Совместное использование криптодисков на ПК и Android

    В данной статье будет рассмотрен пример совместного использования криптодисков CyberSafe Mobile на персональном компьютере и Android-устройстве.




    Постановка задачи


    С помощью программы CyberSafe, как уже было показано статье «CyberSafe — шифровальщик на все случаи жизни», можно создать зашифрованный виртуальный диск. В этой статье мы рассмотрим совместное использование зашифрованного криптодиска на ПК и Android-устройстве.
    Сценарий следующий: на компьютере создается файл виртуального диска и помещается в некую папку, эта папка «расшаривается», а программа CyberSafe Mobile (от ООО «Киберсофт») получает доступ к этой папке и монтирует имеющийся в ней файл виртуального диска. Таким образом, данные (даже в зашифрованном виде!) на вашем телефоне вообще не хранятся, они хранятся только на компьютере, причем при работе с файлами на мобильном телефоне контейнер виртуального диска на ПК не является подмонтированным. Благодаря этому достигается дополнительная защита: на компьютере контейнер даже не открывается и не монтируется, поскольку монтирование осуществляется на телефоне, а на телефоне физически нет самого файла виртуального диска.
    Для решения поставленной задачи нам понадобятся:
    • ПК или ноутбук с операционной системой Windows (в статье используется 64-разрядная Windows 7);
    • Android-устройство с root-доступом (смартфон или планшет);
    • Программа CyberSafe TopSecret, установленная на компьютере;
    • Программа CyberSafe Mobile, установленная на мобильном устройстве.

    В статье будет показано:
    • Как использовать программу CyberSafe Mobile без монтирования удаленного файла контейнера (обычное использование программы).
    • Как смонтированный удаленный контейнер виртуального диска и сделать это правильно.
    • Как использовать перенаправления папок для автоматического шифрования ваших фотографий

    Прежде, чем мы приступим к рассмотрению CyberSafe Mobile, хочу сделать несколько замечаний о самой программе. Во-первых, CyberSaft Mobile запрещает делать скриншоты некоторых своих экранов из соображений безопасности. Так, скриншот ввода пароля или выбора файла виртуального контейнера сделать не получится. Можно было бы использовать эмулятор, но уж очень хотелось все протестировать на реальных устройствах, поэтому некоторые скриншоты будут выполнены методом фотографирования, когда экран одного устройства снимается камерой второго устройства. Из-за этого страдает качество, но зато вы можете быть уверены, что все написанное в статье будет работать и у вас — на реальных устройствах. Если вам интересно, то я использовал планшет Acer Iconia B1 и смартфон Fly Era Style 3 (IQ4415 Quad).
    Во-вторых, для работы программы CyberSafe Mobile нужны права root, поскольку без них вы не сможете смонтировать расшаренную папку. О том, как получить права root именно для вашего устройства, вы можете прочитать в Интернете. Для своих устройств я использовал программу Universal Root.
    В-третьих, в статье рассматривается полная версия программы — CyberSafe Mobile. В Google Play есть и бесплатная «облегченная» версия программы CyberSafe Mobile Lite, но она не поддерживает монтирование и не умеет работать с сетевыми папками.

    Создание контейнера виртуального диска на ПК


    Запустите программу CyberSafe TopSecret и перейдите в раздел Шифрование дисков, Виртуальный диск. Нажмите кнопку Создать. В появившемся окне Файл виртуального диска выберите расположение файла виртуального диска, введите его имя и нажмите кнопку Создать. Далее укажите параметры виртуального диска (рис. 1): пароль для доступа к зашифрованному диску, размер в мегабайтах, тип шифрования и файловую систему (по умолчанию используется NTFS).


    Рис. 1. Создание виртуального диска

    Думаю, не стоит читать отдельную и длинную лекцию о том, как правильно выбрать пароль. Что же касается размера диска, нужно отметить, что программа никак не ограничивает размер файла контейнера. Поэтому можете не бояться устанавливать размер виртуального диска, превышающий размер оперативной памяти смартфона — нет необходимости ограничиваться памятью устройства.
    Когда установите все необходимые параметры, нажмите кнопку Принять. На рис. 2 показано, что было создано два файла виртуальных дисков — один размером 100 Мб, второй размером 10 Мб. Оба файла помещены в папку C:\test (рис. 3).


    Рис. 2. Программа CyberSafe TopSecret: созданные виртуальные диски


    Рис. 3. Проводник: расположение виртуальных дисков и их размеры

    Выделите один из виртуальных дисков и нажмите кнопку Монтиров. В появившемся окне (рис. 4) выберите букву для виртуального диска. Далее программа попросит вас ввести пароль для доступа к диску.


