>Но вот просто просидеть огромное число лет, условно ничего не делая, и не тратя, а потом тупо сесть - нелепость невероятная.
Ага. Тем более примечательно, что этот тип - этнический еврей и вроде бы должен быть сообразительным. Зато у него супружница такая креативная. Если серьезно, ребята пожили в свое удовольствие, с едой и коксом, который и парализовал им мозги.
>january 31, 2022, law enforcement gained access to Wallet 1CGA4s by decrypting a file saved to LICHTENSTEIN’s cloud storage account....
Я сейчас буду нубские вопросы задавать, не пуляйте сразу какашкими... Как они файл расшифровали в облаке? Он пользовался штатным облачным шифровальщиком штоле?
>In 2021, agents obtained a copy of the contents of the cloud storage account pursuant to a search warrant. Upon reviewing the contents of the account, agents confirmed that the account was used by LICHTENSTEIN. However, a significant portion of the files were encrypted (метод не указан -- sporaw).
Тут опять же вопросы. Если это не штатный шифровальщик облака, то чем он пользовался? Это, понятно, не расскажут. Может у них там квантовый компутер имеется, и они научились нессиметричное шифрование колоть, как фундук?
Если человек знаимется не котиками, а криптовалютой, нафига все хранить в облаке? Надо как-то на отдельных носителях наверное, которые физически храняться "Не Там, Где Ты Живешь", и местнахождение которых никто не знает.
Третий вопрос немного не по теме. А именно, какие средства подходят для криптования данных при хранении в облаке? Нессиметричную криптографию не предлагать (будем считать, что АНБ имеет квантовый компутер). Т.е. интересуют инструменты, в которых известно, что нет бэкдоров.
> Ага. Тем более примечательно, что этот тип - этнический еврей и вроде бы должен быть сообразительным.
Ну-ну сообразительный. Или высшая раса и истинный ариец б-гоизбранный?
> Как они файл расшифровали в облаке? Он пользовался штатным облачным шифровальщиком штоле?
Если читать буквально, то следует, что облачное хранилище в ответ на запрос выдало файл. Который потом расшифровали. Как именно и что там за шифр был старательно умалчивается. Пока что можно предположить что угодно - от секретного квантового компа АНБ, уязвимостей шифра и до банального перехвата пароля разнообразными техническими средствами. В последнем случае официальная выдача доступа в аккаунт им понадобилась только для юридической чистоты.
> Надо как-то на отдельных носителях наверное, которые физически храняться "Не Там, Где Ты Живешь", и местнахождение которых никто не знает.
Сервера в Лихтенштейне (и скорее всего остались еще где-то) могли выглядеть очень неплохим вариантом с точки зрения их юрисдикции и отсутствия необходимости на месте где-то заныкивать отдельные носители. Это не так просто сделать как кажется.
> Т.е. интересуют инструменты, в которых известно, что нет бэкдоров.
Таких нет в принципе. Из того, что есть, меньше всего подозрений вызывает Truecrypt до версии 7.1a включительно. Но его еще надо сейчас найти где скачать аутентичный, так как были случаи, когда например с русскоязычного truecrypt.ru для определенных IP (и только для них) выдавался троянизированный вариант с отсылкой пароля "кому надо". Эту штуку вскрыло Eset, были в свое время где-то в 2012-2013-м публикации.
Ну смотря с какой точки зрения смотреть. Если с точки зрения иудаизма, то таки да. Иначе быть никак не могёт. Гоев создатель сделал человекоподобными для комфортного управления ими.
>...банального перехвата пароля разнообразными техническими средствами. В последнем случае официальная выдача доступа в аккаунт им понадобилась только для юридической чистоты.
Как-то так мне и думалось. Заранее поставили ему килогер, и вели его потом. Еще раз подчеркивает, что безопасность, это не комфортно и совсем не круто.
>Сервера в Лихтенштейне (и скорее всего остались еще где-то) могли выглядеть очень неплохим вариантом с точки зрения их юрисдикции
Нет. Это как деньги на карточке - они не твои, а банка, и ты ими пользуешься, пока банк разрешает это делать.
>Это не так просто сделать как кажется.
Конечно. Подпольная деятельность, она вообще не простая, опасная, геморройная и неблагодарная в большинстве случаев.
>вызывает Truecrypt до версии 7.1a включительно....
Пожалуй да. Но я витиевато (неполно) задал вопрос. ТруКрипт, это все-таки для больших объемов (какой смысл громоздить крошечные контейнеры). А для шифрования файлов? GNUPG вроде бы хорошая весч, но кто его знает, что они там уже наловчились делать. Есть куча инструментов в сети, в т.ч. с открытым кодом, симметричного шифрования, но про их уязвимости информации нет. А инструменты удобные. Т.е. надо иметь такой инструмент, и листок с записью стойкого пароля (ну или менеджер паролей на отдельном устройстве).
