи SIM карты.
Оставив в стороне оценки действий правоохранителей, хотелось бы обсудить возможные способы и схемы позволяющие во-первых в случае кражи или изъятия сохранить телефоны (имена не так важны) в тайне, во-вторых быстро восстановить утраченные данные.
Пока я вижу только одно решение – смартфон. Адресная книга шифруется, зашифрованный бэкап данных можно хранить где-то в интернет. Но данное решение довольно дорогое (от $200). Телефон + дешевый PDA получается тоже не сильно дешевле.
Ваши варианты ?
Ссылки
[link1] http://pov.lt
Вариант обязательно должен быть бесплатным или по возможности дешевле $200? Или просто сваливаем все идеи в кучу, независимо от поставленных условий?
Если телефонов не очень много, то можно придумать для себя простейшее правило шифрования – прибавлять по модулю 10 к каждой цифре номера какое-то число. Не сильно удобно набирать номер, зато потеря сим-карты не ведёт к разглашению телефонов. И, главное, абсолютно бесплатно.
Практически все телефоны при подключении к компьютеру позволяют сохранять адресные книги, а уж чем их шифровать и где хранить – ваше дело. Например в виде sda-архива в черновиках на почте safe-mail. :)
upd: и ещё, ведь если вы по этим телефонам звонили – шифровать их бесполезно, оператор всё "органам" расскажет. так что если только от кражи любопытными товарищами по борьбе.
SATtva, не бесплатный но доступный.
Мой вариант грешит еще тем что PDA тоже можно испортить или отобрать и если новый телефон можно купить за $50 то PDA ощутимо дороже.
Dar Veter, отличный вариант! Причем телефоны можно записать на бумаге, преобразовывать "в уме" и после этого набирать. С бэкапом тоже нет проблем.
Dar Veter, upd: , такое возможно. Я не рассматриваю вариант следственных действий. Я предлагаю такую модель угрозы – "неправовые действия неких лиц, направленные на завладение информацией и/или ее орчу". Этими лицами может быть как гос. органы действующие незаконными методами, так и просто некая враждебная группа лиц (напримера болельщики другой футбольной команды).
SATtva, предлагаю валить в кучу и обсуждать. Но повторю еще раз вариант когда против вас ведуться следственные дейсвия не рассматривается. Имеем дело с простым "вредительством" или "хулиганством"
Умеют ли java-апплеты набирать номер?
Апплеты это, конечно, хорошо. Но куда лучше, когда в случае кражи у вас мобильного телефона адресная книга полностью доступна вору, там содержатся номера, которые теоретически могут существовать и не содержится никакого программного обеспечения, которое натолкнёт на какие-то левые мысли.
Мне конечно трудно представить конкретно сотрудника правоохранительных органов, умеющего держать в руках дубинку и знающего про атаки на основе известного открытого текста. Но допустим он обратится к к специалисту из своего отдела.
Если известен хотя бы один номер из списка, или по его длине можно угадать, что он начинается на девятку или если в списке окажется широко известный номер (мобильный оператор), то вычислить ваш модуль-ключ на основе "известного открытого номера" будет легко.
Несложно написать и программу, которая осуществит перебор всех номеров неопытных конспираторов грубой силой по разным простейшим алгоритмам – длина номера небольшая не больше 2^30 бит, размер запоминаемого ключа еще меньше. Просто сотрудник органов позвонит в центр и попросит прогнать список номеров через эту программу на персоналке за несколько секунд. Сигналом останова программы будет совпадение списка с базой реальных номеров.
Конечно, он может осуществить атаку грубой силой и на месте, с помощью своей дубинки и других подручных средств, но это уже не имеет отношения к криптографии.
Ответ: апплеты (на самом деле они называются мидлеты) не имеют доступа к телефонной книге. И это правильно.
Кстати, когда у меня был обыск, у меня тоже отняли мобильник и проверили все сообщения, записали всю телефонную книгу и регистр звонков (как принятых, так и не принятых и исходящих). Это стандартная процедура. У полиции есть софт, которым анализируют социальные сети. Так например можно найти "кто главный" даже в достаточно хорошо законспирированой группе без внешних атрибутов иерархии.