    Рис. 4. Выбор буквы для виртуального диска


    Рис. 5. Пароль для доступа к виртуальному зашифрованному диску

    В программе виртуальный диск будет помечен как смонтированный, также выводится буква, к которой подмонтирован этот диск (рис. 6).


    Рис. 6. Диск Z: смонтирован

    Далее с диском Z: можно работать как с обычным диском, то есть записывать на него файлы, читать файлы и т.д. Никаких ограничений нет, разве что виртуальный диск может работать немного медленнее, чем обычный. Я поместил на диск Z: несколько фотографий (рис. 7).


    Рис. 7. Содержимое диска Z: (файл vdisk.dvf)

    На этом участие программы CyberSafe TopSecret в нашем сценарии закончено. Диск можно размонтировать, а саму программу — закрыть.

    Неправильное совместное использование криптодиска на ПК и Android


    Раз с диском Z: можно работать, как с обычным диском, то вам может прийти в голову довольно простое решение: «расшарить» диск Z: (рис. 8) и подмонтировать его в программе ES Проводник на вашем Android устройстве. В этом случае программа CyberSafe Mobile вообще будто бы не нужна. Рассмотрим этот случай подробнее, чтобы у вас не было сомнений.


    Рис. 8. К диску Z: предоставлен общий доступ

    В программе ES Проводник переходим в раздел Сеть, LAN и нажимаем кнопку Scan для сканирования компьютеров в сети (рис. 9). Далее все, как обычно — вводим имя пользователя и пароль для подключения к общему ресурсу (все зависит от настроек общего доступа). Программа отобразит список общих ресурсов (рис. 9), выбираем диск Z и видим его содержимое — ранее скопированные на него фотографии (рис. 10).


    Рис. 9. Результат сканирования сети (слева) и список общих ресурсов (справа)


    Рис. 10. Содержимое общего ресурса

    Все было бы хорошо, если бы не одно но. На вашем компьютере виртуальный зашифрованный диск является смонтированным, а файлы доступным всем, у кого есть физический доступ к нему. Может, когда нужно скопировать несколько файлов с виртуального зашифрованного диска на смартфон (где они будут не зашифрованными!) такой способ и подходит, но он напрочь убивает все преимущества шифрования. Да и по сети данные передаются в незашифрованном виде. Подробнее об уязвимостях криптоконтейнеров при удаленной атаке было написано в этой статье. Этот способ совместного использования криптодиска является неправильным и настоятельно не рекомендуется его использовать.

    Обычное использование программу CyberSafe Mobile


    В этом разделе будет показано, как создать файл зашифрованного виртуального диска с помощью программы CyberSafe Mobile и как его потом использовать. То есть обычное использование программы, не вовлекающее использование сетевых ресурсов. Это основы использования программы и без них вы не сможете полноценно ее использовать.
    Запустите программу CyberSafe Mobile на своем Android-устройстве. По умолчанию у вас нет зарегистрированных сейфов (рис. 11). Кнопка + на панели управления позволяет создать новый сейф (то есть файл виртуального диска), а следующая за ней кнопка — добавить уже существующий файл. Использование кнопки добавления существующего виртуального диска будет рассмотрено далее, а пока нажмите кнопку +.


    Рис. 11. Нет зарегистрированных сейфов

    Введите или выберите путь к сейфу, укажите его размер (я оставил размер по умолчанию — 5 Мб, кого смущает такой маленький размер, не забываем, что мы работаем с мобильным устройством) и пароль, см. рис. 12. Далее созданный сейф появится в списке на вкладке Сейфы (рис. 12).


    Рис. 12. Создание виртуального диска на Android-устройстве (слева) и вкладка Сейфы (справа)

    Прежде, чем открыть сейф, нужно установить несколько важных параметров программы. Нажмите кнопку с изображением шестеренки и в появившемся меню выберите Настройки монтирования (рис. 13). Здесь нужно выбрать:
    • Способ монтирования — по умолчанию монтирование выключено, поэтому его нужно включить. На моих устройствах отлично работало монтирование с помощью FUSE, но если у вас возникнут проблемы с этим способом, выберите FUSE (FAT).
    • Базовый путь для монтирования — нажмите кнопку Выбрать путь для выбора папки, к которой будет осуществляться монтирование. Папка должна существовать. Я буду монтировать сейфы и «расшаренные» папки к /storage/sdcard1/cs. Для каждого сейфа/расшаренной папки в выбранном вами каталоге будет создан подкаталог, имя которого будет совпадать с именем монтируемого ресурса. Например, если вы попытаетесь смонтировать созданный ранее файл test.dvf, то он будет подмонтирован к папке /storage/sdcard1/cs/test. После размонтирования этот подкаталог (test) будет удален.
    • Сторонний менеджер файлов — программа CyberSafe Mobile обладает встроенным файловым менеджером, но, думаю, многим пользователям Android будет привычнее использовать программу ES Проводник (рис. 13).



