Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 367
бугага
терморектальный криптоанализ ломает всё!
Каждый раз, когда речь заходит про шифрование, обязательно появляется сей пост. Сегодня рекорд — на втором месте.
Правильно, не к тем обратились termorect.narod.ru/
Не всегда нужно, чтобы жертва знала, что у неё стянули инфу. В этом случае такое метод не прокатит.
К сожалению терморектальный криптоанализ запрещён в соответствии с любой конституцией правовых стран.
А если человек реально пароль забыл?)
В совке да. Америка в отличии от совка страна где законы соблюдаются и за терморектальный криптоанализ потом такой анализ устроят тем кто это делал что мало не покажется. Причем головы лететь будут вплоть до высшего руководства.
Это в том случае, если дело выплывет на достояние общественности. А оно может и не выплыть.
См. «Львы для ягнят», «Немыслимое», и пр. хорошие фильмы про Америку.
См. «Львы для ягнят», «Немыслимое», и пр. хорошие фильмы про Америку.
С вероятностью в 99.9% выплывет быстрее чем ФБР успеет начать заметать следы.
вы считаете что и для террориста надо соблюдать все нормы? и кофе приносить может?
В сша официально разрешено применять пытки к подозреваемым в терроризме
http://www.independent.co.uk/news/world/americas/cia-torture-guidelines-post-september-11-detainees-guantanamo-bay-terrorism-a7085376.html
http://www.independent.co.uk/news/world/americas/cia-torture-guidelines-post-september-11-detainees-guantanamo-bay-terrorism-a7085376.html
ага, наши менты сломали бы за час…
пиар ТруКрипта?
пиар AES 256
пиар длинных паролей
А если использовать Ключевые файлы, то они в век не смогут ничего сделать с шифром… Практика показывает, что это намного надежнее, чем даже самые длинные пароли… И ведь, вполне возможно, что этот дядька в качестве ключа использовал именно ключевые файлы, а не пароль…
В трукрипте ключевые файлы длиной всего 64 байта вроде.
сомневаюсь, что кто-нибудь использует пароли состоящие из 64 символов…
А с запоминанием и использованием проблем не будет? Конечно, если забудешь пароль это повысит криптостойкость, но и больнее будет при использовании способа с паяльником…
Я сейчас по дефолту использую 20 символов при регистрации на сайтах и 40 для ssh.
Так что использовать 64 для ТАКОГО рода информации как два пальца.
Так что использовать 64 для ТАКОГО рода информации как два пальца.
Вы реально помните все эти свои пароли, или они у вас одинаковые? Наверняка где-то храните пароли. А это ещё одна уязвимость.
20 единичек не так уж и сложно запомнить).
А вообще есть достаточно неплохие методы по генерации\запоминанию длинных крутых паролей.
А вообще есть достаточно неплохие методы по генерации\запоминанию длинных крутых паролей.
к слову, если пароль состоит просто из случайно комбинации любых доступных для ввода с клавы символов (например, D92#p5S.t'x}3qM), то запоминаются скорее не сами символы, а перемещения пальцев по клавиатуре. проверено на себе. доходило до того, что без клавиатуры было очень сложно надиктовать человеку подобный пароль, приходилось садиться за клаву, чтобы его вспомнить, а потом уже надиктовывать.
На мониторе стикер наклеен с паролем, а так нигде не хранит…
Зря заминусовали человека. С помощью мнемонических техник можно соорудить пароль и в 140 и в 200 символов. И не один на все случаи жизни, а десятки. Если это интересно сообществу могу написать об этом топик. Технику можно освоить за несколько минут.
Интересно
Напишите пожалуйста.
dktcehjlbkfcmtkjxrfdktcejyfhjckfpbvjqbktnjvcrhjvyfzptktyfz,skf
Запоминается крайне легко, а вот ошибиться при наборе достаточно просто. )
Запоминается крайне легко, а вот ошибиться при наборе достаточно просто. )
это что, стишок какой-то?
«В лесу родилась ёлочка...»)
Только на английской раскладке.
Только на английской раскладке.
Вот если вставить еще циферок в некоторые места, да каждый третий раз шифт нажимать, чтобы регистр менялся, то было бы совсем красиво.
влесуродиласьелочкавлесуонарослазимойилетомскромнаязеленаябылаЭто нифига не криптостойко.
Какой смысл в таком пароле?
О, теперь я знаю пароль у Тимати :)
e`rjvvjyfuffuf
e`rjvvjyfuffuf
Математика штука коварная -)
в моём пароле 63 символа. С учётом того, что злоумышленник знает, что я использую русский на английской расскладке у него всё равно остаётся 33 символа свободы.
То есть количество вариантов: 33^63.
А теперь стандартный набор параноика: алфавит (26) + цифры(10) + верхний регистр (26) + спец символы(20) — 82 символа.
Итого, решаем уравнение x^82 > 33^63. => x > 14,63.
То есть пароль эквивалентен 15ти символам расширенного алфавита.
При этом он легко запоминаем, в отличие от «z4;$DrdS/gh4Q2]»
в моём пароле 63 символа. С учётом того, что злоумышленник знает, что я использую русский на английской расскладке у него всё равно остаётся 33 символа свободы.
То есть количество вариантов: 33^63.
А теперь стандартный набор параноика: алфавит (26) + цифры(10) + верхний регистр (26) + спец символы(20) — 82 символа.
Итого, решаем уравнение x^82 > 33^63. => x > 14,63.
То есть пароль эквивалентен 15ти символам расширенного алфавита.
При этом он легко запоминаем, в отличие от «z4;$DrdS/gh4Q2]»
напишите!
Достаточно помнить мастер пароль.
А, теоретически, уязвимо все что работает.
А, теоретически, уязвимо все что работает.
20 символов на обычные сайты?! Зачем? Ну, взломают ваш аккаунт на клавагонках или каком нибудь форуме. Дальше что? Новый создадите и всё. Я понимаю почта там, базы данных, хранилища файлов… но обычные сайты…
Я думаю, вы и так знаете, но всё же: если захотят где либо взломать конкретно ваш аккаунт, будь у вас хоть 100 символов в пароле, его взломают.
Я думаю, вы и так знаете, но всё же: если захотят где либо взломать конкретно ваш аккаунт, будь у вас хоть 100 символов в пароле, его взломают.
А топик намекает на другой исход.
вроде как тут про шифрование топик, а не про взлом аккаунтов
Разве не понятно, что «ФБР не взломали дисочек и с улыбкой вернули его назад» бред полнейший? Одно то, что они год(!) ломали ключ брутфорсом, ну, по крайней мере, вызывает улыбку. Это всё равно что сказать «колхоз всё лето поливал морковку из леек, но так и не полил». При том, что у них налажена система орошения полей.
А смысл на сайтах такие длинные пароли иметь? Там всё равно брутфорсом особо не подберёшься, ширина канала не позволит за десять лет даже шестизначный пароль подобрать :)
Придумать фразу длинной 64 байта не очень трудно, но зато она всегда в голове, а файл мало того, что потерять можно, да и еще найти его могут «не те люди».
Точно, не подумал.
Пиар того, что ФБР не надо бояться, типа они белые и пушистые :)
Пиар прямых рук и правильных паролей.
Странно, что сдались. А как же…
трудности перевода…
в русской версии следовало вместо гаечного ключа изобразить паяльник
в русской версии следовало вместо гаечного ключа изобразить паяльник
Достаточно натфиля, когда он сточит половину зуба 99% людей скажут всё что угодно. До десны выдержит 0.01% населения земли, и то это будут люди которые не чувствуют боли вообще.
