Нет, я предлагаю набрать 112, выключить звук и оставить «как есть».
Хороший вариант, но что если напавшие сами работают в правоохранительных органах?
А в компании, «в которой предпочтут спасти данные» я предпочту не работать.
А другой согласится. Люди соглашаются и в боевых действиях участвовать, была бы достойная оплата и склад характера. Предложенная схема не является серебряной пулей, но некоторым, без сомнения, может пригодиться. Разумеется, большинство компаний готовы отдать все данные человеку с автоматом и им такая схема не нужна.
Даркнеты никуда не денутся. Во-первых, для борьбы с ними нужно ввести запреты сразу во всех странах (так-то в Китае вводят, но кому надо, всё равно получают доступ в Tor). Во-вторых, есть стеганография, с помощью которой зашифрованный контент можно незаметно внедрить в текст или в картинку. В сборке Tor Browser уже есть несколько вариантов подключения, использующих стеганографию. А лучше бы это мракобесие поскорее закончилось и началась эпоха повсеместного распространения криптографии.
Чтобы данные были в безопасности, надо прокачать и людей, и технику. Мне кажется более важной техническая сторона, а вам, судя по всему, человеческая, но они обе обязательны в нормальной схеме. Согласитесь, что грош цена любой схеме, в которой данные хранят и передают в незашифрованном виде, даже если сотрудники строго следуют уставу и устойчивы к пыткам.
Чтобы не ходить далеко за примером, рассмотрим известный Силк Роад, в гибели которого виновата именно техническая сторона, а не социальная. Ни один из «сотрудников» (кроме владельца) не знал слишком много, но на сервере хранилось всё. Подкачала техническая реализация, из-за чего неприятель и добрался до сервера, а потом и до владельца и его биткоинов а теперь продаёт их оптом.
Из данных, представляющих интерес для неприятеля, у него в голове есть только пароль, ставший бесполезным. Данные как таковые содержатся на этом зашифрованном сервере филиала и понемногу в головах остальных сотрудников. Их всех отлавливать и пытать — не вариант, тем более неизвестно, кто что знает. А вот сразу все данные с сервера были бы ценной добычей. Кстати, если многие будут применять такую схему, то и захваты сотрудников прекратятся — зачем захватывать, если до данных всё равно не добраться.
Если я правильно понял, вы предлагаете набрать на телефоне команду аварийного уничтожения данных. Это и есть «рыпаться» и не всегда возможно, а если заметят, то костей сломают больше. По-моему, надежнее, если данные будут уничтожены сами собой при полном бездействии как пользователя, так и захваченного оборудования (допустим, пользователя неожиданно схватили и отобрали телефон, а компьютер вынесли). Такая схема напоминает свидетельство канарейки тем, что действие вызвано бездействием.
Про «отдать данные и не париться» я уже писал. Если для отдельного человека это выглядит самым логичным вариантом, если он не маньяк, то в компании могут предпочесть спасти данные, а не захваченного сотрудника. Сделать так, чтобы с момента похищения сотрудник не мог предать компанию, даже если его будут пытать.
Для меня это тоже было бы весомым аргументом. Поэтому и придумали анонимность — чтобы не было ясно, кому ставить фингал. Мало кто способен противостоять пыткам, вот мне и захотелось придумать схему, устойчивую к таким ситуациям. Выше я привёл примерный сценарий использования. В общем случае это можно свести к ситуациям, когда вам дают доступ к чужим важным данным и хотят защитить данные от того, что кто-то выпытает у вас пароль.
Обидно, что человека в итоге могут запытать до смерти, но какие ещё варианты решения можно предложить, когда преступники ловят сотрудника и ставят выбор данные или жизнь, а данные организация отдать никак не может. Допустимо ли рисковать жизнью одного сотрудника ради сохранности данных компании?
Повторю ответ: защита от получения противником доступа к данным, любой ценой.
Объяснять схему насильникам как раз не нужно, так как они успеют добраться до сервера до того, как он сотрёт ключ. Задача спасти данные, а не себя (тем более, всё равно могут убить, как вы отметили).
Примерный вариант практического применения. Допустим, есть юридическая фирма с филиалами по всему миру, в том числе в странах с полицейским произволом. Как предотватить захват данных местными правоохранителями и заодно уничтожить какие-либо доказательства касательно сотрудников филиала? Напрашивается именно такая схема: сервер в филиале зашифровывается паролем, который знает сотрудник филиала, и ключом, который каждый раз прилетает из центрального офиса. Сотрудника можно захватить и выпытать из него пароль, но в центре за это время узнают и отключат отправку пароля. Теперь представим, что никакого центра нет, а есть удалённый сервер, на котором ключ сотрётся автоматически через сутки.
Похожая схема может применяться политическими активистами и разведчиками.
Это попытка защититься от правой части комикса: есть данные, которые допустимо потерять, но абсолютно недопустимо, чтобы они попали в чужие руки (вариант задачи: чтобы нельзя доказать наличие этих данных у пользователя). При этом пользователь допускает, что атакующий может применять жесткие методы, включая те же наркотики, но сначала будет пытаться получить данные по-хорошему (за это время ключ и испарится). Важный момент: удалённый сервер не делает бекапов, а ещё лучше, чтобы был устойчив перед всеми возможными атакующими.
