Комментарии 359
А мог бы получить 20 лет строгача "за хранение наркотиков".
P.S. Интересно, сколько АНБ заплатила копирайтеру за пиар "конторы".
Я даже укутался во флаг США и немножко поплакал:
— Ах, как жаль, что суровые парни не пригласили его работать в АНБ!..
В АНБ их продают в сувенирном магазине на защищённом объекте в секции «для подарков».
Читай:
habr.com/company/pult/blog/418959
Ведь за чаем проходят самые интересные беседы.
А что телефон? Телефон пришёл и ушёл, а вот кружка от АНБ будет бережно стоять на полке.
А ведь можно было всего лишь раз разогреть кофе в этой кружке в микроволновке убрав тем самым все "уши", и далее пусть стоит много лет глухим сувениром.
Вы опасно некомпетентны в криптографии
Удобно, наверное, в быту шифровать полуторагигабайтный видосик полуторагигабайтным ключом.
В OS, библиотеках ЯП и файловых системах, думаете, меньше ловушек, чем в клиент-серверном взаимодействии?
Навскидку, при кривой реализации ключ может случайно остаться на FS и его можно будет найти побайтовым сканированием. Да, это очевидный косяк, но в самописной реализации на 100 существующих очевидных косяков один да будет допущен.
Ну да, про то и был комментарий выше, что не надо изобретать руками криптографию, надо брать как можно лучше проверенную опенсорсную. Это не про авторитет, а про то, что если секретным знанием можно украсть миллиард, то вряд ли его запалят на вашей переписке.
Но всё же шифр Вернама совсем-совсем не применим в указанном в статье случае. Если у вас есть шифроблокнот или флешка с ключом, с ними вас и возьмут. А если ключ для данных заучивать, то проще заучить оригинальные данные той же длины.
Другими словами, random+text=random, text+text=text.
Или я заблуждаюсь?
Любой осмысленный текст содержит символы, которые распределены не случайным образом. И по определению не подпадает под описание хорошего ключа.
А MD5 от каждых (128/8=16) букв ключевого текста (в смысле каждые 128 бит текста заменяются на MD5 от них же) — попадает?
В таком случае можно выбрать два стандартных файла и ключ приготовить, проксорив один файл другим. Мой поинт в том, что не надо с собой носить ключ на флешке, можно обойтись простым запоминанием стандартных файлов, которые вы применяете. Если вы знаете, как такое ломается, поделитесь.
есть файл зашифрованный тупым ксором через текст библии (и пусть вы даже это знаете)Вы даже не представляете насколько быстро это будет сделано. Для экономии времени достаточно взять первую строчку вашего зашифрованного контейнера и ксорить её с текстом из библии, смещаясь каждый раз на один символ. Как только в полученной строке появятся хотя бы несколько осмысленных слов, то это смещение — кандидат на ключ. В конце проверяем все смещения — кандидаты на всём контейнере и один из них полностью расшифрует ваши данные.
А если этот же файл сжать архиватором с максимальной степенью сжатия, то после простейшего XOR, даже с текстом простейшим, при анализе не за что зацепиться будет. Просто шум, повторений и корреляций нет, все байты равномерно распределены.
Еще раз, напомню, как разворачивлся диалог. Товарищу сильно сверху, который собирался использовать шифр Вернама, возразили, что ему тогда ключ придется с собой носить, мне вспомнились рассказы про Шерлока Холмса и я написал, что совсем необязательно — можно просто выбрать какой-то стандартный на любом компе доступный файл.
Игровая ситуация такая — вы Шерлок Холмс 21-го века. В ваши руки попадает компьютер преступника с зашифрованным файлом содержащем доказательства его вины. Стандартных средств шифрования нет, история bash вытерта, у вас подозрение, что товарищ (который не являет собой светоч интеллекта) наверняка просто поксорил свой архив каким-то стандартным файлом (я вот это имел в виду, когда писал «знаете», mea culpa). Ваши действия?
Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.
Ваши действия?Ок, попробуем так. Атака заключается в том, что я могу попробовать предположить или угадать некоторую часть зашифрованного файла. Большинство файлов, которыми мы пользуемся имеют четкую структуру, заголовки, magic numbers. sim31r чуть выше предложил сжимать архиватором. Допустим, что это был rar-архив. Архив имеет в начале блок-маркер из 7 байт (0x52 0x61 0x72 0x21 0x1a 0x07 0x00). Таким образом у меня на руках первые 7 байт файла (гаммы), с которым ксорили данный архив. А дальше вы знаете. Хорошо, если поиск ограничится компьютером жертвы. Если же нет, то возможно это какая-то общеизвестная информация. Начало гаммы может дать подсказку.
Можно придумать ещё много «а если бы...», но суть в том, что у хорошего шифра сценариев атаки, кроме полного перебора быть не должно.
Я бы на месте Шерлока Холмса пошел бы домой, хрен его знает, какой именно файл человек выбрал.
Ну например, самое распостраненное слово анлийского языка определенный артикаль the, то есть мы знаем слово из 5 букв (артикаль + пробелы), которое гарантировано встречается в тексте, пытаемся расшифровать текст ксоря его с разным смещением, если получили 5 английских букв, вероятно угадали, пробуем подобрать слова из словоря перед и после (иногда можно угадать типичные фразы аглийского). Потом зная части ключа и исходного текста можно попытаться найти текст в библиотеке (на компе преступника).
Если вспомнить, что у нашего Шерлока есть ещё и собственный датацентр с дофига вычислительной мощностью, то можно даже вообще почти не думать: достаточно ввести функцию Likelihood(text) которая на вход берёт данные, а на выход говорит — на сколько это похоже на нечто осмысленное. Далее, пусть мы знаем, что расшифровка производится некоторым алгоритмом Decrypt(шифровка, ключ) (сам алгоритм можно найти на компе, или в худшем случае -перебрать все самые популярные). Далее достаём дискретный оптимизатор, и приказываем ему найти максимум у функции Likelihood(Decrypt(шифротекст, ключ)) по параметру "ключ". А дискретные оптимизаторы сейчас очень мощные — они сами и корреляции найдут и эвристик там масса уже готовых используется, и они сами где надо включат генетические, муравьиные, пчелиные и прочие оптимизации и SAT впридачу. В итоге сложность подбора ключа снизится с полного перебора, примерно до уровня теоретической энтропии ключа в случае хорошего шифра, и ещё ниже в случае плохого шифра. Теперь умножим это всё на мощьность нашего датацентра. И заметьте, во всём этом процессе мы ни разу не задумывались о уязвимостях шифре вообще.
