Еще рекомендую посмотреть вот это видео (1:40-2:40) и полистать вот эти слайды (обратите внимание на слайд №6). Контроллеры SSD имели поддержку обработки структур файловых систем еще в 2008 году! Когда Samsung объявил о поддержке NTFS? Когда задокументировали поддержку NTFS у накопителей Corsair? Годы спустя.
О! Вот Вы и подтвердили, что разрешение или запрет на бекдоры для спецслужб относится к политическим проблемам. А непрозрачные стекла еще и являются мерой по защите информации ;-)
достаточно бредовыми соображениями из серии «поймаем больше преступников»
Так и запишу: двое судей ЕСПЧ, которые выступили за создание «правового бекдора» для доступа к зашифрованным данным при расследовании «корпоративных» преступлений, высказали только бредовые соображения. А кто же тогда двое других судей, которые согласились с аргументами первых? :-)
хотя реальная статистика по преступникам поимка которых зависит только от бекдоров — крайне унылая
Я не считаю, что представитель ФБР прав и его предложение является единственным решением. ФБР оказалось в ситуации (если точнее, то начинает входить в ситуацию), в которой находятся правоохранительные органы многих других государств (в том числе РФ) уже не один год, однако никто из последних не «впадает в панику».
Кроме того многие данные на телефоне при сколько нибудь адекватном адвокате могут быть аннулированы в качестве улик (в основном за исключением разных фото-видео материалов зафиксировавших преступление)
Вот и софистика началась (с добавлением каких-то неведомых юридических аргументов от адекватных адвокатов). Зачем искать убийцу, если он мог сокрыть все следы своего преступления? Ладно, на этом я обсуждение завершаю.
Еще раз. Эффективность защитных мер не зависит только от количества рисков, такая эффективность зависит от множества факторов; возможна ситуация, когда большее число рисков приводит к более эффективной защите. Например, во многих организациях является актуальной угроза утраты пароля работником, что приводит к необходимости внедрения механизмов восстановления доступа, а это, в свою очередь, увеличивает число рисков; с другой стороны, защитные меры в данной ситуации не могут быть признаны эффективными, если в случае утраты пароля работником данные будут утрачены.
я например хочу минимизировать риск путем запрета членовозов с мигалками, кстати говоря
Не получится. Есть еще пьяные водилели, невнимательные водители и другие категории водителей. Минимума здесь не будет, но будет баланс, если Ваш запрет приведет к достаточному уменьшению количества ДТП.
я хочу снизить уровень вероятности взлома до минимально возможного, т.к. рассматриваемые вредные факторы, увеличивающие эту вероятность, мне абсолютно не нужны
Я уже давал комментарии по схожему утверждению. С одной стороны, для минимизации рисков нужно вставить во все окна непрозрачные стекла, на вход в помещение посадить самого свирепого охранника с автоматом и предпринять иные меры, которые в обычной ситуации выглядят лишними. С другой стороны, чем строже меры, тем ниже удобство, а значит риск нарушений режима безопасности увеличивается. Не будет ситуации, когда Вы сможете сказать «ну все, больше мер точно не нужно» или «ну вот, люди не игнорируют предписания в пользу удобства», если Вы оцениваете минимальность рисков, а не их баланс с защитными мерами.
Вы исходите из предположения, что утечка информации менее заметна, чем модификация информации (или кода). Но это не так. Благодаря Сноудену стали известны факты взлома маршрутизаторов, внедрения руткитов и много другое, но произошло это не из-за того, что такие действия более заметны для потерпевших или посторонних, а из-за утечки информации об этих действиях (не было бы утечки – многие из известных сейчас фактов так бы и остались в тайне). Если признать, что соотношение риска раскрытия факта утечки информации и риска раскрытия факта модификации информации (кода) заведомо неизвестно без конкретных деталей защитных мер, т. е. в общем случае, то можно смело сказать, что даже в случае внедрения бекдора путем негласной модификации кода «дурачить» нужно одного человека (хотя в конкретных ситуациях это может быть и не так, но ведь это же касается и факта утечки универсального ключа, если он составляется из «кворума ключей» нескольких ответственных лиц).
Мы не можем жить вечно, поэтому не стоит пытаться увеличить продолжительность жизни.
