Интересно… Тогда только реализовывать свое ПО на уровне приложений в модели OSI со своими нюансами, чтобы отойти от штамповых протоколов, которые подобная аппаратура уже обработать не сможет. Для обработки такого — уже потребуется ИИ, алгоритмы «изучения» ПО и его работы… И обрабатывать так придется каждую ушедшую в сеть программу, что крайне не тривиально, даже храня «таблицы проверенных ПО» по хэшам.
Согласен — схема, которую я написал выше, всё равно подвержена атаке MitM. Но тем не менее никто не отменял сертификатов, удостоверяющих центров. Перехватывать и подменять весь трафик — это уже не тривиальная задача, а спецслужбы хотят, чтобы всё для них было прозрачно. Не думаю, что они хотят вести активные атаки.
Увы нет. Просто по пунктам расписал как раз схему разделения ключа по открытому каналу :)
Какой уж он — сессионный, или постоянный — дело уже пользователя.
Все мои размышления к тому — что схемы безопасного общения между людьми в любой точке земного шара существуют. Даже в готовых реализациях. И то, что мучительные попытки спецслужб лишь волной накроют мелкую рыбешку, немного потревожат средних и крупных. Однако после этой первой волны все последующие люди, нечистые на руку, уже будут осторожными и подобной пользы их проект, который вызовет массу возмущений в прессе и в народных массах, не особо окупится. Хотя — кто знает. Поживем — увидим.
Просто смысл использовать тогда асимметричное шифрование, если и так в личную идет передача ключей? :)
Не думаю, что правительство станет связываться даже с RSA, не говоря уже об алгоритмах, основанных на эллиптических кривых.
1) Я отправил свой открытый ключ Вам открытым каналом. Вы отправили свой открытый ключ мне.
2) Я зашифровал моё сообщение Вам Вашим ключом.
3) Вы расшифровали это сообщение своим закрытым ключом, зашифровали ответ моим открытым ключом
…
А можно, чтобы не мучить ЦП — зашифровать ключ AES'а открытым ключом, передать собеседнику, а им уже потом шифровать обоим, так как симметричные шифры более скоростные, нежели асимметричные.
Ну не вижу проблемы. Да — будут скандалы. Да будут вопить, орать, визжать (нужное подчеркнуть) некоторые группы общества. Но те, кто использовал соц сети и подобные централизированные мессанджеры — вряд ли даже раньше общались в открытую (в зависимости от серьезности).
Можете даже глянуть статью в вики Стеганография. В пособии по обучению террориста «Технологичный муджахид, учебное пособие для джихада» присутствует глава, посвященная использованию стеганографии.
В принципе можно для себя держать несколько «золотых правил» по поводу дропбоксов и его соплеменников:
1) Не храни пароли, личную информацию и корпоративную информацию (из цикла «не для чужих глаз») в облаках в открытом виде — не будет проблем с утечками, шантажами.
2) Не храни то, что может вызвать проблемы с авторскими правами (пока для нашей страны не особо актуально, но всё, похоже, идет в печальную сторону)
3) Не храни то, что может быть обидно потерять :)
Я в основном использую дроп в качестве общей папки всех своих компьютеров и устройств. В основном для своих личных документов и проектов. Но все это имеется забэкапенное на нескольких устройствах и потеря, кража этой информации для меня несущественна. Всё равно мой код никто не поймет:)
Вообще уже давно была идея написать программку на шарпе, которая будет шифровать всё «на лету» AESом. В идеале хочу получить ещё один синхронизатор. То бишь ещё 1 папка, за которой следит демон и хранит её зашифрованную копию в облаке. Как то так. В общем — план на лето.
За статью — спасибо. Сумбурненько, но, в целом, интересно!
Тема открыта и для гостей, которые сказать спасибо и не могут.