Я понял, чо есть какая-то волшебная вещь под названием дискретный оптимизатор, в принципе я знаю что такое дискретная математика и что такое оптимизация, решил погуглить и не нашел ничего стоящего, непонятно, что это за штука. Был бы рад, если бы вы пояснили. Мое понимание, что все эти прозрения про сам алгоритм Decrypt(шифровка, ключ) нужно сидеть и программировать руками, чтобы свои гипотезы можно было бы проверять, как вот выше писали очень красиво. Неужели есть волшебные устройства, которые это все автоматически проделывают?
Вот несколько пунктов, чтобы подкрепить мои слова:
1. Дискретные оптимизаторы существуют. Например MiniZinc. Я не знаю, есть ли они в настолько общем виде, чтобы на вход им подавалась программа, а на выходе — входные данные дающие максимальный ответ, но
2. В настолько общем виде существуют обёртки для SAT решателей. SAT отличается от дискретной оптимизации лишь в том, что вместо поиска аргумента, для которого функция максимальна он находит аргумент, на котором булева формула принимает значение «истина». В целом это почти эквивалентные задачи. Как использовать SAT решатель для взлома защиты StarCraft, например, показано в этом видео https://www.youtube.com/watch?v=b92CW-NZ3l0
Автор видео ссылается на фреймворк angr.io который насколько я понял автоматизирует весь процесс настолько, что кидаешь ему исполняемый файл и говоришь, через какую ветку должно прийти исполнение программы, и этот фреймворк сам рассчитает какие данные надо отправить в программу, используя SAT решатель Z3 под капотом.
3. SAT-решатели мало того что очень круты, так ещё и становятся в разы мощнее с каждым годом. Вот, например взгляните на график на слайде 11 http://satsmt2014.forsyte.at/files/2014/07/SAT-introduction.pdf (Evolution of the performance of some SAT solvers). Обратите внимание например на то, что те вещи которые решатели решали в 2009 за 1000 секунд, в 2012 уже решались за 200 секунд (на том же оборудовании). Я не нашёл более новых графиков, но полагаю что темп развития в целом сохраняется.
4. Задачи SAT и дискретной оптимизации очень схожи. Кроме того, дискретная оптимизация обычно проще в плане вычислительных затрат, потому что там сразу понятно, стало ли лучше или хуже при изменении аргумента, в отличие от SAT, где ясно только является ли аргумент решением, или нет.
Ну, и все эти слова про SAT это так, по сути только для того чтобы показать, что методы могут быть самыми неожиданными. Я не эксперт, я так, немного изучал вопрос, но для себя я точно понял, что современные методы криптоанализа очень и очень крутые, их много, и некоторые из них почти волшебные, поэтому сделать шифр на основе «как-нибудь чё-то накрутить, так чтобы самые очевидные методы не сработали» — это не вариант ну вот вообще никак.
А именно, выбрать любой большой файл, например, дистрибутив любой игры из своей библиотеки GOG (или VOB файл с DVD-диска с фильмом в шкафу), зашифровать его коротким паролем алгоритмом AES-CBC, и этим файлом ксорить защищаемый файл.
avi-шка матрицы :)
Ну вот и ещё одна иллюстрация к статье "Вы опасно некомпетентны в криптографии". Вы вот таким способом делаете у себя на компьютере шифрованный раздельчик. И считаете что у вас непобедимый Шифр Вернама.
На самом же деле, если как-то прознают, что ключ в войне и мире, останется только её побайтово перебрать, чтобы найти смещение старта ключа — секунда на современных компьютерах.
Если неизвестно, где именно ключ, смотрим дальше: сколько у вас на себе (на HDD, на флэшках, на CD) файлов, размер которых больше размера вашего криптоконтейнера? Умножаем условную секунду на это число, получаем время взлома. Всякие хитрости типа склейки файлов, прочтения задом наперёд и т.д. добавляют по мизеру энтропии к ключу.
Думали, что у нас абсолютная криптографическая стойкость, а оказалось задача на перебор готовой базы паролей.
Шифр Вернама требует истинно случайную последовательность для правильной работы — тогда перебором вы равновероятно можете зашифрованное сообщение расшифровать в любое сообщение той же длины. А вот такую последовательность уже хрен где спрячешь. Потому что этот шифр не предназначен для случая возможного перехвата блокнотов.
Если используются множество алгоритмов аля свои + опенсурсные, то энтропия растёт порядками
Кусочки файла можно еще хэшить и от хеша брать уже байты.
А спецслужбы никак не узнают, что это за один и тот же файл вы скачиваете и удаляете каждый день. А чем больше действий вы делаете для расшифровки, тем больше шансов наследить в ОС подробностями этих действий.
Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)
Так то я согласен, что opensource лучше, но с незнанием схемы шифрования можно помучаться.
Что только не сделают, чтобы человеческие криптоконтейнеры не использовать :)Насколько я знаю, TrueCrypt в режиме ключевой файл + пароль генерирует ключ фиксированной длины (256 бит, например) и им шифрует каждый сектор диска. То есть, от всех ключей остаётся 256 бит, и если в AES есть бэкдор, то криптоконтейнер оказывается слабее, чем схема, которую я описал в комментарии выше.
Про это вкратце писал выше. Не касаясь даже того что TrueCrypt настраивается.
Вот в мире достаточно всякого зашифровано в AES256. И, в принципе, можно представить сценарий кражи этак $10 млрд с этим знанием.
В таком случае, если у вас в этом контейнере нету чего-то на миллиард, то нет никакого смысла даже тайком применять этот бэкдор (если вдруг он есть), имея пусть даже мизерный шанс его запалить.
Для спецслужб замените суммы на эквивалентные угрозы.
По самописной реализации в статье есть намек, если была бы самописная реализация 40-битного шифрования, без исходников, АНБ бы разбиралось намного дольше, без гарантии успешного расшифрования. Там тоже живые люди, ну попробовали — не получилось, без исходного алгоритма.
Спрашивается, вот зачем все это велосипеды с XOR-ом? В сети полно хороших библиотек проверенных (сам недавно начал использовать bouncy castle для одного своего проекта). Если уж тааак хочется XOR-ить, то берем AES-CTR и вперёд.