Так и живем...
Кстати, модель "сетей доверия" openPGP предлагает выставлять всю свою социальную сеть и список возможных контактов напоказ Такой вот обмен "секретность сообщения вместо анонимности". Хотя можно отправлять сообщения с нулевым keyID.
unknown, если перейти дорогу людям с такими возможностями, то никакое шифрование и не поможет. Тем не менее, диапазоны номеров, используемые операторами в принципе известны, поэтому можно следить за тем, чтобы получаемый номер обязательно существовал. Ключ может быть каждый раз разным, например зависеть от порядкового номера телефона в адресной книге, да ещё как-нибудь преобразованного – четную цифру складывать, нечётную прибавлять и т.п. Для целей, не связанных с защитой от компетентных спецслужб это вполне подойдёт. Главное – самому не запутаться.
Ну всё-таки, список подписанных Вами ключей может быть гораздо шире Вашей соц. сети. Особенно, если в Сессиях Заверителей часто принимать участие.
sentaus, отсюда интересный вывод "чаще учавствуйте в сесии заверителей" :)
Кстати, в Литве в середине Августа будет Linuxbierwanderung (он же Linux Beer Hike), обычно сопровождаемый сессиями заверителей.
На мой взгляд, наиболее полезная часть OpenPGP это ЭЦП, а не шифрование. Подавляющее большинство информационных атак в реальной жизни связано не с несанкционированым чтением информации, а с ее фальсификацией.
Ситуаций, где знание противником социальной сети делает атаку возможной или более эффективной, по-моему значительно меньше, чем таких, когда публичность сети доверия делает атаку значительно труднее.
Так что обмен, на мой взгляд, выгодный.
Но гибкость модели доверия OpenPGP позволяет создавать и такие протоколы, где социальная сеть не выставляется на показ. В принципе, для конспирации OpenPGP тоже подходит, но по моему глубокому убеждению это не самое полезное и нужное применение.
[quote:6c5e68d59b="Д. Надь"]Ответ: апплеты (на самом деле они называются мидлеты) не имеют доступа к телефонной книге. И это правильно.
]>
А могут ли мидлеты НАБИРАТЬ номер, который берут не из книги, а из себя, к примеру?
[quote:6c5e68d59b="Dar Veter"]там содержатся номера, которые теоретически могут существовать и не содержится никакого программного обеспечения, которое натолкнёт на какие-то левые мысли.
]>
И при этом выглядеть как невинный "тетрис", к примеру? ;-)
Проше всего сделать WAP страничку с нужными номерами и оттуда осуществлять дозвон. Есть еще мультисимки с защищенной специальным PIN-кодом телефонной книжкой (и такие звонки не запоминаются в списке исходящих)...
Д. Надь, заманчиво. Кто нибудь планирует ?
А могут ли мидлеты НАБИРАТЬ номер, который берут не из книги, а из себя, к примеру?
Нет, не могут. Мидлеты могут выйдти в WWW и в некоторых телефонах посылать SMS-ки. И то и другое только по согласованию с пользователем.
[quote:434e205365="paranoid ant"]Д. Надь, заманчиво. Кто нибудь планирует ?
]>
Что именно?
Д. Надь, Литва под боком и отпуск ждет своего часа, думаю не плохой спосособ провести неделю свободного времени.
[quote:8e9c7f3af3="paranoid ant"]Д. Надь, Литва под боком и отпуск ждет своего часа, думаю не плохой спосособ провести неделю свободного времени.
]>
Я буду в Литве с 12-го по 21-e августа.
Кстати, компания Programmers of Vilnius[link1] организует в своем офисе PGP keysigning party 14-го августа в 14:00. Я уже заказал себе колоду визиток с fingerprint-ом своего ключа.
Буду рад встретиться с участниками этого форума. Места ооочень красивые: http://www.paluse.lt
Засвидетельствовать почтение не смогу, к сожалению... :(