Я уж расставил народу, кто отдавал ссылки по плюсику, но вообще обидно, конечно. Как засрать карму — так все горазды, а как доброе дело поощрить — жалко голоса. Куда мир катится…
Но о хороших делах сожалеть не надо. Добрым словом припомнили — уже хорошо.
Как бы пароли не хранились — если их может расшифровать программа, значит может и расшифровать пользователь, ибо ключ обязан либо генерироваться по четко заданному алгоритму, либо храниться где либо.
Я уже писал статью про хром и DPAPI в Windows. Даже такой мощный комплекс всё равно спокойно расшифровывается при доступе к машине и к учетной записи пользователя и антивирус(любой) молчит в тряпочку, так как действия, выполняемые зловредом — легальные, с точки зрения безопасности. Да, там есть энтропия, но это уже другая опера.
Я не пользуюсь ftp клиентом, но тут не важно — браузер, или фтп — они хранят пароли. Хотите полной безопасности — ищите программу, которая будет запрашивать мастер-пароль и следите за своим антивирусным ПО, чтобы не допускал троянов и кейлоггеров. Ну и за спину смотрите, если есть такая необходимость. Можно поиграться и с физическими ключами.
Увидел название статьи — обрадовался и побежал качать. Думал появилась версия и под плееры Creative… Хотел потестировать на MicroPhoto и на Vision M… Жаль, но не появилось… Плееры будут ждать лучших времен.
А все и начинается с идеи =)
В итоге все читают эту замечательную статью. Я, конечно, знал, что это возможно. Но увидеть такую программу… Однозначно спасибо Вам обоим!
Честно — до Вас я ещё не слышал об этом расширении :)
Так что, как минимум, спасибо за информацию. Разгребу немного сессию и постараюсь узнать как, в каком виде и чем шифрует LastPass. На первый взгляд поверхностный — там TDES и мастер ключ. Но DES может быть и разным там… Сам DES может работать в 4 режимах и ещё и TDES может в 3 режимах. Так что надо будет ещё покрутить их комбинации. Ведь если выйти за рамки стандарта — это уже серьезный шаг к защите. Даже если этот шаг за рамки — мизерный, который никак не повлияет на криптостойкость в общем. Главное — он вышел из стандарта. И уже нельзя просто нагуглить «TDES» любому школьнику, вставить криптотекст, ключ и получить результат.
Ещё раз спасибо за подброшенную информацию. Обязательно подробно рассмотрю и постараюсь написать топик, ну или тут отвечу на Ваш комментарий, если мало чего найду.
Спасибо за статью. Очень интересно и познавательно. Приятно слышать, что пусть и руками частных фирм, но страна пытается завоевать уважение к столь ожидаемой фразе всеми жителями страны «Made in Russia». Приятно.
Честно сказать — здесь использована неплохая схема защиты. Достаточная, чтобы сохранить пароли в целости и сохранности при аккуратном пользованием компьютером.
Да — тот пароль он является ключом для синхронизации паролей. Чтобы Вы, сев за новый компьютер, введя свой gmail и пароль, а затем мастер-пароль — получили пароли и другие данные на новый браузер.
Ну а какую систему безопасности Вы хотите видеть? Чтобы что то зашифровать — нужен ключ, если ключа нет, то имея алгоритм, которым шифровали БЕЗ ключа можно спокойно узнать исходный текст на любом другом компьютере с подобной программой. Ключ может хранится в компьютере, а может получаться извне (например ввод мастер-ключа с клавиатуры, или USB-ключи). Не знаю как дела обстоят с USB ключами, но ввод ключа с клавиатуры можно перехватить кейлогером (как я писал выше), а можно и просто подсмотреть.
Гугл хорошо подошел к безопасности. Тут сама структура работы Windows не дает шанса убрать возможность таких бэкапов. Если бы каждой программе отводилось бы личное пространство памяти, в которое никто, кроме неё, не имел бы доступа, то тогда такой топорный метод не прокатил бы, но наверняка нашелся бы другой метод…
Вся прелесть DPAPI в том, что ключ слишком сложен, чтобы его подобрать, а алгоритм шифрования, на сколько мне известно, без дыр.