Предлагаю такое решение: ноут шифруется паролем и ключом (для расшифрования нужны оба). Пароль человек хранит в голове, ключ автоматически подцепляется с удалённого сервера во время загрузки. (На хабре была статья, в которой предлагалась практическая реализация такой схемы, но не могу её найти.) На удалённом сервере в cron установлен скрипт, который ежедневно удаляет ключ, если человек не отменил это действие явно. (Примерно таким же способом L сделал оповещение о своей смерти.) Если человека хватают, то его задача продержаться первые сутки, а потом уже никто не сможет восстановить информацию.
Проверил, какой режим используется у меня в SSH (две машинки со стабильным дебианом) и нашёл aes128-ctr. Неужели в одной из ключевых программ в стабильном дебиане используют один из самых уязвимых режимов?
Мне кажется, что протокол биткоин поддерживает ровно то, что вы предлагаете. Для этого надо создать транзакцию с NLockTime. Эта транзакция будет переводить все средства залога в какой-нибудь фонд. Эта благотворительная транзакция подписывается сторонами ещё до перемещения средств в залог (точнее, до подписания транзакции, переводящей средства в залог, если быть точным).
В качестве благотворительной транзакции предлагаю использовать OnionTip, в котором средства сразу переводятся операторам торовских нод, указавшим адрес биткоин в описании ноды. Майнеры и так получают вознаграждение, а вот операторы торовских нод в качестве материального вознаграждения получают разве что футболку с логотипом Tor.
В то же время я против того, чтобы стороны вносили разный залог, так как каждый из них не доверяет другому, следовательно потери в случае мошенничества должны быть равными.
Кстати, есть ли у провайдеров право передавать трафик третьей стороне, не являющейся силовиками? Если такого права нет, то неужели мы с этим тоже смиримся?
Спасибо за информацию! Как я понял, патенты полезны только самому государству и юристам-патентоводам, так как люди вынуждены платить деньги в казну и в карманы юристов за оформление патентов, а в результате ничего.
Имеет ли смысл прописывать sndbuf 0 и rcvbuf 0 со стороны клиента при подключении через VPN-провайдер? Прописать эти настройки на стороне сервера возможности нет.
Это баг любой схемы, основанной на залоге. Если человек не боится потерять деньги, то залог — плохой рычаг воздействия на него. Но много ли таких людей и какие цели они преследуют? А ведь риск потерять залог окончательно потерять деньги при таком подходе есть, так как вторая сторона за эти годы тоже может куда-нибудь пропасть или умереть, например.
А другой согласится. Люди соглашаются и в боевых действиях участвовать, была бы достойная оплата и склад характера. Предложенная схема не является серебряной пулей, но некоторым, без сомнения, может пригодиться. Разумеется, большинство компаний готовы отдать все данные человеку с автоматом и им такая схема не нужна.
Что хуже: если все сядут или если одного подвергнут пыткам?
Чтобы не ходить далеко за примером, рассмотрим известный Силк Роад, в гибели которого виновата именно техническая сторона, а не социальная. Ни один из «сотрудников» (кроме владельца) не знал слишком много, но на сервере хранилось всё. Подкачала техническая реализация, из-за чего неприятель и добрался до сервера, а потом и до владельца и его биткоинов
а теперь продаёт их оптом.Про «отдать данные и не париться» я уже писал. Если для отдельного человека это выглядит самым логичным вариантом, если он не маньяк, то в компании могут предпочесть спасти данные, а не захваченного сотрудника. Сделать так, чтобы с момента похищения сотрудник не мог предать компанию, даже если его будут пытать.
Обидно, что человека в итоге могут запытать до смерти, но какие ещё варианты решения можно предложить, когда преступники ловят сотрудника и ставят выбор данные или жизнь, а данные организация отдать никак не может. Допустимо ли рисковать жизнью одного сотрудника ради сохранности данных компании?
Объяснять схему насильникам как раз не нужно, так как они успеют добраться до сервера до того, как он сотрёт ключ. Задача спасти данные, а не себя (тем более, всё равно могут убить, как вы отметили).
Примерный вариант практического применения. Допустим, есть юридическая фирма с филиалами по всему миру, в том числе в странах с полицейским произволом. Как предотватить захват данных местными правоохранителями и заодно уничтожить какие-либо доказательства касательно сотрудников филиала? Напрашивается именно такая схема: сервер в филиале зашифровывается паролем, который знает сотрудник филиала, и ключом, который каждый раз прилетает из центрального офиса. Сотрудника можно захватить и выпытать из него пароль, но в центре за это время узнают и отключат отправку пароля. Теперь представим, что никакого центра нет, а есть удалённый сервер, на котором ключ сотрётся автоматически через сутки.
Похожая схема может применяться политическими активистами и разведчиками.
В качестве благотворительной транзакции предлагаю использовать OnionTip, в котором средства сразу переводятся операторам торовских нод, указавшим адрес биткоин в описании ноды. Майнеры и так получают вознаграждение, а вот операторы торовских нод в качестве материального вознаграждения получают разве что футболку с логотипом Tor.
В то же время я против того, чтобы стороны вносили разный залог, так как каждый из них не доверяет другому, следовательно потери в случае мошенничества должны быть равными.