В чем заключается ваш опыт в сфере информационной безопасности? Поддерживаете ли вы какой-то проект, или может быть занимаетесь изучением криптографических алгоритмов с открытыми исходными кодами? У вас есть высшее образования в сфере информационных технологий? Может быть именно вы меня научите этой матчасти, если вы знаете ее лучше меня - почему бы мне не узнать что-то новое. Только пока я не вижу здесь ничего кроме разглогольствования об опыте, проценте ошибок и уровне знаний. По факту позволю себе спросить вас, на каких еще форумах вы общаетесь в качестве специалиста по информационной безопасности, можно ли ознакомиться с вашими сообщениями или, вероятно, у вас есть научные работы по данной теме? Из ваших знаний, что я здесь прочитал - я увидел лишь все уже сказанное другими пользователями, но переписанное другими словами и представленное как исключительно ваши заслуги и достижения. А по факту, вы не смогли даже написать собственную криптографическую программу, какую сделал я и выложил ее в открытый доступ в раздел "Шифрование". Не обессудьте, но это скорее вы в нелепом положении. А здесь вы неправильно поняли: государство обеспечивает возможность получения шифровальных программ, позволяет написать их самостоятельно на основе исходных кодов, находящихся в открытом доступе. Законодательно проконтролировать процесс распространения информации в Интернет практически невозможно, следовательно, невозможно и проконтролировать из какой страны идет запрос на открытые исходные коды. Однако, учитывая уровень современных угроз, любое сильное и могущественное государство по логике вещей должно иметь секретные НИИ, которые занимаются данным вопросом. И эти НИИ работают над поиском новых способов вскрытия этих алгоритмов. Зачем вы привели в описании вашей статьи название программы, контейнер от которой якобы не смогли вскрыть сотрудники безопасности? Вы не считаете, что большинство новичков, прочитав вашу статью, также попытаются совершить аналогичное вашему преступление и скрыть данные в контейнере, но их контейнер будет уже вскрыт? Или может быть вы этого и добиваетесь? Или создаете рекламу этому ПО? И да, будьте добры приведите сканы протокола допроса с официальными печатями ФСБ.
Так получилось, что для продолжения той дискуссии, а так же тысячи подобных, необходимо начать приводить конкретные факты. А этого, разумеется, делать не стоит. Не та аудитория. Хочу лишь отметить общепризнанную вещь: на недоверенных компонентах можно построить информационную систему с заданным уровнем безопасности. И главным здесь является вопрос об уровне доверия к исходным компонентам системы: безопасники старой закалки считают, что доверять чему-либо западному нельзя; а кто-то считает, что для защиты собственной задницы достаточно хранить все на зашифрованной с помощью FOSS-средства флешке. В (практической) криптологии, в отличие, скажем, от расчета стволов огнестрельного оружия на прочность, критерий оценки рациональности/правильности принятого решения отнюдь не один, даже не десять и у каждого они свои: для государства важно наличие соответствующего сертификата, а для Васи Пупкина из соседнего подъезда достаточно лишь мнения товарищей на форуме хакер.ру. Кто-то сталкивается с расследованием преступлений с позиции подозреваемого/обвиняемого, а кто-то - с позиции хороших парней, а еще кто-то - с позиции исследователя-теоретика, и у каждого есть свое аргументированное мнение по вопросу "стоит ли доверять *?". Я для себя уже сделал вывод, который основан исключительно на фактах и повторяемых опытах (а не на том, что я слышал, как кто-то видел, что кто-то что-то делал; и не на том, что я читал, что чей-то знакомый что-то там во время пьянки услышал про AES ). Поэтому обсуждать надежность и эффективность (любых) криптосредств без знания полной актуальной модели угроз и соответствующих критериев оценки бессмысленно. С первой частью сообщения согласен. По поводу второй - шифрование и сервер-посредник не есть анонимность. Если бы OpenVPN обеспечивал достаточный уровень анонимности, то не были бы созданы Tor и другие средства. Упрощенная формула анонимности: Анонимность = сокрытие пути передачи сообщения + шифрование сообщения + различные примочки (правдоподобное отрицание факта передачи сообщения и т.п.). OpenVPN обеспечивает лишь второе (и делает это хорошо, кстати). С первым возникают проблемы. Осторожнее с выражениями! Отправив анонимизированному клиенту определенный запрос можно получить от Windows довольно интересный ответ. Даже если исключить из обсуждаемой модели угроз явные баги, ошибки состыковки А с Б и т.п. вещи, то фраза все равно остается правильной - вы, например, знали, что некоторые IM-приложения для передачи файлов отправляют противоположной стороне ВСЕ IP-адреса системы?
