Runs on Linux kernels 2.4.X and 2.6.X
EncFS provides an encrypted filesystem in user-space
Рассказать разницу про юзер мод и драйвер ядра? И где тут про хуки всей ФС?
Я согласен с Вами. Доказательства работы с файлами OpenSSL доказать элементарно. Но вот что мы не собираемся открывать это драйверы: 1. перехвата операций с файловой системой, который позволяет нам взять под контроль любое действие с ФС (скрытие, прозрачное шифрование, блокировку и разграничение доступа и т.д.) 2. драйвер виртуального диска. Если Вы подскажете где в интернете в опенсорце есть подобные драйверы (1й пункт, 2й есть в том же ТК, но чтобы не нарушать лицензию мы его не юзаем), то мы скорее всего рассмотрим вариант публикации сорцов. И да, чтобы не ходить по кругу мы закрываем разговоры что у нас частично открытый код или что можно проверить действия по прозрачному шифрованию, криптодиски и другие операции не относящиеся к ОССЛ. Так будет честнее и короче.
Вы сказали что мы сделали вебмордочку для OpenSSL. Я вам показал скриншот, где видно какие функции есть в программе, где видно что работа с файлами через OpenSSL это 10% функций программы. Если вы признаете, что понятие не имели (имеете) о функционале программы и делаете заявления на пустом месте (не видев ни программы, ни ее официального сайта, не читав ни предыдущие комменты, ни статьи блога) я с удовольствием отвечу на остальные вопросы.
Ну смешно. Ну запустите 10 раз. И 10 раз проверьте. И 10 своих друзей по 10. И что на 101 поведет себя иначе, когда будет «знать» что за ней уже не следят? :-))
«Например, можно записать ключ, использовавшийся для шифрования, не в этот файл. „
Конечно. Это все 3 способ. Именно для этого, следующую статью, которая будет сплошным набором цифр, мы посветим тому как можно проверить, что делает программа и как сравнить результаты с OpenSSL. А за сим откланяюсь. Эта тема (закладок ФСБ) меня порядком утомила. Она кочует из темы в тему. В итоге по самой статье комментов нет, но обязательно “свидомые» блюстители свободы от ФСБ напишут, что мол закладки у вас. Факты, коллеги, факты есть? Я тоже могу заявить, что вы стучите на монгольскую разведку, к тому же пол у вас противоположный. Умные люди придумали презумпцию невиновности.
В ответе после, которого я написал «соглашусь», не было ни слова о том, что мы можем вскрывать клиентские данные. Там речь шла о гарантиях. И гарантий что у вас не навернется винт или в результате хакерских действий (неизвестно каких, поэтому вполне допустимо) данные будут расшифрованы. С этим я согласен, потому в слово гарантия я вкладывал то, что мы гарантируем использование указанных алгоритмов шифрования. Чтобы в этом убедиться достаточно зашифровать один и тот же файл нашим ПО и с помощью командной строки OpenSSL на 2 разных машинах с использованием одного и того же ключа и пароля. Выходной файл будет идентичным. Вот это мы гарантируем.
«Либо просто активацией закладки, которая судя по всему у вас таки есть, и которая позволит наплевать на ключ и другие шифры»
Ну фантазировать никому не запретишь.
«ОЧЕНЬ хочется взглянуть в глаза специалистам РЖД и УралСиб, которые согласились шифровать важные данные, не понимая базовых принципов шифрования»
Многим кому бы пришлось смотреть в глаза. За 2 года было достаточно клиентов (только за время поста этой статьи были 2 покупки, частных лиц, которым программа продается без сертификатов). Вероятно, все дураки. Но идея о своей конгениальности не только Вас посещает, так что это нормально. Вероятно, Вы, понимая базовые принципы шифрования, подтвердите, что расшифровать данные можно: 1. если используется не криптостойкий алгоритм (ГПСЧ или шифрования) 2. имея ключ пользователя 3. приложив свой ключ в цифрой конверт. Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен. Остается сохранять все ключи юзеров и отсылать их в ФСБ. Об этом можно судить проверив сетевую активность программы. Веротяно, я упустил другой способ расшифровать данные.