Куда интереснее нормальную криптографию делать, а городить то, что потом стыдно на github выложить
Вот пример со сжатой информацией. Сжимаем текстовый документ так что в нем не остается ни одного бита избыточной информации неким идеальным алгоритмом. И случайно изменяем 1 бит информации, это и есть наш «ключ». Есть ли теоретическая возможность восстановить информацию?
Просто флипаем по очереди биты и проверяем, разжимается или нет. При длине сжатого сообщения в 1 кб перебрать придется всего 8 тыщ вариантов — т.е. ниачом.
Если знать, каким именно алгоритмом было сделано, то даже для сжатого текста размером 1Mb (после сжатия, те такой приличный текстище на десятки тысяч страниц) потребуется перебрать всего 8M вариантов "ключей" — это хуже, чем словарный пароль к архиву. Так что да, восстановить можно и очень просто.
Впрочем играйтесь сколько хотите, только не утверждайте что это хоть на 1% безопасное "шифрование". :-)
Просто надо всегда читать, что за ограничения идут на демо-период, да и вообще читать лицензию.
Тем более если ты — террорист :)
Мне показалось, что автор намекает, дескать вообще не надо пользоваться чужими программами для шифрования. Потому, что авторы под колпаком у спецслужб. Вежливо попросят исходники среди ночи — не откажут. А потребуют встроить бекдор или ослабить шифрование, кто будет рисковать и ради кого?
В 2018 несложно возбудить дело по подозрению в пособничестве терроризму и отмыванию. На основании этого заморозить счета, ограничить перемещения и связь, изъять оборудование. Текущий работодатель расстается на раз, вариантов нового трудоустройства практически ни каких. Как долго готовы существовать в таком режиме: неделю, месяц, год? Вопрос-то пустяк на пять минут, если решать по-хорошему.
Конкретно я, когда беру сомнительный заказ — рассуждаю и устанавливаю цену опираясь и на эти моменты в том числе. Особенно, если понимаю что утиль может быть использован в европе.
А за заказы, котрые потенциально могут быть использованы в РФ, типа создания ботнета на портале госуслуг, не берусь в принципе (да я в курсе, что для окончания регистрации надо с паспортом ножками пройти в центр обслуживания, но это не единственный способ, что дает уязвимость для системы в целом), — ищите других дураков, тут выбор простой — бабло или своя шкура. Ответ, как правило, очевиден.
PS: и тем не менее, если мне заказали софт и используют его неблагонадежным способом, то это проблема тех кто его использует и тех кто им противостоит. Это не моя война. Если что-то написано мной, то как минимум, с совестью удалось договориться.
Достаточно легко говорить о своих принципах сидя в теплом кресле и с какой-никакой уверенностью в завтрашнем дне. Куда сложнее оставаться верным им когда твоей семье есть нечего.
Про законность требования — вообще не упомянуто.
Автора именно убедили что надо помочь, не шантажом а словами. Он просто — доверяет как минимум АНБ. Ну да — патриотизм такой.
Да, пользуйтесь open source. Тогда никто ради вашей персоны не потревожит сонного программиста в полночь накануне 4 июля на западном побережии сша — все исходники уже лежат на гитхабе. А криптоустойчивость не зависит от obscurity
Да, история крутая, только ни одна история не обязана быть правдой.
- АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.
- История с цепочкой звонков… ну просто мало похожа на правду. Не станет агент выдавать кучу служебной информации просто так. Да и секретного для защищённой линии там по факту ничего не было, просто просили исходники. Разве что для убедительности всё было. А всё, что по военной базе, — выдал на незащищённой линии.
- Какая это защищённая линия, если разговор идёт по обычному телефону?
Но есть кое-что, что похоже на правду, — невероятная вежливость и убедительность звонящего. А если история правдива, то никакой секретной информации, от которой зависят жизни, могло и не быть (нужны были лишь исходники), да и даже исходники могли быть и не нужны, возможно цель была совсем в другом.
Если это и реклама, то реклама странная.
Так или иначе, ко всей информации должен применяться научный скептицизм.
Вы никогда не слышали, как человек, который Вам рассказывал много интересных случаев, разговаривая по телефону описывает только что произошедшую смешную ситуацию, свидетелем которой Вы стали?
Эээ, что что?
Т.е. этот хоровод с перезвонами именно убедить, что это официальная просьба правительственной организации а не мошенник или пранкер-стажёр.
Гм, а мне пришло в голову, что звонок АНБ может быть настоящим, сотрудник тоже настоящий, а действует он в личных целях.
Не станет агент выдавать кучу служебной информации просто так.
— 1) выдачи «служебной информации» описано так же не было (не считать же такой «способ дозвониться до Дейва»),
2) нулевая гипотеза (хотя бы потому, что об этом заявлял Дейв (как заявляет автор текста)) — в том, что это вовсе не «просто так» было.
Можно было подключится, оп, разговаривает кто-то, на другой канал-там тишина, набираешь номер и разговариваешь
Без идентификации, без установления соединения. Просто в радиоканал номер набрать? Да еще и с рации, которая о том, что такое DTMF, понятия не имеет в принципе? Равно как не имеет понятия и о сотовых протоколах?
Как-то… малоправдоподобно, если честно.
Подробностей уже не помню за давностью, но там вроде все проще с протоколами было.
Скорее это все-таки были не сотовые сети в общепринятом понимании, а что-то типа транкинговых.
Вот о чем и я. Это не сотовые сети были, а транкинг какой-нибудь, типа Алтая.
Маловероятно, но возможно.
Вопрос был не о защищенности линии, а о верификации звонящего.
Вы удостоверение АНБ видели когда-нибудь? А кто сказал, что вам показывают настоящее, а не поддельное?
В США сотрудники ФБР и АНБ в трудный случаях для подтверждения своих полномочий действительное просят позвонить по общеизвестному номеру (который можно получить независимо) и подтвердить, что они те, за кого себя выдают.
ФБР, например, имеет для этого сменные код для всей операции и каждого сотрудника. Звонишь на номер любого управления ФБР, диктуешь оператору код и он тебе говорит подтверждающую информацию. И в любом случае можно продиктовать номер удостоверения, имя и описание внешности и получить ответ да/нет.
А как иначе можно проверить настоящий перед тобой сотрудник или злоумышленник? Особенно, если сотрудник хочет чего-то большого. Кавалькаду с мигалками по каждому чиху только в кино высылают.
АНБ, думаю, может заполучить всё, что им требуется так, что человек просто об этом никогда не узнает.Не преувеличивайте возможности спецслужб. Там обычные люди работают. Не надо представлять их волшебниками. Они стараются выбирать наименее затратные методы получения информации.
