PGP, Tor. SSH/SSL и другие
Речь идет о Linux.
Для того, чтобы ходить по Инету без подсматривания чужих глаз, использовал сначала Tor, затем туннель через SSH.
Tor проявил себя афигенными тормозами, да такими, что желание юзать его быстро испарилось.
Причем канал и компьютер быстрые, видимо, дело в пропускной способности самой сети Tor.
Так или иначе, разбираться с тормозами желания не возникает.
Далее попробовал организовать VPN. Что-то вроде получилось, но канал часто рвался, да и настройка VPN дружественной не оказалась. В-общем, забил и на это.
Далее подвернулся вариант организации туннеля через SSH. На одном конце ПК, на другом – удаленный SSH-сервер.
Вот этот метод понравился больше всего – настраивается в два притопа, работает довольно устойчиво, при этом скорость открытия страниц высокая благодаря используемому механизму компрессии.
Так до сих пор и пользуюсь. Но возникло любопытство – а какова, интересно, криптостойкость полученного туннеля?
Можно ли ее сравнить с PGP, Tor и другими технологиями? И если да, то в каких примерно соотношениях их можно сопоставить, если принять, скажем, PGP за 100% стойкости?
К примеру: PGP – 100%, Tor – 30%, SSH – 5%.
Понимаю, что вопрос не вполне корректен, но я и не прошу точности – достаточно примерного сравнения.
И еще: каким образом можно принудительно заставить обычный SSH-сервер (sshd) работать на максимальной криптостойкости? (длине ключа и т.п.)
Почитал маны к нему, но пока не вкурил.
комментариев: 11558 документов: 1036 редакций: 4118
Как белое с острым?
Он некорректен в принципе. Я могу ответить "PGP – 100%, Tor – 100%, SSH – 100%", и мой ответ будет формально верным, но Вам это ни о чём не скажет. Криптографическая составляющая всех программ подобного класса практически равна. Проблемы начинаются при переходе на протокольный уровень, а большие проблемы — фигурально выражаясь, при использовании лома в качестве зубочистки, когда не знают, как и в каких целях использовать первое и второе.
Встречный вопрос: с какой целью Вы использовали Tor (и не могли смириться с тормозами, которые внутреприсущи для архитектуры этой сети в её нынешнем виде), кого рассматривали в качестве своей модели угрозы? Перейдя на ssh, сохранили ли Вы прежнюю модель угрозы или пересмотрели её?
Нафига? От кого Вы защищаетесь, если Вам не хватает дефолтной конфигурации?
Вот в этом как раз сомневаюсь. Неужели в них используются одинаковые алгоритмы, длина ключей и т.д.?
Кто-то на этом форуме объяснял, что от SSL до PGP как от земли до неба – он был неправ?
Tor – как обычно, реализация анонимности плюс защита последней мили от перлюстрации.
SSH – примерно то же самое, но с существенным ухудшением анонимности, поскольку удаленный SSH-сервер, понятное дело, не может заменить распределенную Tor-сеть.
Соответственно модель угрозы упрощается, к сожалению. Остается преимущественно защита от перлюстрации на последней миле.
А можно не задавать вопрос на вопрос? Если знаете – подскажите, тогда и у меня будет стимул ответить на ваш вопрос иначе, нежели "Так мне хочется".
Изучайте матчасть. Стойкие алгоритмы можно пересчитать по пальцам. Во всех вышеозначеннных программах используются только эти алгоритмы.
При генерации ключа, например, такой командой:
Покурите по мануалу допустимые значения для "-b" (длина ключа) и для -t (тип алгоритма). Ну и вообще, man ssh-keygen. К тому же, есть ключ подписи и ключ шифрования, о чём вы узнаете прочитав Шнаера, и после перлюстрации man ssh-keygen найдёте как можно задать длину обоих, и можно ли, и как это зависит от выбранного алгоритма.
Тогда используйте что хотите. Без знания вашей модели угрозы вам никто не сможет дать более точных рекомендаций.
комментариев: 11558 документов: 1036 редакций: 4118
Вам уже хорошо ответили то, на что я намекал в первом посте.
Что касается Шнаера, модели угрозы и прочих премудростей.. отвечу лишь, что я начинающий линуксоид и в криптопремудростях не силен. Более того, каких-то особых, непреодолимых по силе уровней защиты не планирую воздвигать – достаточно того, чтобы все, кому ни попадя, всякая чмошная публика, не заглядывали в замочную скважину моего компа и серфинга по Инету. Ну, а если то заглянет в SSL-защиту, значит, это спецслужбы, против чего я возражений не имею – им положено :)
Здесь были простые вопросы: сокрытие данных от 1) провайдера 2) младшей сестры 3) тех кто сниферит в локалке 4) спецслужб своей страны 5) всех спецслужб. В зависимости от того, от кого "скрываетесь" и разные ответы. Если прослушка спецслужбами, к примеру, вас полностью устраивает, то оптимальное решение – поднятие VPN до удалённого сервера. Стандартное решение – OpenVPN. Так что вот это: и надо было ответь на вопрос
Быстрее работает (намного), универсальнее (намного) и куда лучше/прозрачнее интегрируется с окружением (файерволлы, etc).
там вообще не было (а именна она позволяет дать инет через удалённый сервер централизованно для всей машины – чтобы не туннелировать каждое приложение по отдельности). Я согласен что OpenVPN сложен в настройке, но тем не менее. Ещё stunnel есть.
От всех спецслужб?
От всёх спецслужб можно только в рамках локальной (физической либо виртуальной) сети. Нельзя расчитывать что спецслужбы не имеют доступа к логам сервера.