А Вы не стесняйтесь, дело житейское. Мы продаем в организации (Уралсиб, РЖД) с сертификатами ФСТЭк и ФСБ. Но кроме этого достаточно успешно софт идет и частным лицам, которые вполне справедливо считают, что отсутствие известных утечек и доверие со стороны бизнеса достаточный повод использовать ПО. Что же до опасений, я их полностью разделяю. А детским садом называю заявления типа ВСЕ ПО для шифрования должно быть ПОЛНОСТЬЮ открытым. На всякий случай скажу, что у компании Крипто-Про выручка за 2014 была 700 млн. руб. А у Symantec PGP $700 млн. Как-то живут люди и не заморачиваются чьей-то параноей. Так что это не наш клиент, который считает что в организации должен стоять TrueCrypt без поддержки, гарантий, централизованного управления и проч.
Да все это детский сад, который сто раз уже обсуждался. Потратьте 2-3 года и n миллионов на разработку, а потом выложите свой проект в паблик. Вот у этих товарищей спросите сорцы: www.symantec.com/products-solutions/families/?fid=encryption
Опенсорц проекты имеют место быть. Но версия для физиков и компаний отличаются. И если у Zimbrа есть опен сорц для личного использования, то для компаний версия не имеет сорцов. Это называется репутация, которая собирается по крупицам многие годы. И проследить как мы используем свою открытую библиотеку не составляет специалистам никакого труда.
тестировали на безопасность в одном режиме, а используют в другом, результаты тестирования не применимы.
Конечно. ФСТЭК пишет конкретно за что он отвечает и что он тестировал. Если вы сделали из МЭ сковородку то гарантий он не дает. Это уже вопрос к производителю.
Как происходит обмен при перевыпуске?
Также как и при генерировании. Новые выдаются, прописываются хеши, старые уничтожаются. Конечно, всегда можно расковырять, дизасемблировать и вытащить актуальный ключ. Но хранения ключей на токенах для файрвола в нашем решении (бюджетном) избыточно.
Вы, наверное, в этом не очень разбираетесь. Ничего страшного, я объясню: сертификация проходит по РД для МЭ (например 3-го класса). Согласно документа МЭ должен содержать набор характеристик. Это первое что проверяют. Далее, проверяют работоспособность этих систем. Например, если Вы вставляете что-то свое, не относящееся к требованиям, например, смайлики — их корректную работу не проверяют. Справедливо полагая, что если работать это не будет или будет плохо покупать у вас не будут. Далее, проверяют остутствие НДВ, то есть закладок, бэкдоров и проч. В итоге, дают документ, в котором написано что, МЭ соотвествует РД по 3 классу и прошел проверку на отсутствие НДВ. Других предметов сертификации нет пока в природе. А различные сценарии использования (если не описаны в РД) предметом сертификации не были и не будут. Это предмет тестирования.
Пакеты подписываются. По ГОСТу 34.10-2001 с реализацией в OpenSSL. Соотв. асимметричный. Ключи генерируются при установке первого соединения с сервером.
Один неуправляемый: тестирование в режиме NAT между 2 сетевухами, клиент — сервер, регулирование нагрузки в кластере и т.п.