АНБ следит за теми, кто интересуется Linux и информационной безопасностью
АНБ в реальном времени контролирует каналы между дата-центрами Yahoo! и Google
АНБ не справляется с объёмами трафика
Правда Сноудена
Ну и почему-то не смог найти статью, где хакеры увели у АНБ их архив наработок для взлома. Там рассказывалось про виртуализованную ОС, крутящуюся параллельно основной ОС, взлом через doc-файлы и прочее.
Так что не стоит недооценивать технические возможности обычных людей при наличии прекрасного финансирования и почти абсолютной власти.
как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Ха, я знаю и сорт кофе, какой пьет автор:-)
А мне кажется, это как раз не сложно. Пара звонков в контору, там можно узнать, что автор в отпуске и, возможно, куда хотел поехать. Наведение справок о родственниках (наверняка есть какая-то база, типа нашего загс). Звонок на вокзал/аэропорт и бинго.
пример поиска
Чел купил билет на самолёт…
Этого достаточно
Ну то есть автор программы по шифрованию без вопросов передал исходники какому-то дядьке, который звонил по телефону. Теперь этот дядька может расшифровать не только тот ноутбук, но и все компы, которые используют эту прогу. Нет, не такой безопасности хотел добиться Сноуден.
А какой-то дядька был очень вежлив и даже не стал давать номер телефона, а попросил сделать все через справочную.
Осталось только подключиться к этой линии и начать выдавать себя за справочную и так далее ;)
Это не должно пугать, даже наоборот. Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов. Без ключей, алгоритмы — это просто алгоритмы.
Это гарантия того, что алгоритмы будут перепроверены большим числом профессионалов.
Да-да, миллионы пользователей опенсорца каждый день делают его лучше…
1. Не гарантия, а некоторая вероятность.
2. Не большим числом профессионалов, а хотя бы одним.
И вишенкой:
3. Профессионалов недостаточно. Нужны именно профессиональные криптографы.
Ага, случай с Heartbleed подтверждает
Ну как нашли. Подтвердили факт наличия после того как информация об уязвимости была слита. Опенсорс тут не при чем. История появления мутного кода с ошибкой тоже выглядит странно.
Не "ну", а именно нашли за счет того, что код был OpenSource:
Название Heartbleed было придумано инженером финской компании Codenomicon, занимающейся информационной безопасностью. Они же придумали логотип в виде кровоточащего сердца и создали сайт heartbleed.com, чтобы рассказать об уязвимости сообществу. Codenomicon объявила 3 апреля 2014 датой обнаружения бага и датой сообщения об этом Национальному Центру Компьютерной Безопасности Финляндии для отслеживания уязвимости.А теперь догадайтесь с 3-х раз, если мутные дяди умудряются пихнуть дырявый код в OpenSource, то что они делают с закрытым кодом?!..
OpenSource, слава Б-гу, пусть через год-два, но позволяет обнаружить и устранить баги, а не слушать десятилетиями "честные истории" корпораций и шароварщиков, млеющих от кружки с логотипом "АНБ".
Там не говорится, что они нашли уязвимость, копаясь в исходниках. Секъюрити обычно имеют дело с инцедентами, когда замечают необычное поведение системы. Т.е кто то нашел раньше и использовал для атаки, а безопасники обнаружили и слили инфу в паблик (совершенно не факт, что вот прямо так сразу — как гласит легенда некоторые компании обнаружили и закрыли дырку даже раньше, а значит их сотрудники наверняка пытались гуглить по признакам инцедента, и гугл на момент принятия решения о публикации был в курсе, что они не единственные кто обнаружил). Разобрались в коде и выпустили заплатку лишь через неделю после официального анонса дыры.
Нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, просто поверит атакующему, что тот залогинен и верификация не нужна.
4 года смотрели, благо, что эта библиотека практически не используется для развёртывания серверов, а то было бы намного болезненнее.
Пока читал во мне все сильнее зрели подозрения что автора развели. Возможно методами социальной инженерии из него выманили всю необходимую информацию для расшифровки
Скорее всего это даже не АНБ. Тоже странная история с посылкой. Ведь нужно было не просто обмануть а сделать так что даже спустя 18 лет никто не подумал об этом. Тем более автор сам сказал что такую кружку можно купить в сувенирном магазине.
Ну нашли вы телефонный столб — дальше что?
Хотя если заморочиться, и, скажем, встать на пару не простой трубкой, а кое-чем похитрее… чтобы атакуемый думал, что звонит в город, а на самом деле — нет… мороки больно много. Имитировать разные голоса «операторов», проключающих звонок дальше…
Скажу так — не нереально, но возни много. И все ради исходников шароварной проги, с заведомо не очень надежным шифрованием?
А на деле, если кому-то нужно, он может купить готовое устройство чуть ли не в супермаркете. Готовая поддельная базовая станция для GSM стоит менее $1500, а для проводных телефонов хватит мини-АТС из магазина оргтехники!
Вы так говорите, будто это устройство придется разработать лично вам, а потом собственноручно спаять.
Ума не приложу, где вы умудрились это увидеть.
А если же серьёзно — всё это такая ерунда, на фоне задержания пограничника с друзьями, продавшего анкеты «туристов» англичанам, по делу солсбери…
Раньше вроде погранцы это ФСБ были, сейчас не знаю, но именно так всё и происходит. Сливы любых документов «сотрудниками» это признак какой-то системной неадекватности силовиков. Похоже даже спецслужбы Зимбабве могут запросто прийти и за бабло под коньячок завладеть любым документом в России. Что это — не понимание своей ответственности или заведомо избыточный сбор данных специально предназначенный к продаже. Какой-то «день опричника» во всей своей красе «гусеницы».
Без законодательного запрета на сбор данных иного и не будет. Охранники, бесконечные анкетеры, фальшивые работодатели и кадровые агентства, даже в библиотеке у детей ксерокопию паспорта требуют… Все же понимают, куда весь этот поток копий документов идёт. Ну не можете избавиться от идиотов на службе, избавьтесь от документов — избыток документов ведет к избытку собираемых сведений и злоупотреблений ими. Государство могло избавится от паспорта, оставив лишь загран и водительские права, могло отказаться от десятка удостоверений личности, но оно даже трудовые книжки отменить не смогло, зато дополнительно ввело уэк и его клоны в регионах.