Вы правы — любая программа может прочитать БД с паролями. И расшифровать может. Но только, если эта программа выполняется на компьютере, где Хром создал этот файл. Если же у Вас просто украдут файл, то смогут прочитать только логины и сайты, где Вы регистрировались. Но пароли Ваши они получить не смогут.
Идеальной защиты нет. Просто будьте осторожны в плане того — что Вы запускаете — тогда проблем не будет.
Для заметки — FireFox, в отличии от Хрома, не привязан так к машине. Как и Opera. Но у FF и Opera есть возможность ставить мастер-ключ, тогда придется злоумышленнику подбирать его (при сложном ключе — это практически невозможно). Но мастер ключ может быть украден у Вас кейлогером. Так что опять же повторюсь — запускайте приложения из проверенных источников.
Какой уж он — сессионный, или постоянный — дело уже пользователя.
Все мои размышления к тому — что схемы безопасного общения между людьми в любой точке земного шара существуют. Даже в готовых реализациях. И то, что мучительные попытки спецслужб лишь волной накроют мелкую рыбешку, немного потревожат средних и крупных. Однако после этой первой волны все последующие люди, нечистые на руку, уже будут осторожными и подобной пользы их проект, который вызовет массу возмущений в прессе и в народных массах, не особо окупится. Хотя — кто знает. Поживем — увидим.
Не думаю, что правительство станет связываться даже с RSA, не говоря уже об алгоритмах, основанных на эллиптических кривых.
1) Я отправил свой открытый ключ Вам открытым каналом. Вы отправили свой открытый ключ мне.
2) Я зашифровал моё сообщение Вам Вашим ключом.
3) Вы расшифровали это сообщение своим закрытым ключом, зашифровали ответ моим открытым ключом
…
А можно, чтобы не мучить ЦП — зашифровать ключ AES'а открытым ключом, передать собеседнику, а им уже потом шифровать обоим, так как симметричные шифры более скоростные, нежели асимметричные.
Ну не вижу проблемы. Да — будут скандалы. Да будут вопить, орать, визжать (нужное подчеркнуть) некоторые группы общества. Но те, кто использовал соц сети и подобные централизированные мессанджеры — вряд ли даже раньше общались в открытую (в зависимости от серьезности).
Можете даже глянуть статью в вики Стеганография.
В пособии по обучению террориста «Технологичный муджахид, учебное пособие для джихада» присутствует глава, посвященная использованию стеганографии.Кому надо — для тех это не беда.
1) Не храни пароли, личную информацию и корпоративную информацию (из цикла «не для чужих глаз») в облаках в открытом виде — не будет проблем с утечками, шантажами.
2) Не храни то, что может вызвать проблемы с авторскими правами (пока для нашей страны не особо актуально, но всё, похоже, идет в печальную сторону)
3) Не храни то, что может быть обидно потерять :)
Я в основном использую дроп в качестве общей папки всех своих компьютеров и устройств. В основном для своих личных документов и проектов. Но все это имеется забэкапенное на нескольких устройствах и потеря, кража этой информации для меня несущественна. Всё равно мой код никто не поймет:)
Вообще уже давно была идея написать программку на шарпе, которая будет шифровать всё «на лету» AESом. В идеале хочу получить ещё один синхронизатор. То бишь ещё 1 папка, за которой следит демон и хранит её зашифрованную копию в облаке. Как то так. В общем — план на лето.
За статью — спасибо. Сумбурненько, но, в целом, интересно!
PS Выходит не я один параноик!
Я уж расставил народу, кто отдавал ссылки по плюсику, но вообще обидно, конечно. Как засрать карму — так все горазды, а как доброе дело поощрить — жалко голоса. Куда мир катится…
Но о хороших делах сожалеть не надо. Добрым словом припомнили — уже хорошо.