Мы не можем жить вечно, но не можем добиться и максимальной продолжительности жизни из возможных, т. к. вредные факторы, негативно влияющие на продолжительность жизни, часто существуют вне зависимости от воли человека.
Ну что за бред? Вы не можете переходить дорогу в полной безопасности, но это не значит, что нужно всю жизнь сидеть дома. Любой переход дороги – это баланс между интересом человека, ради которого он желает попасть на другую сторону дороги, и риском быть сбитым автомобилем. Нельзя свести к минимумому последнее, но и дома всю жизнь никто не сидит.
но для меня приемлемее иметь множество уязвимостей K чем множество уязвимостей K+возможность эксплуатации бекдора.
Проблема в критерии приемлемости. Он не может быть критерием минимальности, т. к. снизить риски до нуля невозможно (абсолютной безопасности нет), а попытки минимизации некоторых технических и многих нетехнических рисков порождают новые риски (например, минимизация некоторых рисков ухудшает удобство пользования, а ухудшение удобства пользования повышает риск неправильных действий, халатности). Следовательно, критерием приемлемости может быть баланс защитных мер и рисков (возможность восстановления пароля, возможность восстановления доступа по «кворуму ключей» аналогичным образом влекут появление новых рисков по сравнению с системами, где указанные методы восстановления отсутствуют, однако это не является причиной для полного отказа от таких или любых других стратегий восстановления доступа).
Правильный (с моей точки зрения) вопрос будет звучать так: нужно ли давать государству доступ к зашифрованным данным? И ответ на этот вопрос лежит вне технической области, а аргумент «любое увеличение „поверхности атаки“ – плохо» я только что разобрал.
И взломы и закладки все, «кому не нужно» обсуждают и «мешают работать».
Обсуждают только то, что стало достоянием общественности. Вы берете 100% инцидентов, которые обладают каким-то признаком и получили публичную огласку (а без последней составляющей Вы не можете включить инцидент в свои рассуждения), а затем утверждаете, что все инциденты, которые обладают тем же признаком, получают публичную огласку. Это не так (по логике).
А в вашем случае требуется уже модификация данных, и обнаружить ее все-же проще
Вы противопоставляете общим суждениям аргументы конкретного характера. Сложность получения универсального ключа и сложность незаметной модификации кода зависят от оценки конкретных защитных мер. Если Вы, например, утверждаете, что невозможно незаметно модифицировать код, т. к. соответствующий коммит будет виден всем разработчикам, то я таким же образом могу заявить, что получение универсального ключа может быть исключено грамотной охраной соответствующего помещения; так можно рассуждать бесконечно, но общий случай от этого не меняется.
сделать код который форсированно обновляет — еще труднее незаметно
К сожалению, производители ПО для мобильных устройств давно перешли на автоматические («форсированные») обновления по умолчанию. Тот же Android обновляется автоматически, если пользователь явно этого не желает.
Допустим, что в BitLocker есть бекдор в виде универсального ключа. Вы получили физический доступ к компьютеру, данные на котором защищены с помощью BitLocker, однако о существовании бекдора Вы не знаете (а если и знаете, то не можете использовать этот бекдор). Что дальше? Только кусать локти.
значит все что нужно было от «физического доступа» мы получили из коробки
Но получить «физический доступ» (в том смысле, в котором это понятие используете Вы) гораздо проще, чем получить универсальный ключ. Вор не пойдет за копией ключа в банк, если он может разбить окно.
А тут уже проще атаковать один узел, хранящий все ключи, чем у каждого пароль подсматривать.
От такой атаки не спасет и отсутствие универсального ключа, т. к. злоумышленник может встроить бекдор в обновление программного обеспечения (цель ведь одна и та же – производитель).
Нет, не сделано, т. к. бекдор не позволяет выхватить устройство из рук владельца (или получить устройство иным образом). Физический доступ к устройству получает каждый, кто берет это устройство в руки, однако не каждый, взявший устройство в руки, может получить доступ к зашифрованным данным на этом устройстве.
И еще. Не нужно путать DuraWrite и Garbage Collection. По ссылке, что я привел ранее, эти термины различаются.
Производители уже давно интегрировали парсеры файловых систем в «сборщики мусора».