Государство могло избавится от паспорта, оставив лишь загран и водительские права
А тех, у кого нет машины и кто не ездит заграницу оставим без документов?
скорее всего, ему и паспорт не понадобится.
Конечно конечно, а квартира, машина и наследства у таких людей заберем в пользу государства. Да, не забудьте таких людей при встрече с полицейскими отправлять на принудительные работы до выяснения личности. [/sarcasm]
куча других удостоверений личности
да да, разумеется нужно дать возможность продавать квартиры, дома и бизнесы при предъявлении читательсткого билета деревни Кукуево. Кстати, тогда и библиотекорям в этой деревне платит зар.плату не нужно будет. Двойная польза. [/sarcasm]
Большинство идентификаторов — мед.полис, ИНН, СНИЛС нужны, чтобы не светить всем номер паспорта, так как знаю номер паспорта уже относительно просто сделать поделку. Учитывая, что к номеру мед.полиса есть доступ почти у всех мед.работников, а ИНН вообще публичный — довольно опрометчиво заменять их номером паспорта.
Но, возможно, стоит добавить?
Не стоит, зачем вместо одного паспорта иметь десять «паспортов»? Хауса и подделок сразу станет в десять раз больше.
Заменить все ИНН, СНИЛСЫ и мед.полисы одним номером — в теории вполне можно, у нас в Люксембурге так и сделали, проблема тут с обратной совместимостью, в России море баз данных и документов завязано на эти номера (просто потому что физически не было Интернета и одной общей базы) и сейчас поменять ОЧЕНЬ дорого.
Уверены, что хотите раздавать номер паспорта всем подряд взамен ИНН?А в чем проблема?
зачем вместо одного паспорта иметь десять «паспортов»?Вот, именно об этом я и пишу! Сейчас у нас множество различных документов, а было бы здорово иметь меньшее их количество, и не все из них иметь обязательными. Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?
Например, совершенно непонятно, почему паспортов два — внутренний и заграничный, почему нельзя оставить один из них, выдаваемый всем желающим, по которому можно ездить за границу?
Потому что:
1. Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 лет, обычный паспорт меняют один раз в жизни (не считая браков),
2. Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовлении,
3. Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,
4. В обычном паспорте куча страниц с пропиской, семейным положением, детьми и прочим, на них уже завязаны разные процессы, в загранпаспорте куча страниц с визами, то есть общий паспорт будет в два раза тольще (и дороже),
5. При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русском,
6. При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданин,
7. У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченным,
8. Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспорта,
9. Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницы,
10. Для оформления визы часто забирают загранпаспорт в посольство страны, при универсальном паспорте человек на время оформления (иногда месяцы) становится непонятно кем, без возможности купить спиртное, заключить любую сделку, поменять товар и даже доехать до другого города (так как на поезда, самолеты, международные автобусы требуют паспорт), так же его может забрать любой патруль до выяснения личности (а без всяких документов — долго)
Причем в отличии от остальных процессов, посольства вряд ли будут менять свои процессы для одной странной страны.
11. При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.
Достаточно?
И по поводу п. 10: а из чего, собственно, подразумевается, что паспорт должен быть только один (С. McCloud)? На пример один мой знакомый англичанин (ну он реально очень много ездиет причём далеко не всегда в образцовые страны) имеет постоянно от 3х до 4х паспортов (в некоторых посольствах и 2 месяца может паспорт лежать на оформлении визы)
уже много много лет просто паспорт без всяких там разделений загран/внутреннийСкоро это изменится. Будет внутренняя ID-карта и загран с биометрией.
а из чего, собственно, подразумевается, что паспорт должен быть только один
А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
Англоязычным проще, им не нужно переводить свой язык на английский.
И ничего — всё как то нормально так себе работает.
Никто не говорит, что это невозможно. Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов.
А тогда какой смысл иметь один универсальный паспорт, если для нормального использования их все равно нужно несколько?
Англоязычным проще, им не нужно переводить свой язык на английский.
Несколько из разных типов, из каждого один или несколько из одного типа — нет разницы?
Про англоязычных вообще к чему?
Речь только о том, что у текущей модели двух паспортов тоже есть вполне очевидные плюсы. Насколько удобно в Беларуссии нужно мнение самих Белоруссов
Ещё более некорректный аргумент не смогли привести? Насколько Пол Пот плохой лидер нужно мнение самих камбоджийцев, а вы тут не смейте, так? Есть жеж вполне себе однозначные мнения по к-л вопросом у белорусов, россиян, австралийцев и землян в конце концов, так?
А мужики то и не знали, что в практически любой системе/структуре/ситуации есть ряд плюсов и минусов. Про теории оптимизации слыхом не слыхивали.
Ну да ладно — я там (в РБ) периодически живу. Устроит так?
Вообще, в порядке офтопа, в плане повышения уровня корректности дискуссии, возможно было бы ввести м.б. запрет ставить оценки оппоненту, с которым вступил в спор (ибо весьма часто — чисто эмоционально, а вовсе не объективно), м.б. «цену оценки» (по типу поставил 10 -20 минусов — у самого на 1 пункт меньше, в самом деле — если столько много минусов приходиться ставить — все вокруг дураки? если так, то не центральный ли вы?)
2. Проблема хабра в том, что после разрешения комментировать всем, на хабре появилось море троддей без всяких статьей, который сначала пишут нормальные комментарии, а потом начинают троллить. Чем быстрее такие товарищи уйдут в глубокий минус тем лучше.
3. Про изменения системы минусов и кармы: опять-таки, почему-то почти все стенания о том какая плохая система на хабре от только зарегестрированых пользователей с десятком комментариев, нулем статей и глубоким минусов в карме (интересно почему?),
4. По сути вопроса: alexeykuzmin0 сказал, что ему совершенно непонятно зачем нужно два паспорта (подразумевая, что один паспорт лучше во всех случаях), я привел причины по которым, иногда два паспорта предпочтительнее одного. Я не собираюсь спорить, какой вариант идеальнее и лучше в условиях России (это тянет на полноценное научное исследование), я просто написал, что вариант двух паспорта имеет свои плюсы. С кем и о чем вы там спорите совершенно непонятно.
"… переход на личности..." — обвинять в этом, в том же посте, где сам признался, что тихо заминусил вовсе не по сути поста — это пять)))
"… и не имеют никого вклада в виде самой завалящей статьи..." — наличие статей даёт +100500 или хотя бы чуть более нуля к силе и корректности аргументов? Не знал.