ждите предложение от фбр :)
Частично было проверено на мне но не натфилем, в детстве оказался не восприимчев к советскому обезбаливающему. Приём дознания очень старый, применялся разведкой и фронтовыми дознатчиками, как самый быстрый и верный способ получить информацию. И человек в товарном виде, и не умрёт от отбитых органов. И скорость получения инфы очень быстрая.
Что делать тем, кто вообще не пользуется никакой анестезией у стоматолога? Мне всегда «по-живому» сверлят. В том числе и передние зубы. Противно и очень громко, но совсем не больно. Я разведчик?
Нет, просто у вас нервные узлы глубже к корням расположены. Когда будут пульпит лечить и нервы дёргать без анестезии, вот тогда опишите ощущения.
ой, ну не каркайте вы так
Ну про нервы я и не спорю :) И естественно буду просить анестезии и много :)
Могу описать свои, было это правда лет 5-6 назад: в два или три приёма (дня), непроизвольные слёзы градом и произвольные стоны, боль просто адская. С тех пор без анестезии в кресло стоматолога не сажусь.
Я, конечно, не спец в этом вопросе, но ежели сточить половину зуба, то напильник доберется до пульпы, наполненной сосудами и нервами, а это уже будет адская боль. Только я не уверен, что этот метод действительно мог быть широко распространен по той причине, что зубы находятся во рту и нужны какие-то приспособления для открытия рта.
Вроде как способ «иголки под ногти» проще и эффективней.
Вроде как способ «иголки под ногти» проще и эффективней.
Буквально пару недель назад имел удовольствие. Тётенька врач долго и настойчиво уговаривала применить анестезию. Забавно было смотреть, как она сверлит и сама морщиться :) На самом деле это действительно не так больно, нужно только как-то отвлечься. Большинство людей боится не самой боли а этого противного звука и чувства горячего зуба. Да, когда разговор идёт о нервах, то там уже всё серьёзно — получишь болевой шок и всё. А пульпа — это сказочно противно, как иголкой в десну тыкать и ковырять, но не так страшно, как кажется :)
Руку резать без анестезии намного больнее ;)
Руку резать без анестезии намного больнее ;)
Не знаю, что у вас за пульпа, но мне даже с троекратной анестезией депульпирование зуба было жутко болезненной процедурой. Даже не представляю, как это без анестезии делать можно )
В чем сакральный смысл отказываться от анестезии? Сам всегда требую второй укол, т.к. первый не до конца замораживает.
Я Вам по чёрному завидую — послезавтра к стоматологу идти. Я ещё не в кресле, но уже готов выдать врачу пароли. Правда он не поймёт той брани, которую я буду нести в кресле.
Кстати, тренируемый навык. По крайней мере я знаю одного человека, который перестал чувствовать боль, без каких-либо травм.
Лично я в такую историю не поверю. Боль — это слишком фундаментальный и необходимый для выживания механизм, чтобы его каким-то образом можно было бы прекратить чувствовать.
Я вас не собирался убеждать. Более того, я не знаю каким именно образом человек этого достиг. Но факт я наблюдал сам — горячая сковорода удерживаемая в руках без напряжения в лице (более странно отсутствие даже намека на ожог), я смог лишь на мгновение коснуться той сковороды. Порез ножом человека тоже совершенно не напрягает. Много чего еще, но есть один плохой побочный эффект — нужно самостоятельно контролировать себя, чтобы не испортить организм из-за безразличия к боли (последнее со слов того человека).
Размер зрачков у испытуемого менялся?
Дело в том, что организм может привыкнуть к внешней боли, но к боли при повреждении внутренних органов организм не привыкает — это веками выработанный механизм выживания. Поэтому йоги там натренированно ходят по углям и т.д., спецназ себя зашивает на живую и т.д. С другой стороны сотрясение печени (прямой удар в неё) сваливает любого человека от болевого шока. Т.к. организм без печени жить не может. Также и пульпы зубов — организм считает это внутренним органом. К зубной боли не привыкнуть, и не выдержать. Поэтому люди даже зубилами зубы себе гнилые выбивали, лишь бы не ощущать эту постоянную боль.
У Вашего знакомого, скорее всего, какое-то расстройство нервной системы. Болевые импульсы, видимо, не доходят до болевых центров. Или болевые центры из не так обрабатывают. Возможно, травмы этих центров. Или генетическое.
Вот, например, об этом:
www.chrab.chel.su/archive-zdorov/12-01-05/4/A382713.DOC.html
www.worldlingo.com/ma/enwiki/ru/Congenital_insensitivity_to_pain_with_anhidrosis
Вот, например, об этом:
www.chrab.chel.su/archive-zdorov/12-01-05/4/A382713.DOC.html
www.worldlingo.com/ma/enwiki/ru/Congenital_insensitivity_to_pain_with_anhidrosis
Ненавижу ощущение при пилении натфилем/наждачкой… Я бы сам все пароли выдал в процессе пиления зуба кому либо)))
:) я ожидал, что про терморектальный криптоанализ вспомнят в первой тройке комментариев.
Куда же без него, родимого: termorect.narod.ru/ =))
Вот оно соблюдение прав человека!
Правильно озаглавить новость — «ФБР отказалась от использования паяльника».
Правильно озаглавить новость — «ФБР отказалась от использования паяльника».
При демократии обычно более акуратно действуют — ложат полотенце на лицо и поливают водичкой, пока человек не начинает захлебываться, задыхаться и тонуть, испытывая смертельный страх.
скорее наоборот, плюнули на высокие технологии и вернулись к проверенным методам
Если ключевой файл жержать на флешке и разгрызть её в случае опасности — не поможет.
там еще было: на самом деле, за 5$ ключ надо еще поискать… :) обожаю этот комикс.
а как же черные ходы? или нас где-то обманывают?
в этом-то и смысл открытых протоколов/методов. Черные ходы могут быть в закрытых технологиях, в открытых же их непросто разместить, да и смысла немного.
Да-да, рассказывайте…
месье параноик? месье может скомпилировать код трукрипта на бумажке для пущей надежности.
Причём здесь паранойа? Открытость/закрытость исходников никак не влияет на наличие зловредного кода внутри.
могу предложить вам не компилировать «зловредный» код.
И как я могу узнать где он есть этот зловредный код?
вы можете его прочитать, например. а если не можете, то вам рано писать подобные комментарии.
Забавный вы человечек (: Я вот работаю над Webkit для Android. И знаете что? Я в нём вообще ничего не знаю, кроме той части над которой тружусь. А это менее 1% от общей массы кода. Вы бы перед тем как писать глупости, сами попробовали хоть что-то полезное для общества сделать. Изученность открытого кода — это миф. И за последние годы слишком много было случаев внезапного нахождения зловредного кода в различных open source проектах.
Вообще то, кода могут быть сотни тысяч строк. Вы сейчас предлагаете все их просмотреть и оценить вклад каждой из них в безопасность? Это то же самое, что сказать: "- ну странно, у Microsoft есть же исходники — че они все баги то не пофиксят сразу".
Лучше б они отдали бразильца в Московское ГУВД, диск быстро бы расшифровался
99%, что вторая была DiskCryptor и это не реклама отечественного open source аналога с кучей функционала и адекватным maintainer'ом :) на самом деле.