Совершенно не сложно помимо использования какого-либо стандартного протокола а-ля GNUPG сверху пройтись каким-то вторым алгоритмом из состава mcrypt, например. Что сложность дешифровки просто умножит на много порядков.
Если есть квантовый компутер + бэкдоры, то совсем не очевидно, на сколько умножится и умножится ли!
Есть куча инструментов в сети с каскадным шифрованием и даже с открытым кодом. Но про их стойкость и уязвимость ничего неизвестно. Например человек шарящий в программировании (ЕСЛИ У НЕГО КУЧА ВРЕМЕНИ) может взять исходный код, и что-то там проверить, провести аудит. Но подавляющему большинству пользователей это недоступно. Они не айтишники, а если и айтишники, то нет у них этого самого времени. Вот такая простая "загогулина понимаш" портит всю, казалось бы красивую схему.
Вот взять тотже TrueCrypt и его форки. И аудиты проводились того и другого. Насколько им можно доверять, если угроза рогатый муж любовницы и если угроза - потеря свободы, здоровья. или жизни (своей и/или близких)??? Тото же!
Самое главное во всей этой истории относительно условного "подпольщика", он точно должен осознавать, что его угроза, государство, обладает всеми современными возможностями, но сами эти возможности подпольщику неизвестны. В отличие от человека служивого, например храброго развеччччика, которому дал начальник условный ГОСТ, и тот его использует, и не парится, т.к. надежность - не его зона ответственности, а риск доверия начальнику заложен априори при поступлении на службу. Т.е. если тебя командование кинет на произвол судьбы, то ты знал, на что шел.
Поэтому нельзя в особо-важных делах полагаться на всю эту электронную поебень, если есть хоть какая-то альтернатива, пусть крайне несовременная и неудобная, но более надежная.
> Вот взять тотже TrueCrypt и его форки. И аудиты проводились того и другого. Насколько им можно доверять, если угроза рогатый муж любовницы и если угроза - потеря свободы, здоровья. или жизни (своей и/или близких)??? Тото же!
Остальным еще менее можно доверять. Не битлокеру же в самом деле - это даже не смешно. В случае TC хотя бы есть некоторые слабые основания полагать, что в нем нет явных дырок. Наоборот, во всех коммерческих или встроенных в коммерческие, продуктах на рынке, бекдоры можно сказать почти что обязаны быть.
"есть некоторые слабые основания полагать" = ненадежен! Только так и не иначе. Учитывая сомнительную историю появления этого продукта и еще более странную историю прекращения его поддержки и развития. Если обратить внимание на слухи, что разработчик - П. Леру, а также на другие слухи, что П. Леру начал сотрудничать, только никто толком не знает, когда именно, то доверять продукту при высшей модели угрозы, назовем ее так - нельзя.
>во всех коммерческих или встроенных в коммерческие, продуктах на рынке, бекдоры можно сказать почти что обязаны быть.
Верно. А в некоммерческих не обязаны? Если да, то почему? Л - логика.
Вот просто как пример. Содержит две опции, фри- и про-, опенсорс, все дела. Как может полный АЙТИ-лох, но тем не менее очень нуждающийся в сокрытии информации проверить, можно доверять этой штуковине, или нет? Никак. И таких интсрументов - куча мала.
> "есть некоторые слабые основания полагать" = ненадежен!
Основания: OpenSource; проводился аудит; за много лет нет достоверных сведений о взломе и даже наоборот есть "истории успеха", когда не смогли
С твоим подходом только собственноручно написанная реализация шифра замены с истинно рандомным ключом на всю длину сообщения надежна (и практически неудобен до невозможности). Если багов не наделаешь.
Насколько я знаю, в практической криптографии сейчас нет математически полностью доказанно-надежных алгоритмов шифрования, есть те против которых не нашли атак, радикально снижающих криптостойкость и никакой гарантии, что в недрах АНБ или ФСБ не имеется пресловутых секретных математических теорем.
> Если обратить внимание на слухи, что разработчик - П. Леру, а также на другие слухи, что П. Леру начал сотрудничать, только никто толком не знает,
Когда за задницу его взяли, тогда и стал. Примерно совпало с прекращением разработки. Не вижу тут чего-то сомнительного. Но я думаю, что вряд ли П.Леру был разработчиком поздних версий, может быть вначале, затем, скорее всего только финансировал разработчиков, если вообще имел хоть какое-то отношение.
> Верно. А в некоммерческих не обязаны? Если да, то почему? Л - логика.
Разная степень обязательности, если так выразиться.
> Вот просто как пример. Содержит две опции, фри- и про-, опенсорс, все дела. Как может полный АЙТИ-лох, но тем не менее очень нуждающийся в сокрытии информации проверить, можно доверять этой штуковине, или нет? Никак. И таких интсрументов - куча мала.
Слишком пафосный сайт. Отпугивает. И таки коммерческий. Где там OpenSource сходу не увидел. Я бы советовал ориентироваться на чисто открытые решения с многолетней историей и репутацией. Например, gnupg, openssl (в части шифрования), тот же truecrypt, dm-crypt в никсах
>с истинно рандомным ключом на всю длину сообщения
Ты еще забыл сказать, что используемым только один раз, ага.
>нет математически полностью доказанно-надежных алгоритмов шифрования
Есть. ОТР. Но засада то не в алгоритмах. А их реализации на устройствах, о природе, начинке и возможности которых не знает не только условный "Абу Ахмед" с горного аула и умением считать до ста, но также и продвинутый айтишник. Не знает он, что ему всучили не только на аппаратном, но даже и на программном уровне. Не контролирует он устройство. В любой момент туда могут загрузить бога знает что, и активировать какие-то функции, о которых продвинутый кулхацкер и не подозревает. А если и подозревает, то не может проверить. А это значит, что доверять устройству нельзя. Нельзя за исключением тех случаев, когда это делается по приказу командования начальства (да и то не всегда)! Это очень конечно неприятно такое осознавать в век таких интересных игрушек, но тем не менее это так.
>Когда за задницу его взяли, тогда и стал.
С этим трудно спорить. Но вот беда, никто толком не знает, когда сие произошло. Все, что известно, это эссе про этого типа, которое очень увлекательно читается, но ни коим образом не может рассматриваться как достоверный источник. Только как деза. Полная или частичная (что одно и тоже вобщем то).
>Не вижу тут чего-то сомнительного.
Ну и отлично! На это и весь расчет. Ты забыл упомянуть, что в конце эти ребята посоветовали использовать битлокер вместо скомпрометированного ТруКрипта. Или это уже не те ребята? А если не те, то откуда мы это знаем? Сами додумываем?
>Но я думаю...
Это все очень интересно и может быть даже логично. Но это не о надежности и не о безопасности ни разу. Это о твоей картине мира.
>Разная степень обязательности, если так выразиться.
С чего бы вдруг? Потому, что опенсорсный и свободный софт может быть подвергнут аудиту и могут вскрыться дыры-черные ходы. Теоретически да. А практически посмотри, сколько доступно инструментов шифрования. А потом поищи, сколько проведено аудитов на все эти инструменты, сколько отчетов об этих аудитах. Практически ничего не найдешь. Т.е. нужно вместо одного инструмента сделать пару десятков. В большинство их которых засунуть "закладки". Все равно никто проверять серьезно не будет, так нет ни времени, ни денег, ни достаточного количества профессионалов на это все. А если даже и найдет в одном инструменте, то и пёс с ним. Большинство лохов будет использовать и париться. Если из десяти инструментов (разных, никак не связанных между собой авторов) в трех будут найдены дыры, и сообщество скажет "Фу!", то остальные семь будут использоваться и дальше, т.к. никто не будет их изучать. На радость товарищу майору. Это так элементарно просто, что аж противно. Т.е. я хочу сказать, что условное АНБ имеет абсолютное преимущество над всеми подпольщиками, которые вздумали играть на этого АНБ поле. Странно, что многие не понимают (или не хотят?) эту простую штуку.
>Где там OpenSource сходу не увидел.
Вот вот, я ровно об этом выше и написал. :)))))) Тебе лень, хотя надо пару кликов сделать всего лишь. Опенсорс ты не нашел, хотя это не сложно, но некая "пафосность" тебя спугнула. Ну вот и большинство поступит также, просто начнет пользоваться, а товарищ майор начнет их всех читать. На ловца и юзверь бежит!
с многолетней историей и репутацией.
Чистой воды демагогия и наведение тени на плетень. Многолетняя история и репутация есть только у частных встреч в безопасных местах, и ОТР, реализованном на бумаге и электронном или радиоканале передачи самого шифротекста. Все остальное - наебалово.
Достаточно не использовать троянизированные ОС с телеметрией и написать простенькое шифрование самостоятельно. Никакой сложности в этом нет. Само собой, гебешные "облака" и "мессенджеры" использовать не нужно.
Точно, использовать юникс-систему, выучить программирование, и сделаться шифропанком. А потом в 100% случаев все равно попасться на этом шифропанковском поделии, потратив кучу времени и энергии непонятно на что, и не понятно, зачем!!! Классный совет.
Ни один серьезный человек так не поступает. Он будет проводить личные встречи, говорить на птичьем языке, использовать ОТР на крайний случай. Ну или использовать то, что ему выдаст начальник (т.к. деваться ему некуда кроме как начальнику доверять). Но вот эта последняя опция - "Доверять Начальнику" (тм) с надежностью вообще ничего общего не имеет.
В юникс-системах и шифровании нет ничего сложного. Простенький инструмент можно написать на пару вечеров. Главное то, что custom инструментарий осложняет анализ, так как он направлен на типовые решения. Пользоваться windows с её тотальной «телеметрией» - это дичь, именно оттуда они данные и сливают.
>В юникс-системах и шифровании нет ничего сложного.
Где-то я слышал подобное. "В арабском языке нет ничего сложного", "В биологии нет ничего сложного".... и даже один раз слышал от одного умника, что нет ничего сложного в алгебраической топологии. Ага, конечно. Так все и есть!
Речь не о сложности. Речь о том, что среднестатистический юзверь не должен все это знать и не должен все это учить. А среднестатистический подпольщик - тем более. У выше названных есть другие интересы (работа, хобби, обязанности), на которые они тратят все свои энергию и время. Для того, чтобы пользоваться точными часами, хоть швейцарскими, хоть атомными, вообще не надо знать, как они устроены, и настраиваются.
>Главное то, что custom инструментарий осложняет анализ, так как он направлен на типовые решения.
Это только в том случае, когда подобный инструментарий навязывается гораздо более сильным противником гораздо более слабому. Как например кастом-килогер, который будет сразу или по частям загружен лэптоп всезнающему шифропанку. Со всеми вытекающими. Шифропанк не контролирует полностью свои сложные устройства! Это надо всем крипторомантикам повторять ежечасно! В отличие от блокнотика с ключевым материалом в укромно месте спрятанным. Это так просто же.
В обратную сторону это не сработает, также как и шифропанковское поделие. Если даже не удастся его сломать, что очень маловероятно, удастся сделать сделать с устройством шифропанка или на худой конец с самим шифропанком "Моссадовские Штучки" (тм). Для этого достаточно подозрительного поведения.
>Пользоваться windows с её тотальной «телеметрией»
Для Моссада нет никакой разницы, чем кто пользуется. Они взломают любой юникс также легко, если пользоваться им безграмотно. Заканчивайте уже с этой два десятилетия назад полностью протухшей линукс-пропагандой.
Во-первых, пароль можно банально подобрать, если он недостаточно стойкий. Во-вторых, его можно подсмотреть. Хотя бы банальной наружкой. Нынче популярны беспроводные клавиатуры, а ещё, говорят, стук клавиш может неплохо поддаваться акустическому анализу. Говорят, штатный кейлоггер есть даже в 10 винде - с высокой степенью уверенности получается, что Билли продался, что типично для либеральной шлюхи. Держать потенциальный компромат в облаке - по-своему разумно, и даже удобно, главное - достаточный уровень анонимности. Вот только безопасность данных в облаке - под вопросом. Не увижу ничего удивительного в том, если типичный гипервизор имеет функцию пошариться по памяти виртуалок - вот и ещё один источник утечек. А бывали и срывы покровов на тему уязвимости физических портов к этому делу.
Не, мы по умолчанию принимаем, что пароль стойкий,, чел накрывается одеялом при вводе паролдя и использует виртуальную клавиатуру. Анализ пароля по звуку клавиш, это выглядит стройно для научной работы и последующей публикации, но на практике, думается мне, все не так ажурно. По-моему (возможно ошибаюсь, т.к. не айтишник), ему проще засунуть удаленно килогер прямо на устройство, да такой, который ни один антивирь не видит.
>что типично для либеральной шлюхи
Для человека вообще. Вас опять несет. 9 из десяти продадутся независимо от их политических убеждений. Либо за плюшки, либо за плюшки + отсутствие боли. Физической и душевной. Все люди.
>Держать потенциальный компромат в облаке - по-своему разумно, и даже удобно, главное - достаточный уровень анонимности. Вот только безопасность данных в облаке - под вопросом.
Ну полностью противоречащие друг другу тезы жеж!
>Не увижу ничего удивительного в том, если типичный гипервизор имеет функцию пошариться по памяти виртуалок - вот и ещё один источник утечек. А бывали и срывы покровов на тему уязвимости физических портов к этому делу.
Согласен. Согласен с тем, что при оценке модели угрозы надо наделять противника максимальными возможностями. В пределах разумного, т.к. ненавидящий тебя сосед, это с большой вероятностью не полный инструментарий ФСБ (даже если сосед - сотрудник). Но все же у "Правильного Подпольщика" (тм) должна быть правильная методичка, как с наибольшей вероятностью не скопрометировать себя.
Если работа шла полностью в облаке, то шифрование, скорее всего, тоже производилось в облаке. Файл хранился в зашифрованном виде, но на время работы с ним расшифровывался, этот расшифрованный файл и перехватили.
А ещё бывает так, что дешифровкой в быту называют декодирование. Просто мог лежать в открытом виде какой-то файл непонятного формата, и этот формат разгадали.
9 из десяти продадутся независимо от их политических убеждений. Либо за плюшки, либо за плюшки + отсутствие боли. Физической и душевной.
Шлюха на то и шлюха, что не испытывает какого-либо душевного дискомфорта, когда ею пользуются, да и физический дискомфорт с опытом притупляется. Нормальный человек дискомфорт испытывать будет, и потому за свои права и свою собственность попытается так или иначе побороться. Не станет покорно раздвигать ноги сразу без боя, лишь бы не париться.
Ну полностью противоречащие друг другу тезы жеж!
Ценность информации - это одно, анонимность - это другое. Идея спрятать информацию в облаке - не хуже идеи спрятать рыбу в море. Надо заморочиться, чтобы обыскать всё облако. Выследить и поймать за руку можно как в облаке, так и в реале. Сразу и не скажешь, что хуже. Главное, чтобы в случае утечки из облака инфа не давала зацепок на реал.
Ага. Тем более примечательно, что этот тип - этнический еврей и вроде бы должен быть сообразительным. Зато у него супружница такая креативная. Если серьезно, ребята пожили в свое удовольствие, с едой и коксом, который и парализовал им мозги.
>january 31, 2022, law enforcement gained access to Wallet 1CGA4s by decrypting a file saved to LICHTENSTEIN’s cloud storage account....
Я сейчас буду нубские вопросы задавать, не пуляйте сразу какашкими... Как они файл расшифровали в облаке? Он пользовался штатным облачным шифровальщиком штоле?
>In 2021, agents obtained a copy of the contents of the cloud storage account pursuant to a search warrant. Upon reviewing the contents of the account, agents confirmed that the account was used by LICHTENSTEIN. However, a significant portion of the files were encrypted (метод не указан -- sporaw).
Тут опять же вопросы. Если это не штатный шифровальщик облака, то чем он пользовался? Это, понятно, не расскажут. Может у них там квантовый компутер имеется, и они научились нессиметричное шифрование колоть, как фундук?
Если человек знаимется не котиками, а криптовалютой, нафига все хранить в облаке? Надо как-то на отдельных носителях наверное, которые физически храняться "Не Там, Где Ты Живешь", и местнахождение которых никто не знает.
Третий вопрос немного не по теме. А именно, какие средства подходят для криптования данных при хранении в облаке? Нессиметричную криптографию не предлагать (будем считать, что АНБ имеет квантовый компутер). Т.е. интересуют инструменты, в которых известно, что нет бэкдоров.
Reply
Ну-ну сообразительный. Или высшая раса и истинный ариец б-гоизбранный?
> Как они файл расшифровали в облаке? Он пользовался штатным облачным шифровальщиком штоле?
Если читать буквально, то следует, что облачное хранилище в ответ на запрос выдало файл. Который потом расшифровали. Как именно и что там за шифр был старательно умалчивается. Пока что можно предположить что угодно - от секретного квантового компа АНБ, уязвимостей шифра и до банального перехвата пароля разнообразными техническими средствами. В последнем случае официальная выдача доступа в аккаунт им понадобилась только для юридической чистоты.
> Надо как-то на отдельных носителях наверное, которые физически храняться "Не Там, Где Ты Живешь", и местнахождение которых никто не знает.
Сервера в Лихтенштейне (и скорее всего остались еще где-то) могли выглядеть очень неплохим вариантом с точки зрения их юрисдикции и отсутствия необходимости на месте где-то заныкивать отдельные носители. Это не так просто сделать как кажется.
> Т.е. интересуют инструменты, в которых известно, что нет бэкдоров.
Таких нет в принципе. Из того, что есть, меньше всего подозрений вызывает Truecrypt до версии 7.1a включительно. Но его еще надо сейчас найти где скачать аутентичный, так как были случаи, когда например с русскоязычного truecrypt.ru для определенных IP (и только для них) выдавался троянизированный вариант с отсылкой пароля "кому надо". Эту штуку вскрыло Eset, были в свое время где-то в 2012-2013-м публикации.
Reply
Ну смотря с какой точки зрения смотреть. Если с точки зрения иудаизма, то таки да. Иначе быть никак не могёт. Гоев создатель сделал человекоподобными для комфортного управления ими.
>...банального перехвата пароля разнообразными техническими средствами. В последнем случае официальная выдача доступа в аккаунт им понадобилась только для юридической чистоты.
Как-то так мне и думалось. Заранее поставили ему килогер, и вели его потом. Еще раз подчеркивает, что безопасность, это не комфортно и совсем не круто.
>Сервера в Лихтенштейне (и скорее всего остались еще где-то) могли выглядеть очень неплохим вариантом с точки зрения их юрисдикции
Нет. Это как деньги на карточке - они не твои, а банка, и ты ими пользуешься, пока банк разрешает это делать.
>Это не так просто сделать как кажется.
Конечно. Подпольная деятельность, она вообще не простая, опасная, геморройная и неблагодарная в большинстве случаев.
>вызывает Truecrypt до версии 7.1a включительно....
Пожалуй да. Но я витиевато (неполно) задал вопрос. ТруКрипт, это все-таки для больших объемов (какой смысл громоздить крошечные контейнеры). А для шифрования файлов? GNUPG вроде бы хорошая весч, но кто его знает, что они там уже наловчились делать. Есть куча инструментов в сети, в т.ч. с открытым кодом, симметричного шифрования, но про их уязвимости информации нет. А инструменты удобные. Т.е. надо иметь такой инструмент, и листок с записью стойкого пароля (ну или менеджер паролей на отдельном устройстве).
Reply
Reply
Есть куча инструментов в сети с каскадным шифрованием и даже с открытым кодом. Но про их стойкость и уязвимость ничего неизвестно. Например человек шарящий в программировании (ЕСЛИ У НЕГО КУЧА ВРЕМЕНИ) может взять исходный код, и что-то там проверить, провести аудит. Но подавляющему большинству пользователей это недоступно. Они не айтишники, а если и айтишники, то нет у них этого самого времени. Вот такая простая "загогулина понимаш" портит всю, казалось бы красивую схему.
Вот взять тотже TrueCrypt и его форки. И аудиты проводились того и другого. Насколько им можно доверять, если угроза рогатый муж любовницы и если угроза - потеря свободы, здоровья. или жизни (своей и/или близких)??? Тото же!
Самое главное во всей этой истории относительно условного "подпольщика", он точно должен осознавать, что его угроза, государство, обладает всеми современными возможностями, но сами эти возможности подпольщику неизвестны. В отличие от человека служивого, например храброго развеччччика, которому дал начальник условный ГОСТ, и тот его использует, и не парится, т.к. надежность - не его зона ответственности, а риск доверия начальнику заложен априори при поступлении на службу. Т.е. если тебя командование кинет на произвол судьбы, то ты знал, на что шел.
Поэтому нельзя в особо-важных делах полагаться на всю эту электронную поебень, если есть хоть какая-то альтернатива, пусть крайне несовременная и неудобная, но более надежная.
Reply
Остальным еще менее можно доверять. Не битлокеру же в самом деле - это даже не смешно. В случае TC хотя бы есть некоторые слабые основания полагать, что в нем нет явных дырок. Наоборот, во всех коммерческих или встроенных в коммерческие, продуктах на рынке, бекдоры можно сказать почти что обязаны быть.
Reply
>во всех коммерческих или встроенных в коммерческие, продуктах на рынке, бекдоры можно сказать почти что обязаны быть.
Верно. А в некоммерческих не обязаны? Если да, то почему? Л - логика.
Вот просто как пример. Содержит две опции, фри- и про-, опенсорс, все дела. Как может полный АЙТИ-лох, но тем не менее очень нуждающийся в сокрытии информации проверить, можно доверять этой штуковине, или нет? Никак. И таких интсрументов - куча мала.
Reply
Основания: OpenSource; проводился аудит; за много лет нет достоверных сведений о взломе и даже наоборот есть "истории успеха", когда не смогли
С твоим подходом только собственноручно написанная реализация шифра замены с истинно рандомным ключом на всю длину сообщения надежна (и практически неудобен до невозможности). Если багов не наделаешь.
Насколько я знаю, в практической криптографии сейчас нет математически полностью доказанно-надежных алгоритмов шифрования, есть те против которых не нашли атак, радикально снижающих криптостойкость и никакой гарантии, что в недрах АНБ или ФСБ не имеется пресловутых секретных математических теорем.
> Если обратить внимание на слухи, что разработчик - П. Леру, а также на другие слухи, что П. Леру начал сотрудничать, только никто толком не знает,
Когда за задницу его взяли, тогда и стал. Примерно совпало с прекращением разработки. Не вижу тут чего-то сомнительного. Но я думаю, что вряд ли П.Леру был разработчиком поздних версий, может быть вначале, затем, скорее всего только финансировал разработчиков, если вообще имел хоть какое-то отношение.
> Верно. А в некоммерческих не обязаны? Если да, то почему? Л - логика.
Разная степень обязательности, если так выразиться.
> Вот просто как пример. Содержит две опции, фри- и про-, опенсорс, все дела. Как может полный АЙТИ-лох, но тем не менее очень нуждающийся в сокрытии информации проверить, можно доверять этой штуковине, или нет? Никак. И таких интсрументов - куча мала.
Слишком пафосный сайт. Отпугивает. И таки коммерческий. Где там OpenSource сходу не увидел. Я бы советовал ориентироваться на чисто открытые решения с многолетней историей и репутацией. Например, gnupg, openssl (в части шифрования), тот же truecrypt, dm-crypt в никсах
Reply
Не с моим подходом. С разумным подходом.
>собственноручно написанная
Шифропанк не может являться гарантией надежности.
>с истинно рандомным ключом на всю длину сообщения
Ты еще забыл сказать, что используемым только один раз, ага.
>нет математически полностью доказанно-надежных алгоритмов шифрования
Есть. ОТР. Но засада то не в алгоритмах. А их реализации на устройствах, о природе, начинке и возможности которых не знает не только условный "Абу Ахмед" с горного аула и умением считать до ста, но также и продвинутый айтишник. Не знает он, что ему всучили не только на аппаратном, но даже и на программном уровне. Не контролирует он устройство. В любой момент туда могут загрузить бога знает что, и активировать какие-то функции, о которых продвинутый кулхацкер и не подозревает. А если и подозревает, то не может проверить. А это значит, что доверять устройству нельзя. Нельзя за исключением тех случаев, когда это делается по приказу командования начальства (да и то не всегда)! Это очень конечно неприятно такое осознавать в век таких интересных игрушек, но тем не менее это так.
>Когда за задницу его взяли, тогда и стал.
С этим трудно спорить. Но вот беда, никто толком не знает, когда сие произошло. Все, что известно, это эссе про этого типа, которое очень увлекательно читается, но ни коим образом не может рассматриваться как достоверный источник. Только как деза. Полная или частичная (что одно и тоже вобщем то).
>Не вижу тут чего-то сомнительного.
Ну и отлично! На это и весь расчет. Ты забыл упомянуть, что в конце эти ребята посоветовали использовать битлокер вместо скомпрометированного ТруКрипта. Или это уже не те ребята? А если не те, то откуда мы это знаем? Сами додумываем?
>Но я думаю...
Это все очень интересно и может быть даже логично. Но это не о надежности и не о безопасности ни разу. Это о твоей картине мира.
>Разная степень обязательности, если так выразиться.
С чего бы вдруг? Потому, что опенсорсный и свободный софт может быть подвергнут аудиту и могут вскрыться дыры-черные ходы. Теоретически да. А практически посмотри, сколько доступно инструментов шифрования. А потом поищи, сколько проведено аудитов на все эти инструменты, сколько отчетов об этих аудитах. Практически ничего не найдешь. Т.е. нужно вместо одного инструмента сделать пару десятков. В большинство их которых засунуть "закладки". Все равно никто проверять серьезно не будет, так нет ни времени, ни денег, ни достаточного количества профессионалов на это все. А если даже и найдет в одном инструменте, то и пёс с ним. Большинство лохов будет использовать и париться. Если из десяти инструментов (разных, никак не связанных между собой авторов) в трех будут найдены дыры, и сообщество скажет "Фу!", то остальные семь будут использоваться и дальше, т.к. никто не будет их изучать. На радость товарищу майору. Это так элементарно просто, что аж противно. Т.е. я хочу сказать, что условное АНБ имеет абсолютное преимущество над всеми подпольщиками, которые вздумали играть на этого АНБ поле. Странно, что многие не понимают (или не хотят?) эту простую штуку.
>Где там OpenSource сходу не увидел.
Вот вот, я ровно об этом выше и написал. :)))))) Тебе лень, хотя надо пару кликов сделать всего лишь. Опенсорс ты не нашел, хотя это не сложно, но некая "пафосность" тебя спугнула. Ну вот и большинство поступит также, просто начнет пользоваться, а товарищ майор начнет их всех читать. На ловца и юзверь бежит!
с многолетней историей и репутацией.
Чистой воды демагогия и наведение тени на плетень. Многолетняя история и репутация есть только у частных встреч в безопасных местах, и ОТР, реализованном на бумаге и электронном или радиоканале передачи самого шифротекста. Все остальное - наебалово.
Reply
Reply
Ни один серьезный человек так не поступает. Он будет проводить личные встречи, говорить на птичьем языке, использовать ОТР на крайний случай. Ну или использовать то, что ему выдаст начальник (т.к. деваться ему некуда кроме как начальнику доверять). Но вот эта последняя опция - "Доверять Начальнику" (тм) с надежностью вообще ничего общего не имеет.
Вот так то вот!
Reply
Reply
Где-то я слышал подобное. "В арабском языке нет ничего сложного", "В биологии нет ничего сложного".... и даже один раз слышал от одного умника, что нет ничего сложного в алгебраической топологии. Ага, конечно. Так все и есть!
Речь не о сложности. Речь о том, что среднестатистический юзверь не должен все это знать и не должен все это учить. А среднестатистический подпольщик - тем более. У выше названных есть другие интересы (работа, хобби, обязанности), на которые они тратят все свои энергию и время. Для того, чтобы пользоваться точными часами, хоть швейцарскими, хоть атомными, вообще не надо знать, как они устроены, и настраиваются.
>Главное то, что custom инструментарий осложняет анализ, так как он направлен на типовые решения.
Это только в том случае, когда подобный инструментарий навязывается гораздо более сильным противником гораздо более слабому. Как например кастом-килогер, который будет сразу или по частям загружен лэптоп всезнающему шифропанку. Со всеми вытекающими. Шифропанк не контролирует полностью свои сложные устройства! Это надо всем крипторомантикам повторять ежечасно! В отличие от блокнотика с ключевым материалом в укромно месте спрятанным. Это так просто же.
В обратную сторону это не сработает, также как и шифропанковское поделие. Если даже не удастся его сломать, что очень маловероятно, удастся сделать сделать с устройством шифропанка или на худой конец с самим шифропанком "Моссадовские Штучки" (тм). Для этого достаточно подозрительного поведения.
>Пользоваться windows с её тотальной «телеметрией»
Для Моссада нет никакой разницы, чем кто пользуется. Они взломают любой юникс также легко, если пользоваться им безграмотно. Заканчивайте уже с этой два десятилетия назад полностью протухшей линукс-пропагандой.
Reply
Reply
>что типично для либеральной шлюхи
Для человека вообще. Вас опять несет. 9 из десяти продадутся независимо от их политических убеждений. Либо за плюшки, либо за плюшки + отсутствие боли. Физической и душевной. Все люди.
>Держать потенциальный компромат в облаке - по-своему разумно, и даже удобно, главное - достаточный уровень анонимности. Вот только безопасность данных в облаке - под вопросом.
Ну полностью противоречащие друг другу тезы жеж!
>Не увижу ничего удивительного в том, если типичный гипервизор имеет функцию пошариться по памяти виртуалок - вот и ещё один источник утечек. А бывали и срывы покровов на тему уязвимости физических портов к этому делу.
Согласен. Согласен с тем, что при оценке модели угрозы надо наделять противника максимальными возможностями. В пределах разумного, т.к. ненавидящий тебя сосед, это с большой вероятностью не полный инструментарий ФСБ (даже если сосед - сотрудник). Но все же у "Правильного Подпольщика" (тм) должна быть правильная методичка, как с наибольшей вероятностью не скопрометировать себя.
Reply
Если работа шла полностью в облаке, то шифрование, скорее всего, тоже производилось в облаке. Файл хранился в зашифрованном виде, но на время работы с ним расшифровывался, этот расшифрованный файл и перехватили.
А ещё бывает так, что дешифровкой в быту называют декодирование. Просто мог лежать в открытом виде какой-то файл непонятного формата, и этот формат разгадали.
9 из десяти продадутся независимо от их политических убеждений. Либо за плюшки, либо за плюшки + отсутствие боли. Физической и душевной.
Шлюха на то и шлюха, что не испытывает какого-либо душевного дискомфорта, когда ею пользуются, да и физический дискомфорт с опытом притупляется. Нормальный человек дискомфорт испытывать будет, и потому за свои права и свою собственность попытается так или иначе побороться. Не станет покорно раздвигать ноги сразу без боя, лишь бы не париться.
Ну полностью противоречащие друг другу тезы жеж!
Ценность информации - это одно, анонимность - это другое. Идея спрятать информацию в облаке - не хуже идеи спрятать рыбу в море. Надо заморочиться, чтобы обыскать всё облако. Выследить и поймать за руку можно как в облаке, так и в реале. Сразу и не скажешь, что хуже. Главное, чтобы в случае утечки из облака инфа не давала зацепок на реал.
Reply
Leave a comment