"… я просто написал, что вариант двух паспорта имеет свои плюсы..." (я просто разместил объяву, мопед не мой) — уже же указал на то, что " в практически любой системе/структуре/ситуации есть ряд плюсов и минусов" — это банальность, тогда по любому вопросу можно написать 152 экрана постов. Лавры КО не дают покоя? Иначе, отбрасывая вариант графомании, совершенно непонятно для кого и для чего вы это указали.
Будьте послушным юношей: Минус — пли!
Удачи!
Загранпаспорт, насколько я знаю, по международным законам нужно менять с течении 10-15 летЕсли вы о правиле ICAO, то в нем написано, что оно «рекомендуется к исполнению», а не обязательно.
Загранпаспорт с биометрией, как я понимаю, значительно дороже обычного в изготовленииУж точно не дороже, чем пара загранпаспорт с биометрией + внутренний паспорт.
Сейчас загранпаспортов нет у больше чем половины населения, то есть изготовления заграна для всех значит повышения налогов для всех, чтобы дать их каждому пенсионеру и бомжу,Вовсе не обязательно. Просто выдаем вместо всех новых внутренних и заграничных паспортов эти новые «универсальные» паспорта, лет через 20 у +-всех они будут.
При получении многих долгосрочных виз требуется сертифицированная копия всех страниц заграна, стоимость таких копий будет существенно дороже, особенно если потребуется перевод всех страниц на русскомВсех страниц с визами и главной страницы обычно, а не вообще всех. Количество этих страниц никак не меняется при переходе на универсальный паспорт.
При потере заграна, человек за границей вообще становится букашкой без всяких документов, что он вообще гражданинВывоз внутреннего паспорта за пределы РФ запрещен законом. Собственно, а что происходит при потере человеком внутреннего паспорта сейчас? Казалось бы, при потере «универсального» можно делать то же самое.
У часто ездящих людей, все страницы заграна заканчиваются за год, то есть ему придется постоянно менять этот документ, без паспорта невозможно заключать никакие сделки, никуда ездить, то есть на время замены он оказывается совсем ограниченнымПри смене паспорта можно отдать старый в день получения нового.
Не каждый гражданин России имеет право уехать за границу (например кто имеет допуск к гостайне), сейчас его завернут еще на этапе оформления паспортаНе вижу необходимости в запрете на выдачу загранов невыездным.
Странные страницы с русским текстом (прописка, дети, военообязаность) могут вызывать вопросы у таможеников других стран, то есть возможно их тоже потребуется переводить на английский, что увеличивает кол-во страницыВы загран видели когда-нибудь? На странице с фото все надписи дублированы: русский и английский. Насчет же «избыточных» данных — ну вот я сейчас живу в Лондоне, так тут на каждый чих нужен proof of address. Мне было бы очень удобно, если бы в моем загране была прописка, которая им подходила. В сто раз удобнее, чем искать счета за ЖКХ и ходить с ними. Опять же, данные о военнообязанности, семейном положении и детях мне потребовались для визы — было бы лишь удобнее, если бы они были прямо в паспорте.
Для оформления визы часто забирают загранпаспорт в посольство страныОбычно можно сдать паспорт уже после получения решения о визе, чисто для вклейки. То же самое происходит, например, в ЗАГСах при регистрации брака без смены фамилии. Опять же, если уж очень надо — пусть те, кому надо, получат второй загран. Зачем обязывать к этому всех?
При оформлении визы отдавать свой главный документ агенту на недели и месяцы — весьма большой риск получить потом кредит на свое имя.Прямо большой? Сомневаюсь, ведь не слышно о массовых случаях получения кредитов на чужие имена сотрудниками паспортных столов.
Достаточно?С некоторой натяжкой относящимся к реальному миру можно считать только пункт 11. На мой взгляд, он не перевешивает плюсов от уменьшения бюрократии.
Но мне больше видится другая история: хакер действительно говорил с сотрудником АНБ (но не за кружку, конечно, а за неплохое «вознаграждение» и возможность «сотрудничать в будущем»).
С возрастом левая дурь у чувака из башки выветрилась, он позвонил по известной схеме (агент не просто так засветил канал) и попросился на работу с окладом $10000 чистыми в месяц в непыльном кабинете с неглупыми вежливыми дяденьками.
Ну а плаксивая история с кружкой — это PR-HR-отделы АНБ попросили уже проверенного штатного (внештаного?) сотрудника за премию в $20000 накалякать PR-статью, чтоб привлечь молодняк в агенство и заодно поумерить прыть юных борцунов с системой.
. Ну хорошо, встали мы на пару… или на кросс. Как сделать так, чтобы при наборе 411 звонок не ушел куда не надо?
Отдельная АТС, специализированная под такие перехваты?
Весь вопрос в том кому реально может быть нужен исходный код и зачем. Если исключить анекдот про «спасающего мир» АНБшника, и вопрос жизни и смерти, который разрешает нарушать процедуру, но запрещает привлечь автора как эксперта?
но запрещает привлечь автора как эксперта?
Может дело в «ошибке выжившего»? Есть сотни таких же людей, но которых официально привлекли как эксперта и они не могут рассказать эту историю из-за соглашения о неразглашении. И мы узнали только ту странную историю, где автора привлекли без такого соглашения
Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов
В США, Коннектикут разве это может быть не отдельно стоящий дом на одну семью?
Это может сработать только при условии, что автор статьи жил в отдельно стоящем доме, куда уходит своя пара медных проводов.
90% американцев так и живут
Полагать можно что скомпрометирована телефонная сеть, а злоумышленник сидит под ближайшим телефонным столбом.Хз что там было на самом деле, но можно придумать 100500 способов верификации при которых этот трюк не пройдёт. Да и, вероятно, не стоило оно того.
Никому не доверять.
Вот представьте вам в 2 часа ночи, позвонит незнакомый представится агентом ФСБ, ГРУ, и вежливо попросит вас исходники вашей программы, помощь в анализе данных этой программе. В целях национальной безопасности и все такое…
Что бы будете делать?
черт, не догадался попросить кружку, а сами не дали!
Вероятно злоумышленниками были нелегально получены(финансовые, технические, корпоративные и т. д.) очень важные данные зашифрованные этой программой. Код был получен из открытых источников. От автора планировалось получить дополнительную информацию и консультацию по расшифровке. Но необходимо это сделать это незаметно для всех, не скомпромитировать себя. Нужно сделать так чтобы автор до последнего думал что это спец службы и он помогает Родине.