Я уже писал статью про хром и DPAPI в Windows. Даже такой мощный комплекс всё равно спокойно расшифровывается при доступе к машине и к учетной записи пользователя и антивирус(любой) молчит в тряпочку, так как действия, выполняемые зловредом — легальные, с точки зрения безопасности. Да, там есть энтропия, но это уже другая опера.
Я не пользуюсь ftp клиентом, но тут не важно — браузер, или фтп — они хранят пароли. Хотите полной безопасности — ищите программу, которая будет запрашивать мастер-пароль и следите за своим антивирусным ПО, чтобы не допускал троянов и кейлоггеров. Ну и за спину смотрите, если есть такая необходимость. Можно поиграться и с физическими ключами.
За статью спасибо. Интересно и познавательно!
Автору спасибо за статью =)
В итоге все читают эту замечательную статью. Я, конечно, знал, что это возможно. Но увидеть такую программу… Однозначно спасибо Вам обоим!
Небольшой вопрос к Вам — каким оборудованием Вы пользовались для снятия микрофотографий?
Так что, как минимум, спасибо за информацию. Разгребу немного сессию и постараюсь узнать как, в каком виде и чем шифрует LastPass. На первый взгляд поверхностный — там TDES и мастер ключ. Но DES может быть и разным там… Сам DES может работать в 4 режимах и ещё и TDES может в 3 режимах. Так что надо будет ещё покрутить их комбинации. Ведь если выйти за рамки стандарта — это уже серьезный шаг к защите. Даже если этот шаг за рамки — мизерный, который никак не повлияет на криптостойкость в общем. Главное — он вышел из стандарта. И уже нельзя просто нагуглить «TDES» любому школьнику, вставить криптотекст, ключ и получить результат.
Ещё раз спасибо за подброшенную информацию. Обязательно подробно рассмотрю и постараюсь написать топик, ну или тут отвечу на Ваш комментарий, если мало чего найду.
Да — тот пароль он является ключом для синхронизации паролей. Чтобы Вы, сев за новый компьютер, введя свой gmail и пароль, а затем мастер-пароль — получили пароли и другие данные на новый браузер.
Ну а какую систему безопасности Вы хотите видеть? Чтобы что то зашифровать — нужен ключ, если ключа нет, то имея алгоритм, которым шифровали БЕЗ ключа можно спокойно узнать исходный текст на любом другом компьютере с подобной программой. Ключ может хранится в компьютере, а может получаться извне (например ввод мастер-ключа с клавиатуры, или USB-ключи). Не знаю как дела обстоят с USB ключами, но ввод ключа с клавиатуры можно перехватить кейлогером (как я писал выше), а можно и просто подсмотреть.
Гугл хорошо подошел к безопасности. Тут сама структура работы Windows не дает шанса убрать возможность таких бэкапов. Если бы каждой программе отводилось бы личное пространство памяти, в которое никто, кроме неё, не имел бы доступа, то тогда такой топорный метод не прокатил бы, но наверняка нашелся бы другой метод…
Вы правы — любая программа может прочитать БД с паролями. И расшифровать может. Но только, если эта программа выполняется на компьютере, где Хром создал этот файл. Если же у Вас просто украдут файл, то смогут прочитать только логины и сайты, где Вы регистрировались. Но пароли Ваши они получить не смогут.
Идеальной защиты нет. Просто будьте осторожны в плане того — что Вы запускаете — тогда проблем не будет.
Для заметки — FireFox, в отличии от Хрома, не привязан так к машине. Как и Opera. Но у FF и Opera есть возможность ставить мастер-ключ, тогда придется злоумышленнику подбирать его (при сложном ключе — это практически невозможно). Но мастер ключ может быть украден у Вас кейлогером. Так что опять же повторюсь — запускайте приложения из проверенных источников.
PS Если кому нужно — месторасположение этой папки ("%appdata%\..\Local") в C# можно узнать так:
string way_local = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData)