Комментарии 55
Великобритания планирует запретить end-to-end шифрование
обяжет предоставлять дешифрованные данные по требованиюА кто-то еще на ализара ругается
Начать с того, что The Sun — тот еще источник достоверной информации…
Предложение «воздержаться от использования сложных методов шифрования» по сути тождественно «обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости». Соответственно, и злоумышленникам будет радость от такого решения.
Англичане закон, конечно, не примут, но наши депутаты будут на него ссылаться каждый раз, когда захотят оттяпать ещё немножко приватности.
Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
Так что 1984 в котором рассказывалось про Британию — становится реальностью.
PS в одной из старейших конституционных монархий (старейшая — Япония), документ играющий роль конституции — Великая Хартия Вольностей, формально конституцией не является.
Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
Не подскажите, где можно почитать об этом? А то найти не могу.
И, что примечательно, ресурсы работают без https…
Божечке мои… У меня есть старый шифрованный True Crypt диск…
Я от него забыл пароль. Вернее, я уверен что помню пароль. Но по неизвестной мне причине диск монтироваться не хочет…
ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска…
Я от него забыл пароль. Вернее, я уверен что помню пароль. Но по неизвестной мне причине диск монтироваться не хочет…
ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска…
ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого дискаЕсли к вам придут — у вас жопа не из-за диска будет, не просто же так пришли-то :)
На самом деле, в законе (пункт 50.3) написано, что если человек не обладает ключом или информацией, которую нужно расшифровать, то закон обязывает его просто сотрудничать таким же образом со следствием в отношении других своих ключей и информации (если не так понял — поправьте)
НЛО прилетело и опубликовало эту надпись здесь
Дстаточно открыть возможность писать плагины для приложений, позволяя осуществлять e2e-шифрование самим пользователям.
Опять эпоха борьбы с PGP?
Запрещать провайдерам end-to-end шифрование абсурдно, поскольку по определению им занимается не провайдер, а пользователи. А если встроенные инструменты уберут, то пользователи все равно смогут пересылать зашифрованный контент.
В Британии уже есть уголовная статья за отказ предоставить пароль, значит будет и уголовная статья за PGP.
А если на самом деле забыл пароль, что делать?
Использовать e2e без пароля.
В самом деле, приватный ключ должен использоваться только для удостоверения личности, а не для шифрования. Шифрование нужно делать механизмами Perfect forward secrecy, а сообщения автоматически удалять после 10 минут от прочтения (в случае голосового общения ещё проще — не вести запись).
Тогда и спросить с тебя будет нечего. Заберут устройство, получат удостоверяющий личность закрытый ключ, а ты тем временем пишешь в твиттер, что ключ скомпрометирован и если с вами связываюсь я, то это — не я.
Потом просто перевыпустишь идентификационные ключи, и всё.
В самом деле, приватный ключ должен использоваться только для удостоверения личности, а не для шифрования. Шифрование нужно делать механизмами Perfect forward secrecy, а сообщения автоматически удалять после 10 минут от прочтения (в случае голосового общения ещё проще — не вести запись).
Тогда и спросить с тебя будет нечего. Заберут устройство, получат удостоверяющий личность закрытый ключ, а ты тем временем пишешь в твиттер, что ключ скомпрометирован и если с вами связываюсь я, то это — не я.
Потом просто перевыпустишь идентификационные ключи, и всё.
Да я не про то, пароль ведь может быть от зашифрованных данных на диске. Я обязан его предоставлять? И если обязан и забыл, то тогда что? Нужно ведь доказать, что я пароль злонамеренно не говорю, а не забыл. Короче вся эта возня вокруг паролей такая же хрень как и с полиграфом. Ты можешь отказаться, но тогда тебя будут подозревать, что ты что-то скрываешь.
С технической точки зрения все будут пользоваться плагинами/софтом с нормальным шифрованием и всё. Чтобы к тебе пришли за паролем нужно попасть каким-то образом под подозрение, а чтобы попасть под подозрение нужно посмотреть твой трафик. А если куча людей будет пользоваться «запрещённым шифрованием» ко всем не набегаешься.
С технической точки зрения все будут пользоваться плагинами/софтом с нормальным шифрованием и всё. Чтобы к тебе пришли за паролем нужно попасть каким-то образом под подозрение, а чтобы попасть под подозрение нужно посмотреть твой трафик. А если куча людей будет пользоваться «запрещённым шифрованием» ко всем не набегаешься.
- Отказ от сотрудничества с органами дознания.
- Использование некого программного обеспечения.
Вроде самую малость не одно и то же, и даже не в одной категории.
А что дальше? Ведь есть ещё стеганография.
Насколько я понимаю, требование не к провайдерам, а к владельцам мессенджеров.
А может, британские власти надеются, что после принятия данного закона законопослушные террористы и педофилы откажутся от end-to-end шифрования?
Тот, кто отдаёт свою свободу за безопасность, не получает ни того ни другого (с)
Мне все-таки интересно, когда до государевых мужей дойдет осознание того банального факта, что момент уже упущен и фарш назад не провернуть — сейчас любой босяк с телефоном может сделать себе мессенджер с шифрованием. И произойдет это примерно через 5 дней после запрета вацапа, телеги и других. Из которых три дня будет качаться android studio на плохом интернете.
Проблема в том, что в таком случае полицаи придут уже к нему.
Автор софта может быть в юрисдикции другого государства. И вообще, в гугл маркете это не мессенджер, а бездарная игра типа 3-в-ряд, или тетрис, где мессенджер открывается после секретного жеста по экрану.
Удачи в поисках, полицаи-пограничники.
Удачи в поисках, полицаи-пограничники.
«К нему» в смысле к пользователю. И то, что пользователь вдруг не знает ключей и алгоритмов, используемых чатом внутри его тетриса окажется его личной проблемой. Была же история, когда за файл со случайными числами (шум с матрицы телескопа) посадили человека.
Читайте мой коммент выше про Perfect forward secrecy.
Пользователю не нужно знать никакой пароль. Приложение должно генерировать секретный ключ исключительно для идентификации абонента и он открыто лежит на устройстве.
Только он полезен полицаям только в одном сценарии — при попытке выдать себя за абонента в последующих сеансах связи. Что пресекается открытым распространением инфы, что аккаунт/устройство/ключ скомпрометированы.
Пользователю не нужно знать никакой пароль. Приложение должно генерировать секретный ключ исключительно для идентификации абонента и он открыто лежит на устройстве.
Только он полезен полицаям только в одном сценарии — при попытке выдать себя за абонента в последующих сеансах связи. Что пресекается открытым распространением инфы, что аккаунт/устройство/ключ скомпрометированы.
Проблема полицаев в том, что если этот месенджер будет пересылать фотографии котиков, содержащие в себе стеганограммы сообщений, то они, не то, что доказать, но, даже, обнаружить, такие сообщения, не смогут. А если, даже, и возникнут, у них, какие-то сомнения, то пускай приходят — пользователь без труда предоставит им фотографии котиков.
P.S.: Фотографии котиков могут передаваться и через обычные месенджеры…
P.S.: Фотографии котиков могут передаваться и через обычные месенджеры…
Ввести обязательным сжимание жпегом на 80-90% качества. То же для MP3 и прочего. За подделку meta-информации или jpegrar — 5 лет строгача. За png — расстрел на месте.
Фотографии котиков могут передаваться и через обычные месенджерыКак показывает практика тот же Viber при передаче фотографии выполняет над ней некоторую обработку, в частности «пережимает» для снижения размера. Вот только клиент или серверная часть — не озадачивался.
А что за история?
Вроде не посадили, а продержали в аэропорту.
Для начала надо найти автора безымянного apk, распространяющегося по торрентам да файлопомойкам. Вы же не думаете, что кто-то будет заморачиваться с попаданием в стор? :)
Вы переоцениваете людишек. Некоторые даже качать ленятся — слушают и смотрят потоки. Какой то процент босяков себе мессенджер конечно напишет, массы — нереально. А когда какой-то начнет распространяться — ну вы поняли
На самом деле босяки уже написали себе мессенджер, и то, что о нем, возможно, пока мало кто из потенциальных террористов знает — это всего-лишь «недоработка» законотворцев, которые пока что не запретили более удобные вацап и ко.
Ждём новости — Роскомнадзор внёс в список блокировок запрещённый мессенджер Alrawi (запрещено в РФ) от запрещённой организации ИГИЛ (запрещено в РФ), применяемый запрещёнными террористами (запрещены в РФ) для проведения переговоров (запрещённых в РФ).
И статьи с рекламой на ПониТудей о победе Роскомнадзора и указанием названия того что нужно скачать.
Ну так проблема в том, что кому надо — напишет. И какой смысл тогда во всем этом, если кого надо не поймают?
«Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.» ©
В UK это конечно выглядит глупо, но не так страшно, с их знаменитыми судами. Всякие же людоедские диктатурки с удовольствием такой опыт на свой людоедский лад переймут.
Ассанжу это расскажите.
Это тому, который мир с ног на голову перевернул и еще жив?
Издержки политического супергероизма к британскому суду отношения имеют мало.
Издержки политического супергероизма к британскому суду отношения имеют мало.
А вы изучите вопрос подробнее, как там британский суд себя повёл.
Если вы имеете в виду, что британский суд поступает по закону, а не по понятиям, так я вас удивлю: суд и должен так поступать.
Почему-то очень популярной становится борьба со следствием вместо причины. Или они думают, что кто-то в мессенджерах будет писать прямым текстом сообщения типа «завтра идем взрывать парламент в 15:00, собираемся у ларька с шаурмой»?
Таки и BBM (blackberry messenger) нагнут на ключи?
разве это не бессмысленный закон, законопослушные граждане будут более открыты, а те кто хочет что-то натворить всё равно найдут способ скрыть свою переписку, за пару дней можно написать мессенджер с шифрованием и своим хостингом, но даже это не совсем нужно если можно писать плагины то текст можно на лету шифровать и отсылать через популярные мессенджеры, ну или клиент свой, а веб-апи от готовых мессенджеров.
если делать всё по уму то надо не за трафиком следить, а за самими устройствами, даёшь закон он обязательном наличие кейлоггера во всех электронных устройствах :D хотя даже это не поможет, только тупые попадутся
если делать всё по уму то надо не за трафиком следить, а за самими устройствами, даёшь закон он обязательном наличие кейлоггера во всех электронных устройствах :D хотя даже это не поможет, только тупые попадутся
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Великобритания планирует запретить end-to-end шифрование