откуда 99%?
DiskCryptor — это единственное свободное решение, позволяющее шифровать все дисковые разделы, включая системный
да он врун!
а что еще есть? Не холивара ради, а хотелось бы просто знать
хехе) отличный тест))
теперь народ повально начнет шифровать все трускриптом))
теперь народ повально начнет шифровать все трускриптом))
кстати, а разве у них (как и почти везде) не запрещено юзать ключи длинной более 128 бит? как раз по этим причинам?
вы хотите сказать что где-то есть закон гласящий «Запрещено использовать ключи длиной более 128 бит из-за трудности взлома»? :)
Немного более завуалированно: вы имеете право использовать лишь сертифицированные средства шифрования. Сертификация под контролем ФСБ.
Если я заблуждаюсь, поправьте.
Если я заблуждаюсь, поправьте.
да, что-то такое.
практика общемировая, именно потому что спецслужбы не могут взламывать.
практика общемировая, именно потому что спецслужбы не могут взламывать.
тобишь если моя паранойя заставит меня написать свой шифратор, который будет использовать длинный ключ — то я буду вне закона? :/
Даже если короткий. Будучи частным лицом вы, вероятнее всего, не имеете право получить лицензию на разработку средств шифрования.
Да.
Но, будучи частным лицом, вы имеете полное право использовать средства шифрования даже без каких бы то ни было лицензий.
Обсуждалось же уже, и не раз.
Но, будучи частным лицом, вы имеете полное право использовать средства шифрования даже без каких бы то ни было лицензий.
Обсуждалось же уже, и не раз.
Но не в коммерческий целях :)
Не совсем. Лицензированию подлежит коммерческая деятельность, связанная с криптографией, то есть (согласно Википедии):
— распространение шифровальных (криптографических) средств
— техническое обслуживание шифровальных (криптографических) средств
— предоставление услуг в области шифрования информации
— разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
Так что свои собственные тайны, даже при ведении бизнеса, защищайте сколько угодно — но бесплатно.
— распространение шифровальных (криптографических) средств
— техническое обслуживание шифровальных (криптографических) средств
— предоставление услуг в области шифрования информации
— разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
Так что свои собственные тайны, даже при ведении бизнеса, защищайте сколько угодно — но бесплатно.
Кстати
"4. В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью запретить деятельность
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, без лицензий,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации»."
Так что, запрещено :)
"4. В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью запретить деятельность
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, без лицензий,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации»."
Так что, запрещено :)
Как так?
Смотрите, я вот консервами торгую. Моя деятельность никак не связана с перечисленными здесь пунктами, так как сфера моей деятельности — торговля. Неужели это тоже подпадает под приказ?
Смотрите, я вот консервами торгую. Моя деятельность никак не связана с перечисленными здесь пунктами, так как сфера моей деятельности — торговля. Неужели это тоже подпадает под приказ?
Н-да, по зрелому размышлению — пожалуй, подпадает.
Спасибо за наводки, ещё покопаюсь в законах, пожалуй…
Спасибо за наводки, ещё покопаюсь в законах, пожалуй…
Сразу возникает вопрос с юридическим статусом использования ssh и https. Сдаётся мне, что они также в понятие «шифровальные средства» входят.
Очень правильные вопросы задаёте, товарищ!
На самом деле запрет есть. Но нигде не написано про наказание.
Плюс есть явный запрет на эксплуатацию не сертифицированных алгоритмов в гос. конторах. Получается, что https запрещён и дважды запрещён для гос. контор.
А есть ещё закон о персональных данных, который запрещает из передачу/хранения без шифрования и контроля.
И есть масса сайтов вроде https://service.nalog.ru/debt/ (официальный сайт налоговой — такие же есть у миграционной службы, ГИБДД и т.п.) У меня всё руки чешутся запрос туда направить — пусть покажут когда https оказался сертифицированным средством шифрования.
Но тогда все теле- и интернет-банки тоже запрещены, т.к. используют https.
Более того, шифрование GSM тоже попадает под запрет (из-за чего, его по слухам полностью отключили в большинстве регионов России).
В общем это дибилизм.
На самом деле запрет есть. Но нигде не написано про наказание.
Плюс есть явный запрет на эксплуатацию не сертифицированных алгоритмов в гос. конторах. Получается, что https запрещён и дважды запрещён для гос. контор.
А есть ещё закон о персональных данных, который запрещает из передачу/хранения без шифрования и контроля.
И есть масса сайтов вроде https://service.nalog.ru/debt/ (официальный сайт налоговой — такие же есть у миграционной службы, ГИБДД и т.п.) У меня всё руки чешутся запрос туда направить — пусть покажут когда https оказался сертифицированным средством шифрования.
Но тогда все теле- и интернет-банки тоже запрещены, т.к. используют https.
Более того, шифрование GSM тоже попадает под запрет (из-за чего, его по слухам полностью отключили в большинстве регионов России).
В общем это дибилизм.
В Германии SSH запрещён. На сайте PuTTY, например, написано, что живущим в таких странах качать этот софт нельзя.
> В Германии SSH запрещён.
А можно ссылку? На сайте Putty есть ссылка сюда rechten.uvt.nl/koops/cryptolaw/, там про запрет SSH ничего не нашел.
А можно ссылку? На сайте Putty есть ссылка сюда rechten.uvt.nl/koops/cryptolaw/, там про запрет SSH ничего не нашел.
SSH попадает под законы криптографии. По ссылке дока регулярно апдейтится. Возможно сейчас законы облегчили, но несколько лет назад была большая буча на Slashdot по этому поводу — немцы просто стонали от такого издевательства. Искать ссылки лень, извините. Думается мне, что сейчас закон всё-таки упростили, ибо без SSH по телнету лазить — ну вы сами понимаете (:
Этот указ еще в 1996 году, если не ошибаюсь, был отменен. В документе, его заменившем, осталась запрещена лишь коммерческая деятельность по производству/распространению и услуги по криптографической защите информации.
С чего бы? Перерыл все доступные базы — в 2000 году он был дополнен, но нет никаких сведений об отмене. Очень даже, судя по всему, этот указ действует. Тем более, что на него ссылаются в более поздних документах (например относительно таможенных правил).
Позволю себе предоставить большую цитату, сорри за размер, но тема интересная, а цитата исчерпывающе объясняет устами специалиста данный вопрос:
Нормативно-правовые основы использования гражданской криптографии
В основе использования криптографических средств частными лицами лежат как общие гарантии экономической деятельности*(21), закрепленные в ст. 18, ч. 1 ст. 34, ч. 3 ст. 55 Конституции РФ, так и ряд положений ГК РФ (см. выше) и других нормативно-правовых актов. Имеется также некоторая судебная практика.*(22)
Практический интерес представляет проблема соотношения публичного и гражданского права в этой сфере. Практиков интересует, прежде всего, вопрос: необходимы ли специальные разрешения, лицензии и прочие формальности публично-правового характера, чтобы приобретать и использовать средства электронной цифровой подписи, либо чтобы шифровать свою коммерческую или личную тайну?
Здесь следует обратить внимание на неточность, встречающуюся в литературе. Например, А. Серго полагает, что СКЗИ для собственных нужд сегодня можно использовать якобы только на основании лицензии: «Современные программные и технические шифровальные комплексы позволяют достаточно легко и быстро осуществлять защиту сообщений, но их использование не всегда легитимно (выделено мной — Д.О.)».*(23) В обоснование своих слов А. Серго приводит следующие положения п. 4 Указа Президента РФ N 334*(24):
В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».
