а вот если бы Вы озвучили обсуждаемый е-майл здесь,
то я полагаю в течение первых же суток туда пришло бы сразу несколько искомых писем с разных концов света…
> Top антивирусов по моему мнению на август 2009-го:
> 1. Eset Nod32.
Никаких холиваров — сам их не переношу — только лишь констатация факта:
Как админ в конторе с немаленьким кол-вом компьютеров,
могу навскидку привести за 2008 год 5 фактов пропуска серьезных вирусов
официально купленным NOD-ом.
Спасала Avira Personal, экстренно устанавливаемая на них, либо AVZ (но не всегда).
P.S. В итоге в связи с ФЗ-152 с этого года мы ушли с NOD-а, посмотрим как себя поведет новый антивирус (называть не буду — кто знаком с ФЗ-152 — сам поймет).
А как же требование о наличии высшего педагогического (либо к.н. непедагогического) у учителей средней школы. Его уже отменили (я честно не в курсе, т.к. слышал о нем в 1998 году) или Ваше учебное заведение не контролируется надзорными органами Минобразования?
Механизму патентования в принципе уже больше сотни лет. Все почему то забывают о его саморегуляции. Ведь мало заявить, что ты хочешь запатентовать
… window.open(«Don't go»)…
— нужно еще заплатить приличную сумму за право патента!
Вы уверены, что плата, внесенная за приведенный в примере код, окупится до 2018 года?
В целом задача немного перекликается с киберсквоттингом — угадал киберсквоттер «востребованное» в ближайшие годы доменное имя — отобьет потраченные деньги. Не угадал — в минусе.
Разговоры со спец.службами (с давних советских времен телефонов-автоматов на столбах) идут в так называемом «предответном состоянии»: без отправки сигнала «CONNECT» (в т.ч. чтобы не платить за разговор), из-за этого на мобильных телефонах возможно подобное поведение.
А куда она денется — это же выход блочного шифра — там с «поверхностными» статистическими тестами на случайность всё отлично будет.
Вопрос то на самом деле в том, какова информационная емкость (энтропия) исходного источника (ключ+вектор+текст+счетчик и т.д.) — ведь она не увеличивается в результате всех этих трансформаций.
Идея весьма старая. Картинка на основе хэша применялась (сейчас не в курсе) в Lotus Notes.
Применительно к этой конкретной идее хотелось бы во-первых предостеречь:
выдавать цвета не после каждой буквы, а после 2-3 секунд idle-таймаута, иначе при их очень большой информационной емкости можно вычислить пароль «из-за плеча» побуквенно без проблем (либо снизить инф.емкость);
А во-вторых, пофантазировать о дальнейшем развитии:
а) выдавать 1 цветовой тон (RGB), а не три полоски
б) заполнять этим тоном всё поле ввода пароля.
Об аппаратных ГСЧ время от времени вспоминают все производители чипсетов — там побывали и Intel и AMD и VIA…
К сожалению нормального единого стандарта так и не разработали.
Microsoft CryptoAPI умеет в случае установленного на материнке чипа и драйверов предоставлять доступ к такому ГСЧ.
Последнее веяние, которое я слышал, может меня поправят, — это стандарт TPM от Trusted Computing Group.
Вот это не всегда верно: В режиме записи 16 бит случайную информацию несет только самый младший бит из каждого сэмпла, в 24 битном режиме — несколько младших, но надежней всего всегда брать только один самый младший бит.
В 2004-м году я своим студентам специальности «Программное обеспечение» на курсовую по «Защите информации» давал задание сделать то же самое, что делаете Вы (с тестированием случайности по FIPS). Результаты следующие:
самые младшие биты шумового потока не всегда достаточно случайны, на некоторых звуковых картах
самый младший бит даже банально не распределен равномерно. Наибольшую энтропию несут 2-3-4 бит при 16 битном семплировании.
а) в гос.учреждении
б) в частной фирме, обслуживающей гос.учреждения (т.е. осваивающей в основном гос.бюджеты)
в) в «независимой» частной фирме, ищущей заказчиков везде, где только можно.
Это 3 абсолютно разных мира!
Со своими целями, способами их достижения и совершенно разной мотивацией на всех уровнях ИТ.
Взломают шифрованный канал КриптоПро — кто виноват? — а вот пожалуйста «поименный списочек» разработчиков/руководителей.
Взломают шифрованный канал open-source продукта — кто виноват? — а никто! -> А значит виноватым будет назначен тот, кто принял решение установить этот продукт. Думаете, кто-нибудь из «Принимающих Решение» хочет себе такую головную боль?
2 мегабита/с, требуемых для более-менее приличной видеосвязи,
реально в Вологодской области только до 6-7 райцентров из 26
(занимался этой задачей на практике)
Там очень часто решение можно записать бесконечным числом различных способов.
Назовите какой-нибудь конкретный пример и мы пообсуждаем возможность «приведения/неприведения» его к виду теста с 4 вариантами ответа, из которых только один будет правильный?…
то я полагаю в течение первых же суток туда пришло бы сразу несколько искомых писем с разных концов света…
Отлично!
> 1. Eset Nod32.
Никаких холиваров — сам их не переношу — только лишь констатация факта:
Как админ в конторе с немаленьким кол-вом компьютеров,
могу навскидку привести за 2008 год 5 фактов пропуска серьезных вирусов
официально купленным NOD-ом.
Спасала Avira Personal, экстренно устанавливаемая на них, либо AVZ (но не всегда).
P.S. В итоге в связи с ФЗ-152 с этого года мы ушли с NOD-а, посмотрим как себя поведет новый антивирус (называть не буду — кто знаком с ФЗ-152 — сам поймет).
… window.open(«Don't go»)…
— нужно еще заплатить приличную сумму за право патента!
Вы уверены, что плата, внесенная за приведенный в примере код, окупится до 2018 года?
В целом задача немного перекликается с киберсквоттингом — угадал киберсквоттер «востребованное» в ближайшие годы доменное имя — отобьет потраченные деньги. Не угадал — в минусе.
Вопрос то на самом деле в том, какова информационная емкость (энтропия) исходного источника (ключ+вектор+текст+счетчик и т.д.) — ведь она не увеличивается в результате всех этих трансформаций.
Какие номера версий можно ставить?
Применительно к этой конкретной идее хотелось бы во-первых предостеречь:
выдавать цвета не после каждой буквы, а после 2-3 секунд idle-таймаута, иначе при их очень большой информационной емкости можно вычислить пароль «из-за плеча» побуквенно без проблем (либо снизить инф.емкость);
А во-вторых, пофантазировать о дальнейшем развитии:
а) выдавать 1 цветовой тон (RGB), а не три полоски
б) заполнять этим тоном всё поле ввода пароля.
К сожалению нормального единого стандарта так и не разработали.
Microsoft CryptoAPI умеет в случае установленного на материнке чипа и драйверов предоставлять доступ к такому ГСЧ.
Последнее веяние, которое я слышал, может меня поправят, — это стандарт TPM от Trusted Computing Group.
Вот это не всегда верно:
В режиме записи 16 бит случайную информацию несет только самый младший бит из каждого сэмпла, в 24 битном режиме — несколько младших, но надежней всего всегда брать только один самый младший бит.
В 2004-м году я своим студентам специальности «Программное обеспечение» на курсовую по «Защите информации» давал задание сделать то же самое, что делаете Вы (с тестированием случайности по FIPS). Результаты следующие:
самые младшие биты шумового потока не всегда достаточно случайны, на некоторых звуковых картах
самый младший бит даже банально не распределен равномерно. Наибольшую энтропию несут 2-3-4 бит при 16 битном семплировании.
а) в гос.учреждении
б) в частной фирме, обслуживающей гос.учреждения (т.е. осваивающей в основном гос.бюджеты)
в) в «независимой» частной фирме, ищущей заказчиков везде, где только можно.
Это 3 абсолютно разных мира!
Со своими целями, способами их достижения и совершенно разной мотивацией на всех уровнях ИТ.
Так что согласен с Вами на 100%.
Взломают шифрованный канал КриптоПро — кто виноват? — а вот пожалуйста «поименный списочек» разработчиков/руководителей.
Взломают шифрованный канал open-source продукта — кто виноват? — а никто! -> А значит виноватым будет назначен тот, кто принял решение установить этот продукт. Думаете, кто-нибудь из «Принимающих Решение» хочет себе такую головную боль?
реально в Вологодской области только до 6-7 райцентров из 26
(занимался этой задачей на практике)
Из аналогичных статей вспоминаю «Как снимается ток-шоу».
Вот подобных материалов не хватает Хабру.
Назовите какой-нибудь конкретный пример и мы пообсуждаем возможность «приведения/неприведения» его к виду теста с 4 вариантами ответа, из которых только один будет правильный?…