Дальше жуткий офтоп, заранее прошу прощения.
Я не могу понять зачем была написана эта статья? Автор похвастался как помог АНБ получить нелегальный доступ к чужим данным. Причем насколько я заметил он сам сомневался в том что это АНБ.
Вообще это отличный кейс пример на курсе информационная безопасность как делать нельзя. И автор написавший не абы какую программу, а программу шифрования не мог этого не понимать.
Но одна вещь сидит у меня в голове все эти годы: как, чёрт возьми, Дэйв выследил меня за 3000 миль от дома посреди ночи в тот жаркий летний вечер в Бристоле, штат Коннектикут?
Для поддержания правдоподобности истории необходимо было продемонстрировать возможности спецслужб по розыску людей.
Очень просто. 4 июля — день независимости, национальный праздник. Предполагается что автор встречать его будет в кругу семьи. Где семья? Где родители? в Коннектикуте. Скорей всего атака планировалась заранее.
(TL;DR:
1) бессмысленно, он им размеры некоторых заголовков только дал, прога не скомпроментирована
2) «But I know it was real [АНБ, А.Г.]» он с ними встречался несколько месяцев спустя (по не связанному с этим делу), и они его накормили бесплатным обедом, что, с учетом отсутствия угрозы проге — оверкилл в «заговороделанье»).
Однако, про сам факт помощи тут есть нюанс: ровно с такой же вероятностью это мог быть ноутбук орнитолога-любителя, случайно заснявшего как условный сенатор делает нечто весьма нехорошее.
Подтверждаю ) обращались как то за помощью. Мог бы отказать, но было жутко интересно. Но никакую кружку не подарили...
Но мы откажемся… И бьют они жестоко,
Люди, люди, люди…
В.С. Высоцкий, «Песня Бродского»
Если он угнан террористами, то почему нет?
Представьте, что вы сами находитесь в таком самолете — и вы найдете ответ на свой вопрос.
Во-вторых, самолеты угоняли до этого десятки и, может быть, сотни раз, они пролетали разные густонаселенные районы, но никто из угонщиков в здания самолеты не направлял. А сбить угнанный летательный аппарат это гарантированная гибель сотен пассажиров.
Нахожусь уже над Holland Tunnel, на траверзе Canal Street, как вижу с противоположной стороны, где-то метрах на 500 идёт «737» (на первый взгляд), впринципе там он и ожидался, т.к. визуальный заход в Ла Гвардию проходит как раз по реке и сам факт нахождения авиалайнера там совершенно не ставился под сомнение, ну может чуть ниже чем обычно, тоже небось поглазеть хотел, но никаких подозрений он не вызывал.
www.maxho.com/index.php/maxhocom/8-main/479-wtc.html
а пройдет пару лет и охрана этого эропорта ничего не сделает для предотвращения взрыва нашего самолета
как он узнал мое имя?
Открыть базе билетов (доступ есть, раз сотрудник с бейджем), и найти русских (шалили, небость, с криками на русском языке) с одним ребёнком мужского пола, вылетающих в Россию рейсом, регистрация которого начнётся через час (обычно сильно заранее не приезжают), так неимоверно сложно?
и зачем
Это правило жизни в нашей стране постигается не сразу и не всеми. Но тем не менее, да — АНБ не представляет угрозы для меня, даже гипотетической. А вот ФСБ в любой момент способна растоптать всю жизнь по любому непредсказуемому предлогу, даже самому нелепому. Хотя бы за пост в соцсетях.
Реальная история.
Думаю, будь это и правда АНБ, к человеку пришли бы лично, показали бы удостоверение и заставили подписать всяких конфиденциалок и неразглашений, и нехило взгрели бы уже за эту статью, которую нам тут перевели.
А по поводу пришли бы лично, я думаю, вы плохо понимаете как работают спец. службы. Там тоже люди, они ценят свое время, не умеют телепортироваться и в целом ресурсы у них могут быть хоть и большие, но не бесконечные. Если можно решить вопрос быстро и без шума, то его так и будут решать. Далеко не каждый аспект там супер-секретный, чтобы ради него спец. операцию организовывать.
А взгревать за статью о неком Дейве который позвонил почти 20 лет назад, это особенно странно. Что такого в статье? Люди из АНБ умеют звонить другим людям и о чем-то с ними говорить? ужас какой, все покровы сорвали.
Не. Эти с людьми общаются крайне редко и никогда лично ( кроме шишек, но шишки не знают ничего существенного ). Шуточная расшифровка NSA — No Such Agency.
Даже тем, кто не сильно в теме, СМИ довольно доходчиво доносят, что через соц. сети весьма просто «спалить» свое местоположение (регулярно публикуя фейлы от политиков и чиновников, которые рассказывают как они напряженно работают, а в тегах светится очередная Ницца).
Недавно со мной курьезный случай произошел. Внедорожная экспедиция в горах, целых день пилили, доехали до какого-то хутора, где даже моб связь не ловит, на ночевку. При чем, планы поменял в самый последний момент, должен был останавливаться в 15 километрах севернее.
Садимся ужинать, подходит «официант» (паренек помогал хозяйке на стол накрывать). Говорят, вас к телефону, из СБУ. Я удивился, но попросил уточнить кого конкретно ищут. Уже представлял доблестного сотрудника, глядящего на меня прямо через спутник и вспоминал, что такого от меня могло понадобиться СБУ.
Оказалось, что ищут некого Валентина, с нами в группе такого не было. И вообще походу номером ошиблись. А возьми я трубку сходу, гляди и тоже какие-то исходники бы попросили))
А был ли Дэйв? Ведь кружку можно просто купить в сувенирном магазине.
Или розыгрыш друзей, чтобы вывести автора из депрессии. Предварительно позвонили в справочную и попросили девушку дать номер «секретной лаборатории» когда спросят. Вроде она не нарушила устава, спросили телефон, продиктовала телефон, что и требуется по работе. Кружка как-раз дружеский признак, по работе, за типовую помощь маловероятно чтобы заморачивались с подарком.
А российское ФСБ пытает задержанных программистов током. Мы с вами вряд ли в Гуантанамо попадем, а вот в ФСБ — вполне реально, особенно в случае неосторожных высказываний в Интернете.
Ну и убийство нашими спецслужбами своих граждан за рубежом, да еще и с применением химоружия — тоже некрасивая страница истории.