Такая позиция ошибочна, поскольку с момента принятия в 1998 году ФЗ «О лицензировании отдельных видов деятельности» уже не требовалось лицензий для использования СКЗИ в собственных интересах.*(25) Статьи 17 и 18 закона прекратили действие п. 4 Указа N 334 в той его части, что требовала лицензий для шифрования или подписания ЭЦП своей информации.
Более того, уже в момент принятия указа, его п.4 противоречил положениям статей 18, 34 и 55 Конституции РФ, поскольку незаконно ограничивал конституционные права физических и юридических лиц на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности.
Поэтому А.А. Фатьянов*(26) справедливо отмечает, что на текущий момент нет препятствий к свободному приобретению и использованию юридическими и физическими лицами средств для шифрования своей информации (в частности, коммерческой или личной тайны). Справедливости ради отметим, что в своей последующей работе А.А. Фатьянов высказался более осторожно: «Из совокупного рассмотрения норм указанных актов (Указа N 334 и Постановления Правительства N 691 — Д.О.) со всей очевидностью не следует, что положение о лицензировании эксплуатации СКЗИ ныне утратило силу»*(27).
На наш взгляд, эта очевидность все же присутствует. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств*(28) не устанавливает обязанности лицензирования использования СКЗИ в собственных интересах. Напротив, в подпункте г пункта 3 Положения предусмотрено, что лицензируемая деятельность по техническому обслуживанию включает в себя, в частности, работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства. Здесь же специально оговорено, что к такой лицензируемой деятельности не относятся случаи, когда она производится для обеспечения собственных нужд.
К тому же из данного Положения следует, что лицензированию подлежит деятельность по техническому обслуживанию СКЗИ, но никак не сами процессы использования полезных свойств СКЗИ (зашифрование / расшифрование; подписание ЭЦП / проверка ЭЦП).
Таким образом, можно утверждать, что сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно, и не требует получения лицензий или выполнения иных формальностей публично-правового характера.
Д.В. Огородов,
к.ю.н., член Экспертного совета
Комитета Государственной Думы РФ по безопасности
Это я понимаю. Но формально указ есть. И запрет есть. Значит есть повод взять за задницу. Когда за задницу возьмут, то можно будет долго в суде доказывать, что указ незаконен. Но. Во-первых, у нас не прецедентное право и каждый раз нужно доказывать заново (масса примеров). Во-вторых, судебная практика нынче такова, что кроме суды всех уровней кроме КС боятся признавать правительственные указы недействительными. Ну, и на конец, как показывает опыт с московской регистраций — плевать все хотели на судебные решения.
мы же говорим о законности. По закону — запрета нет, президентский указ — это подзаконный акт, он не может противоречить федеральным законам, в нашем случае, при его подписании закона еще не было, но с его появлением соответствующие пункты стали недействительны. Про конституцию я вообще молчу.
А за задницу у нас могут взять без каких либо формальностей и так. Расскажу случай из своей жизни. Ехал я как то в электричке и заснул… Просыпаюсь в Кубинке, ночью, обратных электричек уже нет, стою чешу репу че делать, подходят менты — типа документы, а у меня как назло не было. Забрали к себе. Говорят — будем штрафовать. За что спрашиваю? А теперь откройте свой паспорт на последней странице и прочтите второй абзац где написано — «Паспорт обязаны иметь все граждане РФ, достигшие 14 летнего возраста....». Так вот по мнению ментов выделенное болдом означает что я его обязан иметь при себе, а раз не имею — то штраф. Вот так вот :)
А за задницу у нас могут взять без каких либо формальностей и так. Расскажу случай из своей жизни. Ехал я как то в электричке и заснул… Просыпаюсь в Кубинке, ночью, обратных электричек уже нет, стою чешу репу че делать, подходят менты — типа документы, а у меня как назло не было. Забрали к себе. Говорят — будем штрафовать. За что спрашиваю? А теперь откройте свой паспорт на последней странице и прочтите второй абзац где написано — «Паспорт обязаны иметь все граждане РФ, достигшие 14 летнего возраста....». Так вот по мнению ментов выделенное болдом означает что я его обязан иметь при себе, а раз не имею — то штраф. Вот так вот :)
Не согласен. Этот указ не отменён. Значит формально он является поводом к началу следственных действий (да, тут за уши всё притянуто, но формально можно подвести основу). Да, вы потом докажете, что они были не правы. Он им за это ничего не будет — они указ исполняли, а вот Вы потратите кучу сил и времени.
А его и не надо отменять, это происходит автоматически, или вы думаете, что при издании любого нормативного акта в нем должны быть перечислены все им отменяемые? Учитывая, что нормативная база наследуется (в нашем случае от СССР) — это гиблое дело.
Не нагоняйте панику, все мы знаем в какой стране живем, и что за задницу могут схватить по любому поводу, но в данном, обсуждаемом случае повод будет незаконен изначально и даже до суда не дойдет, а при наличии юридической грамотности хватаемого может и сразу отвалят.
Указы, восполняющие пробелы правового регулирования в сфере исключительного регулирования федеральных законов, действуют впредь до принятия соответствующих федеральных законов (предполагается, что принятие Президентом таких указов обязывает его в порядке законодательной инициативы внести в Государственную Думу соответствующий проект закона).
Не нагоняйте панику, все мы знаем в какой стране живем, и что за задницу могут схватить по любому поводу, но в данном, обсуждаемом случае повод будет незаконен изначально и даже до суда не дойдет, а при наличии юридической грамотности хватаемого может и сразу отвалят.
Мне интересна одна вещь. Почему у граждан РФ такое репрессивное мышление и они ищут запреты там, где их на самом деле нет?
Тут сам указ незаконен. В части лицензирования деятельности физических лиц. Возможно, имелись в виду ИП (ИЧП, ПБЮЛ или как они там назывались по-разному). Лицензирование деятельности физических лиц — это полная фигня.
Там нет лицензирования. Там есть запрет.
Запрет на деятельность без лицензий, выданных ФАПСИ (которая уже тоже, вроде, почила в бозе). Вы свои собственные посты-то читаете? :)
Что касается незаконности, это означает, что практику применения этого указа можно оспорить в суде и с большой долей вероятности выиграть дело. Как и «регистрацию в Москве» :), просто в случае регистрации многим проще дать взятку :(.
Что касается незаконности, это означает, что практику применения этого указа можно оспорить в суде и с большой долей вероятности выиграть дело. Как и «регистрацию в Москве» :), просто в случае регистрации многим проще дать взятку :(.
Балин, вон вверху 334й указ — читайте. Где там лицензия? Там просто запрет. Плюс, недавно принятый закон вообще вводит обязательно лицензирование и средств шифрования и услуг. Соответственно, при сколько-либо коммерческом использовании мы автоматом попадаем под штрафы.
Оспаривать в суде можно уже находясь в КПЗ и с конфискованными компьютерами/бухгалтерскими документами. Скорее всего, согласен, удастся оспорить — но масса удовольствия уже будет получена. Учитывая, что никакой ответственности контролирующие/правоохранительные органы не понесут, и право не прецедентное, то чхать они хотели на то, что это будет оспорено в суде.