Тут я с Вами вынужден согласиться. Я тоже не люблю работу для галочки. И начинали мы романтически, создавая продукты для людей а не для бумажек :-) Но они не продавались, по крайней мере в российской корпоративной среде, по крайней мере в гос. закупках. Как говорили в «Бумере»: «Не мы такие, жизнь такая» :-)) Я тоже считаю что сертификация ПО это лавочка для набивания карманов чиновников. Что должна быть открытая конкуренция на основе качества а не бумажек. Даже писал как-то статьи на эти темы, изобличительные, в духе «Лефиафана» :-))
Ну а насчет маркетинга… Не пойму, мы честно оплачиваем Блог на хабре, пишем статьи про наши продукты, как, наверное и Яндекс и Mail.ru здесь, правда ведь? Статьи стараемся чтобы были полезными для админов, которым нужны наши продукты. Иногда получается :-)
EncFS provides an encrypted filesystem in user-space
Рассказать разницу про юзер мод и драйвер ядра? И где тут про хуки всей ФС?
Жизненное наблюдение: чем менее осведомлен человек, тем более безапелляционны его заявления.
«убедительно доказать собравшейся тут общественности»
Ну опять же, см. ответ выше про идентичность файла после шифрования OpenSSL и у нас. Подробно об этом напишем в следующей статье.
«Например, можно записать ключ, использовавшийся для шифрования, не в этот файл. „
Конечно. Это все 3 способ. Именно для этого, следующую статью, которая будет сплошным набором цифр, мы посветим тому как можно проверить, что делает программа и как сравнить результаты с OpenSSL. А за сим откланяюсь. Эта тема (закладок ФСБ) меня порядком утомила. Она кочует из темы в тему. В итоге по самой статье комментов нет, но обязательно “свидомые» блюстители свободы от ФСБ напишут, что мол закладки у вас. Факты, коллеги, факты есть? Я тоже могу заявить, что вы стучите на монгольскую разведку, к тому же пол у вас противоположный. Умные люди придумали презумпцию невиновности.
«Либо просто активацией закладки, которая судя по всему у вас таки есть, и которая позволит наплевать на ключ и другие шифры»
Ну фантазировать никому не запретишь.
«ОЧЕНЬ хочется взглянуть в глаза специалистам РЖД и УралСиб, которые согласились шифровать важные данные, не понимая базовых принципов шифрования»
Многим кому бы пришлось смотреть в глаза. За 2 года было достаточно клиентов (только за время поста этой статьи были 2 покупки, частных лиц, которым программа продается без сертификатов). Вероятно, все дураки. Но идея о своей конгениальности не только Вас посещает, так что это нормально. Вероятно, Вы, понимая базовые принципы шифрования, подтвердите, что расшифровать данные можно: 1. если используется не криптостойкий алгоритм (ГПСЧ или шифрования) 2. имея ключ пользователя 3. приложив свой ключ в цифрой конверт. Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен. Остается сохранять все ключи юзеров и отсылать их в ФСБ. Об этом можно судить проверив сетевую активность программы. Веротяно, я упустил другой способ расшифровать данные.
Ну так я и давал ссылку.
С остальным соглашусь.
Опенсорц проекты имеют место быть. Но версия для физиков и компаний отличаются. И если у Zimbrа есть опен сорц для личного использования, то для компаний версия не имеет сорцов. Это называется репутация, которая собирается по крупицам многие годы. И проследить как мы используем свою открытую библиотеку не составляет специалистам никакого труда.
Конечно. ФСТЭК пишет конкретно за что он отвечает и что он тестировал. Если вы сделали из МЭ сковородку то гарантий он не дает. Это уже вопрос к производителю.
Также как и при генерировании. Новые выдаются, прописываются хеши, старые уничтожаются. Конечно, всегда можно расковырять, дизасемблировать и вытащить актуальный ключ. Но хранения ключей на токенах для файрвола в нашем решении (бюджетном) избыточно.
Ключи срочные.
Один неуправляемый: тестирование в режиме NAT между 2 сетевухами, клиент — сервер, регулирование нагрузки в кластере и т.п.
Ну а насчет маркетинга… Не пойму, мы честно оплачиваем Блог на хабре, пишем статьи про наши продукты, как, наверное и Яндекс и Mail.ru здесь, правда ведь? Статьи стараемся чтобы были полезными для админов, которым нужны наши продукты. Иногда получается :-)