У меня была история, когда обращались за кое какой помощью ФСБ. Нормально среагировал. И нормально реагировали те, кому об этом рассказывал. До сих пор по некоторым вопросам общаемся, вполне себе вежливые и адекватные люди.
А может и не было вообще ничего? А это все такая нативная реклама софта
Представляете, сколько кружек ФСБ в офисе ВК?
~ 2001-2 год. Суббота, 07:30 утра. Звонок в дверь, супруга пошла открывать. Испуганная приходит в спальню, говорит, что это ко мне. Надеваю шорты/футболку выхожу в коридор и удивляюсь: стоит полковник милиции и два ОМОНовца в брониках, касках и с автоматами. Да, мы с женой такого не ожидали!
Полковник очень вежливо просил перезвонить директору компании, в которой я работал. Ребёнок был маленький и звук моб телефона на ночь я отключал. Как выяснилось, из нашей телефонной сети был совершен вызов о минировании городских объектов, Ростелеком не мог знать, где установлены телефоны нашей сети небольшого регионального оператора и сообщил контакт нашего директора, который названивал уже мне.
Быстро одевшись, поехали с мигалками на работу. Место установки телефона по данным техотдела определили, CDR отгрузили на диск.
К счастью, сообщение оказалось ложным. Абонент бухал с вечера пятницы всю ночь с друзьями и под утро решили развлечься… выходные были сорваны.
Благодарственное письмо на компанию от УВД за содействие при проведении ОРМ и воспоминания до сих пор.
Дейв оказался не очень щедр. Такая чашка продается в сувенирном магазине при музее АНБ за десять баксов.
Звонивший извинился за поздний звонок и сказал, что его зовут Дэйв. Он попросил взять ручку и бумагу, потому что собирался дать несколько важных инструкций, которые позволят подтвердить его личность. И тогда ошеломил меня фразой: «Это вопрос национальной безопасности».
Некоторые из моих родных начали собираться рядом с кухней, где я стоял у стены с телефоном. Чёрт возьми, что происходит? Я посигналил брату принести ручку.
Я пытался осмыслить происходящее. Как ни странно, даже не догадался спросить у Дэйва, как он получил этот номер. Мужчина казался серьёзным и говорил авторитетным голосом; думаю, я уже поверил, что он имеет на это право.
…
Оказалось, что сотрудникам безопасности необходим доступ к файлам по выездам двух граждан РФ.
…
У них ситуация с национальной безопасностью, требующая немедленного доступа к этим файлам, и им нужна моя помощь. А конкретно, если я им помогу, возможно, они получат доступ к файлам быстрее, чем без моей помощи. Время имело существенное значение: отсюда и звонок посреди ночи.
…
Если АНБ не получит доступа к файлам, случатся неприятности. Может, умрут люди
…
Я упоминаю вежливость Дэйва, потому что она казалась необычной и особенно странной — он был слишком приятным. Казалось, что он предполагает или готов принять отказ. И если бы на его месте был кто-то иной в другой ситуации, так бы и произошло. Но здесь казалось, что дело важное, и просто нет времени на обсуждение.
…
Через несколько дней я вернулся на службу, и в моём офисе стояла коробка без опознавательных знаков, с указанием моего имени. Внутри, завёрнутая в белую папиросную бумагу, лежала синяя чашка для кофе АНБ с рукописной запиской на обычной белой бумаге: «Спасибо. Дэйв».
P.S.
ФСБ РФ провела массовые мероприятия в отношении частных сыщиков и просто лиц, занимающихся продажей выписок из «закрытых» баз данных, в первую очередь, предоставлявших информацию о перемещении граждан через границу, а также из базы «Роспаспорт» и из базы ФНС об имуществе россиян.
«По моим данным, прямо на рабочем месте были задержаны сотрудник погранслужбы в Северо-Западном регионе и сотрудник одного из подразделений ФНС. Первый, как полагают, продал информацию о перемещении за границу Петрова, Боширова и ряда других лиц», — рассказал источник агентства.
Кстати, взлом слабостойкой защиты должен выполняться на суперкомпьютерах, а не путём выпрашивания исходников, особенно будь реально речь о «родина опасносте». Даже сам автор говорит, что хакер на одной машине вскроет за два дня. Масштабировав же на 10 тысяч высокопроизводительных машин, получат результат моментально.
Опять-таки, зачем звонящему раскрывать своё местоположение, оно же не было использовано для верификации, да и судя по рассказу, звонивший был не склонен раскрывать лишние детали.
Моё мнение: захватывающая история придумана рассказчиком для рекламы своей программы. Но история хороша.
У Шнайера есть хорошая аналогия: криптография — это офигенно прочная дверь сейфового типа. Чтобы ее взломать, нужно потратить очень много усилий. Вот только если вы вставите эту дверь в стену из говна и палок, то вор даже не будет пытаться взломать дверь — он может просто ударить ногой по стене и войти рядом с дверью.
Аналогично, если ключик от двери лежит под ковриком — то тоже не обязательно дверь ломать. Ее можно просто открыть ключом. :)
Возвращаясь к криптографии: автор мог неудачно применить криптографическую функцию, в результате чего ее взлом займет не сотни лет, а несколько минут. Например, использовать слабый ключ (аналог стены из говна и палок: слабые ключи ломать легче, чем перебирать все возможное пространство ключей). Или вообще пароль положить рядом с зашифрованной информацией, слегка прикрыв его от любопытных глаз (аналог ключа под ковриком).
а с модификацией понятно, но непонятно зачем,
«PS: Маша, срочно тащи чемоданчик с документами к проходной — там будет ждать курьер с балаклавой на морде».
сломать одинакого и шифрацию и дешифрацию случайно довольно сложно
Сеть Фейстеля достаточно похожа в работе как на шифрование, так и дешифрование, порядок действий только обратный.
А если все же есть желание общаться с Дейвом — в такой ситуации логично было бы потребовать оплату передаваемых исходных кодов. АНБ запрашивает или нет, а данный сорс — это коммерческий продукт, плод труда программистов, и если кто-то хочет получить его — он должен быть оплачен.
Если бы Дейв начал кочевряжиться насчет оплаты — поинтересоваться у него, действительно реальна ли угроза взрыва или чего-то подобного (раз у него есть возможность тянуть время и торговаться), или он просто словил свою жену с любовником, и хочет расшифровать ее ноут, чтобы иметь компромат при разводе.
Почему мне посреди ночи позвонили из АНБ и попросили исходники