Так и запишу: двое судей ЕСПЧ, которые выступили за создание «правового бекдора» для доступа к зашифрованным данным при расследовании «корпоративных» преступлений, высказали только бредовые соображения. А кто же тогда двое других судей, которые согласились с аргументами первых? :-)
Я не считаю, что представитель ФБР прав и его предложение является единственным решением. ФБР оказалось в ситуации (если точнее, то начинает входить в ситуацию), в которой находятся правоохранительные органы многих других государств (в том числе РФ) уже не один год, однако никто из последних не «впадает в панику».
Вот и софистика началась (с добавлением каких-то неведомых юридических аргументов от адекватных адвокатов). Зачем искать убийцу, если он мог сокрыть все следы своего преступления? Ладно, на этом я обсуждение завершаю.
Не получится. Есть еще пьяные водилели, невнимательные водители и другие категории водителей. Минимума здесь не будет, но будет баланс, если Ваш запрет приведет к достаточному уменьшению количества ДТП.
Я уже давал комментарии по схожему утверждению. С одной стороны, для минимизации рисков нужно вставить во все окна непрозрачные стекла, на вход в помещение посадить самого свирепого охранника с автоматом и предпринять иные меры, которые в обычной ситуации выглядят лишними. С другой стороны, чем строже меры, тем ниже удобство, а значит риск нарушений режима безопасности увеличивается. Не будет ситуации, когда Вы сможете сказать «ну все, больше мер точно не нужно» или «ну вот, люди не игнорируют предписания в пользу удобства», если Вы оцениваете минимальность рисков, а не их баланс с защитными мерами.
Мы не можем жить вечно, но не можем добиться и максимальной продолжительности жизни из возможных, т. к. вредные факторы, негативно влияющие на продолжительность жизни, часто существуют вне зависимости от воли человека.
Проблема в критерии приемлемости. Он не может быть критерием минимальности, т. к. снизить риски до нуля невозможно (абсолютной безопасности нет), а попытки минимизации некоторых технических и многих нетехнических рисков порождают новые риски (например, минимизация некоторых рисков ухудшает удобство пользования, а ухудшение удобства пользования повышает риск неправильных действий, халатности). Следовательно, критерием приемлемости может быть баланс защитных мер и рисков (возможность восстановления пароля, возможность восстановления доступа по «кворуму ключей» аналогичным образом влекут появление новых рисков по сравнению с системами, где указанные методы восстановления отсутствуют, однако это не является причиной для полного отказа от таких или любых других стратегий восстановления доступа).
Правильный (с моей точки зрения) вопрос будет звучать так: нужно ли давать государству доступ к зашифрованным данным? И ответ на этот вопрос лежит вне технической области, а аргумент «любое увеличение „поверхности атаки“ – плохо» я только что разобрал.
Обсуждают только то, что стало достоянием общественности. Вы берете 100% инцидентов, которые обладают каким-то признаком и получили публичную огласку (а без последней составляющей Вы не можете включить инцидент в свои рассуждения), а затем утверждаете, что все инциденты, которые обладают тем же признаком, получают публичную огласку. Это не так (по логике).
Мы рассуждаем о бекдоре, который не обеспечивает удаленный доступ к зашифрованным данным (но обеспечивает доступ к локальным зашифрованным данным).
Вы противопоставляете общим суждениям аргументы конкретного характера. Сложность получения универсального ключа и сложность незаметной модификации кода зависят от оценки конкретных защитных мер. Если Вы, например, утверждаете, что невозможно незаметно модифицировать код, т. к. соответствующий коммит будет виден всем разработчикам, то я таким же образом могу заявить, что получение универсального ключа может быть исключено грамотной охраной соответствующего помещения; так можно рассуждать бесконечно, но общий случай от этого не меняется.
К сожалению, производители ПО для мобильных устройств давно перешли на автоматические («форсированные») обновления по умолчанию. Тот же Android обновляется автоматически, если пользователь явно этого не желает.
Но получить «физический доступ» (в том смысле, в котором это понятие используете Вы) гораздо проще, чем получить универсальный ключ. Вор не пойдет за копией ключа в банк, если он может разбить окно.
От такой атаки не спасет и отсутствие универсального ключа, т. к. злоумышленник может встроить бекдор в обновление программного обеспечения (цель ведь одна и та же – производитель).