Оспаривать в суде можно уже находясь в КПЗ и с конфискованными компьютерами/бухгалтерскими документами. Скорее всего, согласен, удастся оспорить — но масса удовольствия уже будет получена. Учитывая, что никакой ответственности контролирующие/правоохранительные органы не понесут, и право не прецедентное, то чхать они хотели на то, что это будет оспорено в суде.
ЖЖоте! Перечитайте внимательно. Обратите внимание на слова «без лицензий»!!! Они там написаны не просто так.
«В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью _запретить_деятельность_
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, _без_лицензий_,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации».»
Конфискованные бухгалтерские документы у физического лица??? Вы что, с бодуна пишите??? КПЗ? По нарушению лицензии в КПЗ??? Не, вы не напились, вы явно обкурились какой-то дряни.
Кстати, будьте так любезны предъявить закон по которому физическое лицо за деятельность без лицензии (противоречит ГК и вообще бред) положено посадить в КПЗ — где норма ответственности. Ах, нет такой нормы? Тогда потрудитесь не бредить более. И внимательно читать то, что сами же цитируете.
Оспорить удастся. Это главное. Вы предпочитаете дать взятку, что ли? Или заплатить штраф? Или посидеть в «КПЗ»? Не пойму вашей позиции…
«В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью _запретить_деятельность_
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, _без_лицензий_,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации».»
Конфискованные бухгалтерские документы у физического лица??? Вы что, с бодуна пишите??? КПЗ? По нарушению лицензии в КПЗ??? Не, вы не напились, вы явно обкурились какой-то дряни.
Кстати, будьте так любезны предъявить закон по которому физическое лицо за деятельность без лицензии (противоречит ГК и вообще бред) положено посадить в КПЗ — где норма ответственности. Ах, нет такой нормы? Тогда потрудитесь не бредить более. И внимательно читать то, что сами же цитируете.
Оспорить удастся. Это главное. Вы предпочитаете дать взятку, что ли? Или заплатить штраф? Или посидеть в «КПЗ»? Не пойму вашей позиции…
Пока его не отменил КС — он законен. Т.е. на данный момент он действует.
а фигня, или не фигня — никого не волнует. Регистрация в Москве тоже не законна и что?
а фигня, или не фигня — никого не волнует. Регистрация в Москве тоже не законна и что?
Т.е. для частного собственного использование нужна лицензия? Я же не продаю, не распространяю, через границу перевозить не буду. Да и вообще, кто узнает в этом случае, что я что-то криптую до момента изъятия файла и криптора. И ведь им еще придется доказать, что эта программа криптор, а не система по записи логов системы в виде raw данных на винт.
низя!
Для частного/коммерческого использования разрешено вполне. Без лицензии нельзя лишь заниматься производством/распространением СКЗИ и оказывать услуги по защите информации. Указ, на который ссылается Sur_ru давно уже не действует.
Про статус импортированных СКЗИ вопрос конечно щеколтивый, вроде бы тот же GnuPG, будучи загруженным в виде исполняемого кода, вполне может считаться незаконно ввезенным на территорию РФ, а будучи собранным из исходников — незаконно произведенным в РФ тем, кто его собирал. В общем какой-то юридический маразм.
А в гос. структурах, понятное дело, только сертифицированные СКЗИ — паранойя для защиты гос. тайны, думаю, должна приветствоваться.
Про статус импортированных СКЗИ вопрос конечно щеколтивый, вроде бы тот же GnuPG, будучи загруженным в виде исполняемого кода, вполне может считаться незаконно ввезенным на территорию РФ, а будучи собранным из исходников — незаконно произведенным в РФ тем, кто его собирал. В общем какой-то юридический маразм.
А в гос. структурах, понятное дело, только сертифицированные СКЗИ — паранойя для защиты гос. тайны, думаю, должна приветствоваться.
Более того, никто даже не узнает — шифруете вы что-то или нет.
«Это просто файл с мусором, докажете обратное, тогда можете идти к судье, а до этого момента идите прямо на восток с улыбкой на лице».
«Это просто файл с мусором, докажете обратное, тогда можете идти к судье, а до этого момента идите прямо на восток с улыбкой на лице».
единственное что в законе не указана мера наказания за использование несертефицированных средств шифрования
Ну штраф какой-то. Данные-то всё равно не получить.
Ну, запрещено и что? Если поймают, то получите порицание штраф за использование. :)
скажите, а как «они» узнают, ключем какой длины зашифровано что-либо? :)
Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна.Вторая программа называется salt и состоит из одной строчной переменной.
Так отдали бы какому-нибудь сообществу распределенных вычислений. Пообещали бы какую-нибудь тысячу баксов (уж всяко больше за полгода работы ФБР над этими дисками потратили) и кластер из миллионов ПК уже пыхтел бы над задачкой.
На самом деле, ФБР-овцы всё расшифровали, и именно благодаря использованию стандартизированного AES. Вот и закинули утку, чтобы люди шифровали только тем, что ломается :)
Терморектальный криптоанализ еще никто не отменял :)
А брутфорсить такой шифр как минимум глупо.
А брутфорсить такой шифр как минимум глупо.
И только Даниель Дантас все эти два года знал, что пять жестких дисков, изъятые полицией, валялись уже лет пять в углу как мусор, пиная которые по утрам поднимая тем самым настроение.
А может они специально сказали что не смогли взломать 256битный aes, чтобы все ахнули и резко на него перешли? А у самих в заначках какой нить хитрый мат. метод по его взлому лежит.
И да, я параноик.
И да, я параноик.
Бред.
Или к фбр никто не обращался, или они тупо не пытались даже расшифровать.
… или же они расшифровали, но сказали одно. им то всё равно
Или к фбр никто не обращался, или они тупо не пытались даже расшифровать.
… или же они расшифровали, но сказали одно. им то всё равно
Просто там пароль был «ФБР никогда не расшифрует этот пароль».
такого в их словарях не предусмотренно
такого в их словарях не предусмотренно
И тут внезапно Шор начал заикаться.
Ага, завтра появятся в новостях выступления политиков, что нужно вообще запретить всяческие шифрования, так как это препятствует поимке преступников.
борьбе с терроризмом, вы имели ввиду? ;)
Экстремизмом.
tebedam.livejournal.com/46191.html
PS: Нужно начать уголовное преследование депутатов и прочих представителей власти за то, что они своей тупостью разжигают ненависть к себе и себе подобным.
tebedam.livejournal.com/46191.html
PS: Нужно начать уголовное преследование депутатов и прочих представителей власти за то, что они своей тупостью разжигают ненависть к себе и себе подобным.
Он использовал криптозащиту Дениса Попова.
ФСБ наверное очень расстроились…
Пароль-то qwerty =)
По-любому фбр не должны брутфорсить, либо запросы разработчику ПО, либо внутренние криптографы должны включаться, у наших такое есть (ну было точно). Большинство алгоритмов при понимании (как в Beautiful Minds) могут быть дешифрованы. Да долго, да дорого, но могут.
Банкир видать был не очень важным, проплатил им за пиар Truecrypt и уехал.
По-любому фбр не должны брутфорсить, либо запросы разработчику ПО, либо внутренние криптографы должны включаться, у наших такое есть (ну было точно). Большинство алгоритмов при понимании (как в Beautiful Minds) могут быть дешифрованы. Да долго, да дорого, но могут.
Банкир видать был не очень важным, проплатил им за пиар Truecrypt и уехал.
не, пароль на самом деле что-то вроде «Damn You Hacked My Password And It Seems You Got Bad News For Me» :)
AES — это же открытый стандарт. К тому же принятый как стандарт шифрования в штатах. Какой смысл делать запросы разработчику?
По-моему вы пересмотрели фильмов.
вам следует отправить запрос разработчику наркотиков, которые вы употребляли.
Если Вы употребляете наркотики, то не надо равнять всех к себе.
Я рассказал как это делается, и должно делаться, если Вы с этим не согласны, то это не значит, что Вы правы и это дает Вам повод меня оскорблять.
Я знаю что ТруКрипт имеет открытый код, но вот беда еще было написано — «Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна»
Этого никто из «любителей влепить минус за коммент» не увидел. Или может не захотел принимать правду, или может испугался. Про отсутствии понимания работы криптолога я вообще не говорю, про такую профессию видимо они и не слышали.
Я рассказал как это делается, и должно делаться, если Вы с этим не согласны, то это не значит, что Вы правы и это дает Вам повод меня оскорблять.
Я знаю что ТруКрипт имеет открытый код, но вот беда еще было написано — «Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна»
Этого никто из «любителей влепить минус за коммент» не увидел. Или может не захотел принимать правду, или может испугался. Про отсутствии понимания работы криптолога я вообще не говорю, про такую профессию видимо они и не слышали.
не правильно работали — вот правильная контора termorect.narod.ru
=)
=)
— Какой у тебя пароль?
— Имя кошки…
— ???
— Ну и что, старую мою кошку вот звали JUHG&^&R%TFY(*&TYG#FH)*#го894ар02нЕКо089^%^)_)(*&@#$@!HVBIB#@)I(*&GYBFN#@_UYGNK#@_(*T&Gbnknfjuyu24bin983t27guij()_*&YGUNJP()*&^%RED^RTCVFB#N@MPO9yhinf2p09-8y9uK#_@gf,.<MN#*&G(U@NJ
— Имя кошки…
— ???
— Ну и что, старую мою кошку вот звали JUHG&^&R%TFY(*&TYG#FH)*#го894ар02нЕКо089^%^)_)(*&@#$@!HVBIB#@)I(*&GYBFN#@_UYGNK#@_(*T&Gbnknfjuyu24bin983t27guij()_*&YGUNJP()*&^%RED^RTCVFB#N@MPO9yhinf2p09-8y9uK#_@gf,.<MN#*&G(U@NJ
В Англии бразильский банкир получил бы пять лет только за то, что не расшифровали :)
До двух лет в случаях, не затрагивающих нацбезопасность и до пяти лет — в случаях, затрагивающих. Скорее всего, мошенничества проходили бы по первой категории.
Всегда есть возможность посоветоваться с адвокатом, сколько дадут за данные на винчестере, и сопоставить сроки. :)
Всегда есть возможность посоветоваться с адвокатом, сколько дадут за данные на винчестере, и сопоставить сроки. :)
Подобные программы позволяют защищаться так, чтобы нельзя было доказать, что данные вообще существуют.
В данном случае, возможно, был подобный вариант — в TC сделали фиктивную систему, а в нем уже скрытый контейнер (вполне мог быть тот же TC).
В данном случае, возможно, был подобный вариант — в TC сделали фиктивную систему, а в нем уже скрытый контейнер (вполне мог быть тот же TC).
Бокс там не обязателен. В зависимости от введенного при загрузке пароля грузится та или иная система. Причем существование «иной» системы доказать невозможно. При этом полицаям можно вполне отдать пароль от первой системы.
Но с боксом тоже нормальный вариант, иногда более удобный.
Но с боксом тоже нормальный вариант, иногда более удобный.
Без надобности, уже все есть, ну или очень похоже. Почитайте статью, там даже список достоверных отмаз приводится :)
Может там AES-Twofish-Serpent ;-)
даа… это вам не bitlocker хакнуть))
Бытует мнение, что в ФСБ мегакиборги работают :)
Там такие же люди работают, что-то получается, а чтото естественно нет
Там такие же люди работают, что-то получается, а чтото естественно нет
Ну когда обойдет, то тогда можно и будет говорить «нет ни чего не взламываемого того что придумал человек». А пока это голословное утверждение :)
Хотя, конечно, за период времени, стремящийся к бесконечности оно справедливо. Но люди столько не живут, к сожалению.
почитайте про квантовую криптографию
Её, к слову, тоже «ломают». Не саму концепцию, а находят дыры в реализациях и методиках.
Может быть. Главный посыл в том, что, например, современные алгоритмы с открытым ключом не представляют сложности для квантовых компьютеров потому, что факторизация и логарифмирование в таких машинах принципиально по-другому реализованы, и я, хоть и не математик, не стал бы утверждать что в обозримом будущем ситуация с симметричными алгоритмами не изменится. Извините если где-то напутал, читал про это давно и мог ошибиться.
А, так речь о квантовом компьютере… Квантовая криптография у меня (как и у википедии) ассоциируется с квантовым распределением ключа, и вот его как раз «взламывают». А что касается квантовых компьютеров, насколько я знаю, «воз и ныне там». Идея, конечно, красивая, а как его реализовать никто понятия не имеет (поделки для размножения 15 на множители не считаются).
А вообще, квантовый компьютер — это против асимметричного шифрования, основанном на факторизации и т.п. Симметричное шифрование тут не причём, не путайте! Ему квантовый компьютер не страшен, ему страшны коварные криптоаналитики, находящие дыры для уменьшения эффективного размера ключа.
А вообще, квантовый компьютер — это против асимметричного шифрования, основанном на факторизации и т.п. Симметричное шифрование тут не причём, не путайте! Ему квантовый компьютер не страшен, ему страшны коварные криптоаналитики, находящие дыры для уменьшения эффективного размера ключа.
Я не ясно выразился. Я понимаю разницу между симметричным и асимметричным шифрованием. Я использовал асимметричное шифрование, и то во что оно превратится в эпоху квантовых компьютеров, в качестве примера того, что может произойти и с симметричным шифрованием. Да, нельзя сейчас говорить о потенциальной слабости (если и нельзя) симметричных алгоритмов, но и не стоит утверждать того, что они переживут человечество.
А, понял, Вы говорите, что как квантовый компьютер ломает асимметричную криптографию, так что-то другое может сломать симметричную. Было бы забавно :) Но у симметричной нет такой очевидной слабой точки, на которую бы она опиралась, и реализации могут быть существенно различные, чтобы вот так вот что-то взяло и всё испортило…
ну смотрите, опять же ненаучно, без учёта темпа роста производительности и сложности перебора, просто размышления вслух, но всё же… производительность систем растёт -> в будущем для надёжной защиты современным алгоритмам необходимы будут ключи длинее (потому что будет возможен брутфорс за разумное время), а это в свою очередь заставит использовать файлы-ключи, а как их защищать?
даже не так — от алгоритма это вроде как не зависит, т.е. для брутфорса есть только один параметр, количество комбинаций -> длина ключа, зависит от производительности систем. так?
Да, но количество комбинаций растёт экспоненциально с длиной ключа. А у производительности есть всякие физические ограничения. К тому же, увеличение производительности позволяет увеличивать сложность криптоалгоритмов. Так что всё не так линейно :)
Помните басню про Ходжу Насредина и осла?
В этом случае также критично время…
В этом случае также критично время…
Я тоже жду эпоху квантовых компьютеров :)
ой.