Мой опыт заключается в понимании базовых основ криптографии, понимании/определении уровня качества имплементации определенных крптографических алгоритмов в определенном ПО, а также в том, какое ПО и как использовать. Надеюсь, достаточно полно ответил на Ваш вопрос. Нет, не поддерживаю. И нет, не занимаюсь. Мои скромные познания в этой области скорее носят пользовательско-потребительский характер, нежели чем характер специалиста, досконально разбирающегося в криптографических алгоритмах. Однако, речь в нашей дискуссии не о глубине моих знаний в криптографии, а о их достаточности для обеспечения необходимого уровня безопасности/сохранности данных в условиях поставленной задачи. Вы беседу не в то русло пытаетесь наклонить. То, что я здесь пишу — я пишу всегда из головы. То есть у меня нет такого «а что скажет Гугл по этому поводу?»… А тот факт, что мои знания основаны на информации, которая свободно лежит в сети, не является фактом их принижающим… К тому же, я никогда себе никакие заслуги и достижения не приписывал. Я лишь констатировал факт того, что я определенными знаниями владею (публичными кстати), и факт того, что эти знания и навыки меня в определенных ситуациях спасали. Простите, но эта цитата Вас окончательно дискредитировала, как в моих глазах, так и в глазах большинства других читающих эту ветку, имхо. Вашим, с позволения сказать, «продуктов» я в страшном кошмаре бы даже не рискнул воспользоваться, ибо уверен, что уровень его исполнения крайне низок. Опять же — это мое личное мнение. К тому же, я так и не возьму в толк, почему это я в нелепом положении? Потому что в некоторых моментах разбираюсь лучше Вас? Или потому, что не написал софт шифрующий данные? Так я не программер, а ваш софт кривой наверняка. Еще раз подчеркиваю — я не заявлял, что суперспец в вопросах безопасности, но уверен, что мои знания в любом случае более глубоки и основательны, чем знания многих. И многим я могу что то подсказать, и посоветовать, и лишь у немногих могу что то спросить (в этой области). Что то какая то чушь написана, если честно. Что значит «обеспечивает возможность получения шифровальных программ»? У меня есть доступ в Сеть, я что захотел, то и скачал, причем тут государство? Законодательно контролируется не процесс распространения информации, а право на использование криптоалгоритмов. То есть, разрешено использование софта, сертифицированного спецслужбами (а сертифицируется только тот софт, в котором есть бэкдоры, иначе это поставило бы под угрозу нацбезопасность; типа, от соседа шифруйся, а от нас ни-ни). Затем, что в 1999 году PGP, а ныне TrueCrypt, при правильном использовании не могут быть вскрыты. Почитайте мое цитирование Каткова, в ветке про форензику. Не считаю. Мотивация их на совершение тех или иных действий безусловно лежит вне плоскости моих личных интересов и возможностей. А контейнер вскрыт не будет, читайте, еще раз говорю, ветку про форензику. Не добиваюсь. А прорекламировать OpenSource ПО, почему бы и нет? Тем более, что продукт на мой взгляд, очень качественный. Не Ваш же пиарить Вот сканы:
Законодательно контролируется процесс ввоза на территорию РФ шифровальных средств. Это факт, зафиксированный в НПА. Вообще, процесс контроля крипто идет по следующей схеме: ограничение доступа к криптологии как к науке (середина 20 века), ограничение распространения криптосредств (конец 20 века), некоторые бюрократические проволочки (21 век).
