Перечислены инструменты конфиденциальности с открытым исходным кодом, которые устойчивы к взлому АНБ
3Иллюстрация с сайта tomshardware.com
В недавней лекции на Chaos Communication Congress Якоб Эпельбаум (Jacob Appelbaum), основной участник Tor Project, опубликовал перечень инструментов с открытым исходным кодом, которые не подвержены взлому со стороны АНБ США.
Эпельбаум совместно с журналистами Spiegel и режиссёром документального кино Лорой Пойтрас (Laura Poitras) сейчас анализируют документы, обнародованные Эдвардом Сноуденом. На ежегодной встрече хакеров — Chaos Communication Congress — часть из этих документов была раскрыта, в них содержится перечень инструментов, которые Агентство национальной безопасности США неспособно взломать.
- Криптопротокол OTR (Off The Record) известный способностью шифровать каждое сообщение новым ключом (Perfect Forward Secrecy), которая никогда не позволит установить отправителя. Используется в Pidgin, Jitsi и Adium, и на мобильных устройствах — в CryptoCat и ChatSecure. TextSecure также использовал его до перехода на более современный протокол — Axolotl, которого не было на момент опубликования документов Сноуденом в 2012 году.
- PGP (Pretty Good Privacy) от Фила Циммермана (Phil Zimmerman), имеющий двадцатилетнюю историю по-прежнему надёжен. Однако у PGP есть две проблемы. Он сложен в настройке и использовании. А если ключ украдут, то вся предыдущая переписка может быть расшифрована. Над решением обеих проблем работают разные компании, в том числе Google с их проектов End-to-End.
- В раскрытых документах мобильные приложения RedPhone и Signal маркируются как «катастрофические» по шкале сложности взлома. Оба приложения используют протокол ZRTP, созданный Циммерманом и Джоном Калласом (Jon Callas).
- Tor. Судя по сообщению Эпельбаума эта сеть доставляет множество неудобств агентам АНБ. Однако последние события показывают, что по неосторожности пользователей (использование старых версий, авторизация с реальных аккаунтов и т.д.) деанонимизация возможна.
- Дистрибутив Tails, который принудительно использует Tor для выхода в сеть предоставляет тот же уровень защищённости, что и Tor. Но имеет те же слабые места: если вы используете его на основном компьютере, и например, заходите в реальный аккаунт Facebook, то пользы от Tor никакой.
Примечательно, что ни один из этих инструментов не написан крупными корпорациями с миллионными бюджетами. Как правило, их создают и поддерживают энтузиасты со всего мира.
Постоянная ссылка к новости: http://www.nixp.ru/news/13060.html. Никита Лялин по материалам tomshardware.com.
В CNCF приняты Open Source-проекты Notary от Docker и TUF, а также 30 новых компаний-участников
Уязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройства
Google выпустила инструмент OSS-Fuzz для постоянного fuzz-тестирования Open Source-проектов 1
АНБ США опубликовало код платформы для обеспечения безопасности в Linux — SIMP 2 2
Военные США открыли код Dshell для анализа сетевой активности 1
«Под колпаком» АНБ США оказались пользователи сети Tor и дистрибутива Tails 2 5
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Интересный список, но вот последний абзац позабавил:
Дядя Вася из гаража сделает вам из напильника отличную финку, с которой хоть на медведя, хоть на «гоп-стоп» можно ходить. А вот крупный завод выпустит для нормального (без лицензий) оборота только клинки не попадающие под определение «холодного оружия».
В России, как и в большинстве стран, криптостойкие технологии обычно тоже лицензируются и сертифицируются. И какой смысл реализовывать реально стойкий алгоритм, если ты на него не получишь сертификата (ФСТЭК и прочих), и соответственно не сможешь его продать тем, кому он требуется по закону?!
И что-то мне подсказывает, что для заказчиков типа ФСБ/СВР (РФ), БНД (ФРГ) специализированные продукты делаются на достойном уровне, но на рынок они не выходят.
Насколько мне известно, в Европах не требуется никакая сертификация. В отличие от нас, там вопрос безопасности каждая компания решает сама и она несет ответственность за утерю ПД и конфиденциально данных и ущерб от неё. А вот как их охранять, нигде не зафиксировано. Соответственно для них нет законных и вне закона инструментов, поэтому они будут покупать «реально стойкий алгоритм».
Не уверен, насчёт не требуется, но в то же время, большинство компаний не будут проводить экспертизу на предмет криптостойкости того или иного решения, а выберут а) по соответствию гос.стандарту, б) (и может быть даже более важно, для крупных предприятий) решение соответствующее / совместимое используемым уже технологиям, потому что городить зоопарк из кучки отдельных решений большинство не горит желанием, в) необходима коммерческая поддержка, т.е. вариант «сами возьмем и внедрим» для них не вариант.
Так что мы всё равно упираемся в «проклятие» совместимости с имеющимися решениями.
Вы пишите оторвано от реальности. Смешиваете средний бизнес и крупный, номинальную защиту и реальную, Россию и Европу. Давайте про Россию.
Соответствие госстандарту не отменяет наличия фактической защиты. Компании, которые действительно беспокоятся за безопасность (ФЗ-152 возлагает ответственность за ПД на компанию, не говоря уж о секретных данных) обеспечивают регламентированную государством защиту для галочки и применяют реальные средства.
Вы не поверите, но в крупных компаниях российское ПО мало используется (там даже 1С не монополист), поэтому «сертифицированные российские алгоритмы» не что иное, как чужеродный элемент и новый «огород» в их инфраструктуре.
Для кого для «них»? В начале вашего комментария вы говорили о неком «большинстве» компаний, а потом о «возможно крупных предприятиях». Это совершенно разный бизнес. Если мы говорим о первом, то там как раз-таки «сами внедрим». Поправка: я не знаю, как там в Москвах, у нас в регионах люди настороженно смотрят в сторону аутсорса, когда это связано с инфраструктурой и безопасностью. Что касается вторых, то коммерческая поддержка нужна безусловно. Правда я не понимаю, почему «реально стойкий алгоритм» не будет иметь такой поддержки.
Ну я общался с московскими банками, а так же парой ФГУПов оборонной направленности. Так банки обращали в первую очередь а) на совместимость с имеющимся софтом, б) на сертифицированность решения. Разговора о каких-либо узкозаточенных под безопасность решениях не было (правда я общался не с отделом IT security, а админами ОС и middleware). У них считали, что многоуровневая защита — это достаточная гарантия от вторжения. К тому же, в РФ (как и в тех же США), государство может через суд потребовать доступа к зашифрованным данным и получить его. Так что от него защищаться бессмысленно.
Во ФГУПах наоборот требовали только соответствия гос.стандартам, в остальном проблемы планировали спихивать на разработчиков этих систем.
Ну в заметке сказано, что «реально стойкие» решения предлагали только энтузиасты. А вот в нормальную поддержку от энтузиастов — я не верю. А любая фирма будет ограничена действующим законодательством.
P.S. Ещё раз, я спорил лишь с последней фразой о том, что «реально стойкие» алгоритмы выпустят только энтузиасты… И пытался сказать, что серьезные разработчики просто не будут связываться с защитой «от государства», так как в некоторых случаях оно «имеет право», и фирма может оказаться крайним (у них в первую очередь репутационно, у нас и за пределами правового поля). Закрыл же разработчик TrueCrypt свой проект, после того как с ним пообщались в ФБР на предмет защищенного диска с материалами по наркомафии (или детской порнографии).