наверно все забыли о терморектальном криптоанализе
наверно все забыли о терморектальном криптоанализе
Может быть парень в целях поиздеваться просто забил диски рандомной чепухой?
Нужно было брудфорсить по бразильскому словарю, «cjhjrnsczxj,tp]zyd;jgeceyekb,fyfy» еще никто не отменял )
отличная новость
Жаль не сообщается, в каких пределах была длина пароля. Но подозреваю, что не короче 12-и символов [a-zA-Z0-9]
Может чувак решил приколоться, записал на винт мусор из /dev/random и сигнатуры TC замутил. А ФБРовцы сидят, мучатся. Правда, непонятно тогда, как бы он объянил им, что это прикол, а данные — мусор, если бы они решил применить ТР-анлиз?
вы такие смешные, сторонники «паяльника в попу». Для этого давно придуманы пароли-ловушки, при вводе которые диск с типа «важными» данными открывается, а по-настоящему важная инфа при этом теряется безвозвратно. И это есть в доступных программах.
а как же великий и ужасный квантовый дешифратор? сломался в фбр?
бесплатная Truecrypt
Ключевое слово — «бесплатная»
Ключевое слово — «бесплатная»
Понятно, почему не помог брутфорс. Задержанный — бразилец. Явно знает и испанский, и португальский, и английский, и местные сленги. А пароль написать на сленге — поди побрутфорсь его.
Молдаване, например, используют в качестве паролей молдавские слова, набранные в стиле русскоязычной раскладки.
Пусть англоязычные работники ФБР додумаются перебором до такого варианта: «v'v'kbufhektintbyrjynbyee», что пишется в виде пароля как «мэмэлигарулештеинконтинуу», а переводится вообще астральными понятиями…
Молдаване, например, используют в качестве паролей молдавские слова, набранные в стиле русскоязычной раскладки.
Пусть англоязычные работники ФБР додумаются перебором до такого варианта: «v'v'kbufhektintbyrjynbyee», что пишется в виде пароля как «мэмэлигарулештеинконтинуу», а переводится вообще астральными понятиями…
ФБР не вернуло диски, оставило у себя. NIC ждет пока не появится новая технология для подбора пароля. Просто диски отправили в США.
А где заявки на участие принимают? Я тоже хочу попробовать!
а может они таким образом выпрашивают денег на апгрейд? :)
типа мол смотрите какое у нас дерьмовое железо, не расшифровали… дайте пару сотен лямов на новое?
типа мол смотрите какое у нас дерьмовое железо, не расшифровали… дайте пару сотен лямов на новое?
лохи)
неужели все тут всерьёз думают что ФБР вот так просто расскажет миру о проколе? Очень вероятен вброс — сейчас все поголовно начнут ставить эти программки для шифрования, а ларчик на самом деле просто открывался.
Блин. Он НЕ МОГУТ НЕ РАССКАЗАТЬ. Независимая судебная система, свобода слова и т.п.
Чё? :)
«Независимая судебная система, свобода слова».
Кеннеди, наверное, тоже так думал.
Кеннеди, наверное, тоже так думал.
А что Кеннеди — он-то как раз и подтверждение :) Дык, куда уже назависимей-то? Это у нас вертикаль. А у них будь ты хоть пуп земли, или какой-нибудь урюпинский суд во Флориде та ки норовит голоса пересчитать, или свои же завалят. Независимость не означает, что все действуют за одно. Она означает, что ни у кого нет абсолютной власти.
Кеннеди был одиозной и спорной фигурой и до сих пор не ясно за что его убили.
Бизнесмен-то сам пароль помнит?
Так, меня это реально пугает. FBI пишет, что не смогла сломать. Зачем она пишет? Очевидно, чтобы все ломанулись шифровать трукриптом и AES'ом. А на самом деле там бэкдор, математическая узязвимость алгоритма (26 бит секьюрности), и ещё что-нибудь страшное.
Бойтесь FBI, признающую шифр стойким.
Бойтесь FBI, признающую шифр стойким.
патовая ситуация:
признает female body inspector`ы, что шифр дрянь — никто шифоровать не будет — потому что дрянь.
признает female body inspector`ы, что шифр норма — никто шифоровать не будет — потому что стремно, а вдруг дрянь?
признает female body inspector`ы, что шифр дрянь — никто шифоровать не будет — потому что дрянь.
признает female body inspector`ы, что шифр норма — никто шифоровать не будет — потому что стремно, а вдруг дрянь?
Дикие люди…
А как они могут не признать-то?! Демократия, блин.
Есть обвиняемый. Заведено дело. В рамках дела, ФБР изъяло предполагаемые улики. Наверняка, попросил отсрочку для анализа и расшифровки. Не получилось. Больше затягивать дело нельзя — подозреваемый, как-никак находится под следствие и ограничен в правах.
ФБР по-любому должно было отчитаться. У нас бы скорее всего сами придумали левое заключение, в надежде, что потом, когда подозреваемый его опротестует, все забудут откуда оно взялось — благо ответственность экспертов не предусмотрена. Или затягивали бы дело до бесконечности — в результате дела по пять лет длятся, а люди годами в КПЗ сидят. А у них так не получается — по башке получит тот, дело затягивал, или тот, кто липовое заключение дал. И даже терморектальный криптоанализ не применишь — не дай Боже, подозреваемые потом докажет, что на него давили — доказательства признают добытыми с нарушениями не будт принимать во внимание, а подозреваемый ещё и потерпевшие переквалифицируется.
В общем — бардак. Никаких условий для работы!
А как они могут не признать-то?! Демократия, блин.
Есть обвиняемый. Заведено дело. В рамках дела, ФБР изъяло предполагаемые улики. Наверняка, попросил отсрочку для анализа и расшифровки. Не получилось. Больше затягивать дело нельзя — подозреваемый, как-никак находится под следствие и ограничен в правах.
ФБР по-любому должно было отчитаться. У нас бы скорее всего сами придумали левое заключение, в надежде, что потом, когда подозреваемый его опротестует, все забудут откуда оно взялось — благо ответственность экспертов не предусмотрена. Или затягивали бы дело до бесконечности — в результате дела по пять лет длятся, а люди годами в КПЗ сидят. А у них так не получается — по башке получит тот, дело затягивал, или тот, кто липовое заключение дал. И даже терморектальный криптоанализ не применишь — не дай Боже, подозреваемые потом докажет, что на него давили — доказательства признают добытыми с нарушениями не будт принимать во внимание, а подозреваемый ещё и потерпевшие переквалифицируется.
В общем — бардак. Никаких условий для работы!
А мне вот не понятно в этой истории, причем здесь ФБР? Криптой у них ведь АНБ занимается.
АНБ не может «вести» дело. ФБР занимается делами попадающими под федеральную юрисдикцию, и особой важности. Короче говоря, АНБ не может выступать обвинителем. Может быть инициатором дела — послать запрос в ФБР. Может привлекаться (и наверняка так и было), как консультант. Но следствие ведёт ФБР (или полиция).
Менеджеры паролей, способные хранить символьный бред любой длины, используемый в качестве паролей, уже не в моде? Достаточно помнить один-два пароля: собственно пароль к менеджеру и пароль к возможному зашифрованному контейнеру, в котором и хранится парольный менеджер.
Божебоже, у вас есть ТАКИЕ секреты, которые требуют столь жесткого шифрования и ТАКИЕ дела, которыми заинтересуется ФБР???
Нужно ли в наше сложное время, добровольно искать терморектального анализа на свою кхм голову, например?
Мои индивидуальные частные тайны вполне себе прячутся от любопытных глаз в запароленом rar«e
Нужно ли в наше сложное время, добровольно искать терморектального анализа на свою кхм голову, например?
Мои индивидуальные частные тайны вполне себе прячутся от любопытных глаз в запароленом rar«e
Банальная детская порнография. Очень даже занимается этим ФБР. В том числе и в Россию шлёт по линии интерпола кучу запросов. В том числе и расшифрованные диски.
Причём ситуация складывается забавная. ФБР присылает информацию о педофиле. Расследование проведено. Сервера изъяты (к вопросу о серверах за границей). Всё расшифровано и проанализировано. В Россию приходит толстенное заключение и копии жёстких дисков сервера (может быть даже оригиналы — не знаю). И запрос на арест Васи Пупкина с просьбой судить в России с учётом предоставленных материалов.
А дальше цирк.
Ну, Вы понимаете уровень наших экспертов? Английским они не владеют вообще. Перевести специальный текст даже зная терминологию, но не владея вопросом — ой, как не просто. Долго нудно переводят. Перевели. Смотрит эксперт на труды по криптоанализу. На описание алгоритмов подбора ключей/подписей. И ничего не понимает. Шлют в ФАПСИ или в специализированный институт с просьбой подтвердить, что это именно так. Там оно долго ходит. Судя по заключению, никто толком ничего и не читает и не понимает — шлют отписку «святая правда».
Дальше эксперт сморить на могучие анализы логом, перехваты трафика, сравнения меток пакетом. И вообще ни черта не понимает. Хотя там банальный LAMP+SSL+простенькое шифрование логов и архивов. И всё. полный тупик. Эксперт пытается найти бинарным поиском файлы картинок на диске (!!!), понять «где лежат файлы» (а они там не лежат, они там в базе). Короче за год упорной битвы со здравым смыслом на всём готовом — результат глубоко нулевой. Скорее всего напишут какой-нибудь бред в заключении. Или вообще на тормоза спустят.
Зато одна единственная супер-пупер сертифицированная экспертная контора по преступлениям в сфере компьютерных технологий при МВД РФ (организаторы конторы — бывшие сотрудники МВД/ФСБ).
Причём ситуация складывается забавная. ФБР присылает информацию о педофиле. Расследование проведено. Сервера изъяты (к вопросу о серверах за границей). Всё расшифровано и проанализировано. В Россию приходит толстенное заключение и копии жёстких дисков сервера (может быть даже оригиналы — не знаю). И запрос на арест Васи Пупкина с просьбой судить в России с учётом предоставленных материалов.
А дальше цирк.
Ну, Вы понимаете уровень наших экспертов? Английским они не владеют вообще. Перевести специальный текст даже зная терминологию, но не владея вопросом — ой, как не просто. Долго нудно переводят. Перевели. Смотрит эксперт на труды по криптоанализу. На описание алгоритмов подбора ключей/подписей. И ничего не понимает. Шлют в ФАПСИ или в специализированный институт с просьбой подтвердить, что это именно так. Там оно долго ходит. Судя по заключению, никто толком ничего и не читает и не понимает — шлют отписку «святая правда».
Дальше эксперт сморить на могучие анализы логом, перехваты трафика, сравнения меток пакетом. И вообще ни черта не понимает. Хотя там банальный LAMP+SSL+простенькое шифрование логов и архивов. И всё. полный тупик. Эксперт пытается найти бинарным поиском файлы картинок на диске (!!!), понять «где лежат файлы» (а они там не лежат, они там в базе). Короче за год упорной битвы со здравым смыслом на всём готовом — результат глубоко нулевой. Скорее всего напишут какой-нибудь бред в заключении. Или вообще на тормоза спустят.
Зато одна единственная супер-пупер сертифицированная экспертная контора по преступлениям в сфере компьютерных технологий при МВД РФ (организаторы конторы — бывшие сотрудники МВД/ФСБ).
В это время педофил Пупкин парится в СИЗО.
На самом деле, на его диске было порно, но с участием взрослых моделей. А зашифровал он его потому, что жена ругалась.
То обстоятельство, что вполне легальное порно шифровалось стойким крипто, тем более — с использованием софта, позволяющего разместить скрытый контейнер, показалось странным агенту Джонсону, проводившему плановые оперативные мероприятия.
Возникло подозрение, что Pupkin является участником шайки педофилов, занимающихся распространением детской порнографии материалов.
Тремя годами позже, легальность эротических материалов была подтверждена экспертами ФА по делам культуры.
Пупкин был освобожден в зале суда.
На самом деле, на его диске было порно, но с участием взрослых моделей. А зашифровал он его потому, что жена ругалась.
То обстоятельство, что вполне легальное порно шифровалось стойким крипто, тем более — с использованием софта, позволяющего разместить скрытый контейнер, показалось странным агенту Джонсону, проводившему плановые оперативные мероприятия.
Возникло подозрение, что Pupkin является участником шайки педофилов, занимающихся распространением детской порнографии материалов.
Тремя годами позже, легальность эротических материалов была подтверждена экспертами ФА по делам культуры.
Пупкин был освобожден в зале суда.
Скажу по секрету — запароленый RAR в общем случае ФБР вскрывает на ура. По каким-то заранее известным сигнатурам статистическими методами. Нужно шифровать с оглавлением, делать solid-архив, класть первым большой файл с мусором, а остальные файлы в подпапку и применять очень-очень длинный пароль. Тогда может быть и не вскроют.
У меня нет тайн, которые интересны столь почтенным организациям и потому, требующих шифрования.
Или-наоборот — требующих шифрования и потому — интересных почтенным организациям.
«В Китае когда-то был человек, который любил драконов, и поэтому украсил свою одежду и мебель изображениями этих существ. Увлечение этого человека драконами привлекло внимание драконьего бога, и вот однажды перед окном китайца появился настоящий дракон. Говорят, он тут же умер от страха.»
Хагакурэ
Или-наоборот — требующих шифрования и потому — интересных почтенным организациям.
«В Китае когда-то был человек, который любил драконов, и поэтому украсил свою одежду и мебель изображениями этих существ. Увлечение этого человека драконами привлекло внимание драконьего бога, и вот однажды перед окном китайца появился настоящий дракон. Говорят, он тут же умер от страха.»
Хагакурэ
Иногда, любимая женщина страшнее ФБР :-)
Но у неё нет квантового компьютера.
Но у неё нет квантового компьютера.
Пароль! А не то заминусую!
> По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.
Неточность: как можно говорить о брутфорсе, когда в статье чётко связано, что использовался подбор по словарю? Это разные вещи.
Меня откровенно удивило, что ФБРовцы использовали только подбор по словарю. За год вполне можно было сделать и брутфорс восьмисимвольных паролей.
Неточность: как можно говорить о брутфорсе, когда в статье чётко связано, что использовался подбор по словарю? Это разные вещи.
Меня откровенно удивило, что ФБРовцы использовали только подбор по словарю. За год вполне можно было сделать и брутфорс восьмисимвольных паролей.
Почему то сколяюсь к менению, что это очередная утка, показывающая, что у силовиков нет способа сломать шифр кроме брутфорса. Т.е. такая реклама: «Храните свои секреты, мы ничего не узнаем! Правда! Ну правда… Ну честно...». ИМХО — блеф.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ФБР не смогло взломать зашифрованный диск (сдались через год брутфорса)