Не вопрос, можно было перенести беседу в приватную плоскость, а итоги беседы вынести в паблик, таким образом оставив «конкретные факты» за кадром. Тем не менее, этого не было сделано, и диалог оборвался Абсолютно согласен. Но в данном контексте всплывает вопрос относительно того, что считается недоверенным компонентом, а что — нет. При той модели угроз, которую мы с Вами рассматривали в ветке про форензику, я считаю, что компонент TrueCrypt можно в полной мере считать вполне доверенным, т.к. полагаясь на мнение авторитетного (для Вас) источника (а именно г-на Каткова) можно полагать, что вскрытие такого контейнера не предоставляется возможным. Ничего подобного. Тут тоже очень сильно зависит, под каким углом смотреть (читай какую модель угрозы использовать). Понятное дело, что в плане шифрования самого по себе прикопаться сложно очень, равно как и не возможно в реал тайме вскрыть такой шифрованный канал. Как следствие этого, единственным выходом остается мониторить сервер-посредник, как объект потенциально способный дать более адекватную и объективную информацию относительно искомого субъекта. Но Вы не забывайте, что если сервер-посредник стоит в Китае/Ираке, то цепочка рвется, и такая модель защиты уже более чем достаточна. Если Вы с этим не согласны, я попрошу аргументировать. И в данном контексте это уже есть анонимность. Категорически не согласен. OpenVPN при правильной реализации (как технической, так и территориально-юрисдикционной) дает практически 100% защиту и анонимность. А вот сеть TOR, имхо, является 100% HoneyNet'ом, созданным специально, для того чтобы дискредитировать хакеров (и лиц под них косящих), т.е. для изучения/внедрения и т.д. Первое решается размещением результирующего сервера (точки входа-выхода) на территории страны, имеющей недружелюбный настрой (жесткую юрисдикцию) по отношению к «стране происхождения» искомого субъекта… Как я уже написал выше… Прошу прощения. Нет, но это предполагалось. Еще раз подчеркиваю — на машине, с которой выполняются особо опасные операции, удаляется весь посторонний софт, способный эту машину каким либо образом скомпрометировать. Остальной же софт, требуемый для выполнения тех или иных задач — тщательно мониторится любым сниффером на предмет того, что и куда он сообщает
Большое Спасибо всем кто отписался по теме.. и пролил еще некий свет на ситуацию Много чего хотелось по ходу прокомментировать.. и про Чичваркина.. и про то что на Блекбери имхо не справедливо стали пинать.. спрашивалось мнение.. и человек своё мнение высказал... не выскажи он свое.. может тут вообщеб не кто не появился Но удержался.. и беседа сама вернулась в русло с которого начинался топ.. Подвожу под всем выше Вами сказанным промежуточный ИМХО итог.. 1) Гос-во не допустит не какого "абсолюта" в виде защиты информации "быдлом" на своей территории (все активные участники дискуссии в том или ином виде об этом отписались или промолчали и оно "в воздухе витало", хотя иногда на прямые вопросы и отвечали однозначными отказами.. в других более развернутых постах можно было найти этому опровержения для СЕБЯ.. ) 2) Из дома нельзя делать вообще не чего.. даже с выходом через зашифрованный канал.. так как оно все идет/(может идти) в логи. И если даже сегодня системы/фильтры работающие по перехвату информации в шифрованном трафике.. работают только против угроз гос-ву то донастроить их на ловлю нового врага гос-ва (хакеpoв, karдерoв, фpoдeрoв, спамерoв, юзателей торрентов - нужное подчеркнуть) в случае изменения эконом/полит обстановки и поступлении указания например прижать дискредитирующий нашу страну на мировой арене элемент.. не составит труда.. и все это будет использовано против нас.. вопрос остается в одном.. когда настанет момент Х а то что он настанет.. я не сомневаюсь.. гос-во так "блоками" и работает.. сначала появляется блок - проблема потом по нему выносится комплексное решение.. вспомните налоговую амнистию.. до 2006г в порядке вещей было платить зарплаты в конвертах.. и не платить налоги.. и открыто это обсуждать.. не чего.. все исправили.. подняли все архивы задним числом.. когда для этого была подготовлена техническая база. тут я насколько понимаю ситуация обратная.. техническая база (coрм/*?) есть давно.. осталось только может чуток подтащить законодательную.. и "проявить желание"
