24.03 // Проект Tor получил премию общественной значимости FSF-2010
Бессменный президент фонда свободного программного обеспечения (FSF) Ричард Столлман на церемонии в Бостоне (штат Массачусетс, США), проходящей в рамках конференции LibrePlanet 2011 в колледже Bunker Hill, объявил о вручении ежегодных наград.
Награждение присуждается по двум номинациям: за личный вклад в дело свободного ПО и за проект, имеющий общественную значимость.
За 2010 год премия по второй категории была присуждена проекту Tor. Награду принимал исполнительный директор проекта Tor Эндрю Льюман.
Список предыдущих наград в этой категории выглядит так:
- 2009 Internet Archive
- 2008 Creative Commons
- 2007 Groklaw
- 2006 Sahana Disaster Management System
- 2005 Wikipedia
Источник: Free Software Foundation
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
TorЛОР ничего неэкспортируеткомментирует, это лишь инструмент доступа к информации :)комментариев: 11558 документов: 1036 редакций: 4118
Welcome to NSA Suite A!P.S.: Я правильно понял шаблон "
Torуже не тот"? Чудны у pgpru посетители.GPG:
1) От безопасности алгоритмов шифрования.
2) От правильности их реализации.
3) От разработчиков программы (они имеют возможность вставить бекдор, который вероятно не сразу будет обнаружен).
4) От безопасности каналов первоначальной доставки программы пользователю.
Безопасность Tor зависит от всего вышеперечисленного плюс:
5) От возможностей глобального и псевдоглобального наблюдателя.
6) От возможностей атакующего по наводнению сети своими серверами.
7) От безопасности ключей DA.
8) От уязвимостей в программном коде (именно в коде, а не в реализации алгоритмов). GPG иммунен к таким уязвимостям, а любое сетевое приложение нет.
9) От безопасности браузера и других программ которые будут работать через Tor. Конечно это не относится к самому тору, но относится к конечному результату действий анонима.
5) От разработчиков компилятора, которым компилируют gpg.
6) От наличия троянов в железе, на котором происходит шифрование c помощью gpg.
7) От наличия прослушивающей аппаратуры в помещении, где используется gpg (перехват паролей, изображений с экрана и т.д.)
8) От генератора случайных чисел, используемом в ОС, на котором запущена gpg.
9) От безопасности прикладных программ, использующих gpg и потому имеющих доступ к приватному ключу (как то jabber client).
10) От наличия MITM-атаки (с каждым ли из своих адресатов вы сверяли отпечатки ключей, хотя бы по телефону?)
11) Все вышеприведённые пункты не имеют смысла, если можно просто прийти к адресату, менее параноящему чем вы, и тупо изъять у него содержимое шифрованной PGP-переписки, которые он, конечно же, не шифрует,
ибо зачем?.Наверняка можно дописать ещё кучу пунктов, я не специалист — это только то, что обсуждалось на pgpru.com последние года и что мне запомнилось.
Пункты 5-9 как раз аналогичны вашим Tor'овским 5-7. Ваш 8ой пункт не верен: можно подсунуть такой, якобы верный, gpg бинарь юзеру, что по результатам шифрования/подписи будет легко восстаналиваться приватный PGP-ключ. Ваш пункт 9 нейтрализуется правильной программной настройкой файерволла.
Компилятором много чего еще компилят. Трудно будет вставить незаметный бекдор срабатывающий именно в GPG. Да и компилируемый код нетрудно проверить. Я вот частенько смотрю что там нагенерил компилятор из моих исходников.
Тоже самое. Ориентировать на gpg, особенно если он кастомной сборки а не из стандартного бинарника, будет очень трудно. Ну а говорить о generic бекдоре против любой криптографии смешно.
Странно, я всегда считал, что такие программы не полагаются на чужие реализации криптоалгоритмов, а имеют всё нужное в себе или пользуются проверенными библиотеками. Печально, если это не так.
Это всё сугубо теоретические атаки, требующие активного участия пользователя, что может показаться ему подозрительным. Ну а атака на переполнение буфера в сетевом приложении ничего такого не требует. Раз – и получил троян, а потом и сам не понял откуда все пароли и личные данные вместе со списком скачанной порнухи оказались у ментов.
Троян тоже нейтрализуется правильной настройкой фаерволла? Не смешите меня. Он не нейтрализуется даже запуском браузера от специального пользователя. Я сам неделю назад написал 0day локал рут эксплоит и выгодно его продал.
Хостинге опасносте.