Имхо, Блэкберри совершенно справедливо отпинали, потому что одно дело высказывать свое мнение и прислушиваться к критике. Споры, как заметил один из участников дискуссии, надо уметь проигрывать, в противном случае тебя обязательно макнут лицом в дерьмо. На мой взгляд, слишком категоричное утверждение. Вы не забывайте, что одиночки — крайне мобильны, а государство — крайне неповоротливо. В интересах государства, ессно, не допустить такого «абсолюта», однако физически воспрепятствовать такому повороту государство пока (!) не в состоянии. Крайне не желательно, но можно, если Вы уверены в надежности результирующего сервера (в случае с OpenVPN) относительно модели угроз. Как я уже писал, в большинстве случаев (кроме откровенных угроз национальной безопасности) сервера в недружественных странах вполне хватит. То есть найти его — найдут, а вот дальше врядли что либо смогут сделать. День «Ч» настанет, когда накопится некая критическая масса. А для того, чтобы понять когда она накопится, необходимо владеть определенной статистической информацией, коя, вне сомнений, лежит вне нашей досягаемости, увы. Так что в данном контексте вполне себе уместны превентивные меры, адекватные поставленным задачм и моделям угроз. Нужно работать на упреждение. Вам также спасибо за интересные поставленные вопросы.
Не знал что тут фигурирует банальная игра мышцами, и есть выгравшие и проигравшие, думаю здесть конфликт мнений и не больше, а уж на чем они основаны на фактах ли или на пустых разговорах это вы сами перед собой ответите одно могу сказать что почитав каждый мембер откроет для себя что то новое в этой сфере, ибо я лично сдесь за этим сижу час и давлю по клаве... Мой совет ка миротворца прежде чем начинать конфлик лучше прислушаться и той и другой стороне к друг другу и принять во внимание мнение и опыт противоположной стороны уверен вы от этого не чего не потеряете а только приобретете! Не соглошусь с этим мнением, у государства есть четко отлаженый механизм взоимодействия различных рычагов власти, которые реагируют в определенной обстановке молнеиностно! проще говаря люди четко знаю что делать в той или иной ситуации, а вот Вы мой друг как раз нет, случайно уперев лям как в соседней теме , мен растерялся и не знаю что делать с ним и как быть в этой обстановке идет советоваться на форум (при условии есть это конечно так) а вот органы уже работают над этим по четко поставленому алгоритму действий который отачивался годами, и нам с вами мало известен!
Прежде всего, наша беседа — это диалог. Но этот диалог в силу каких то личных качеств моего уважаемого оппонента, все норовит выскочить за грань конструктивности и перейти на личности, в стиле «пля, да я тут мега-крипто-софт написал, а ты что сделал?»… С учетом того, что я ни принижал его достоинства, ни возвышал своего, а лишь констатировал собственные знания без какого либо пафоса. Со стороны моего оппонента тут скорее всего оскорбленная самооценка, результирующая в цитату, указанную выше. Если человек умный — промолчит, если нет — будем снова ожидать «тёрок» Посыл грамотный, только вот я на личности не переходил, и никакой конфликт не начинал, Вы о чем вообще? Это комментировать не буду, Вы даже не поняли о чем идет речь.