    Рис. 13. Параметры монтирования (слева) и выбор стороннего файлового менеджера (справа)

    Далее вернитесь к вкладке Сейфы и нажмите созданный сейф test, чтобы его открыть. Программа попросит ввести пароль, указанный при создании сейфа. После этого вы увидите содержимое сейфа в выбранном вами файловом менеджере (в нашем случае — в ЕS Проводник), см. рис. 14. Понятное дело, в сейфе пусто. Поэтому скопируйте в него несколько файлов (рис. 14).


    Рис. 14. Сейф открыт (слева) и в него скопированы файлы (справа)

    Чтобы закрыть сейф, вернитесь в программу CyberSafe Mobile, нажмите и удерживайте сейф test. В появившемся меню (рис. 15) выберите команду Закрыть.


    Рис. 15. Как закрыть сейф

    Мы только что рассмотрели обычную последовательность действий при работе с сейфом. В следующем разделе задача будет чуть сложнее — ведь сейф будет на удаленном компьютере.

    Правильное совместное использование криптодиска на ПК и Android


    Теперь будет показано, как правильно совместно использовать криптодиск. Напомню, у нас есть два файла виртуальных дисков, хранящихся в папке test. К этой папке предоставлен общий доступ, а сама папка хранится на машине Acer (рис. 16).


    Рис. 16. К папке C:\test предоставлен общий доступ

    Также нужно отметить, что виртуальный диск не должен быть смонтирован на ПК, а сама программа CyberSafe TopSecret на Windows-компьютере должна быть закрыта — для чистоты эксперимента.
    Перейдите на вкладку Сетевые папки (рис. 17) программы CyberSafe Mobile. По умолчанию ни одна сетевая папка не зарегистрирована.


    Рис. 17. Сетевых папок нет (слева). Добавление сетевой папки (справа)

    Нажмите кнопку + для добавления сетевой папки. Введите путь к сетевой папке в формате smb://машина/ресурс. В нашем случае нужно ввести smb://Acer/test. В качестве названия сетевой папки я использовал название машины (Acer), вы можете использовать все, что вам захочется. Обратите внимание, что при монтировании к указанной в настройках точке монтирования будет использовано не введенное вами название (Acer), а имя «расшаренной» папки (test).
    Сетевая папка будет добавлена в список (рис. 18). Если «щелкнуть» по этой папке, вы увидите окно ввода имени пользователя и пароля для подключения к компьютеру Acer. После этого вы увидите содержимое «расшаренной» папки. А здесь я прошу прощения за качество иллюстрации — программа не позволяет сделать скриншот и просмотреть содержимое сетевой папки, поэтому пришлось сделать фотографию мобильным телефоном. Фотографировалось все на Fly IQ4415 — во всем кроме камеры, отличный телефон (рис. 19).


    Рис. 18. Сетевая папка добавлена в список


    Рис. 19. Содержимое сетевой папки

    Как видите, наша сетевая папка содержит те самые два файла (vdisk.dvf и vdisk2.dvf), созданные в начале статьи. Теперь нажмите кнопку Назад (это кнопка Android, а не программы), чтобы вернуться к списку сетевых папок. Нажмите папку и удерживайте палец несколько секунд для отображения меню папки (рис. 20). Выберите команду Монтировать.


    Рис. 20. Монтирование папки (слева). Сетевая папка подмонтирована (справа)

    Можете открыть ES Проводник, чтобы убедиться, что папка была подмонтирована к каталогу /storage/sdcard1/cs и в ней находятся те два самые файлы (рис. 20).
    Осталось дело за малым — перейти в раздел Сейфы и нажать кнопку Добавить сейф (она находятся справа за кнопкой +). Опять появится экран, скриншот которого сделать невозможно. Поэтому опять — низкокачественная иллюстрация (рис. 21а, 21б). Перейдите в /storage/sdcard1/cs/test и выберите нужный вам файл виртуального диска.


    Рис. 21а. Выбор файла виртуального диска


    Рис. 21б. Выбор файла виртуального диска

    После этого программа запросит пароль для доступа к сейфу. Если пароль правильный, программа поместит сейф в список сейфов, подмонтирует его и запустит ES Проводник для работы с его файлами (рис. 22).


    Рис. 22. Содержимое виртуального диска

    Как видите, мы созерцаем те самые фотографии, которые я поместил на виртуальный диск при его создании еще в начале статьи. Стоит отметить, что программа одинаково хорошо работает, как с дисками больших размеров, так и относительно небольшими, которые я создавал для демонстрации работы программы. Производительности программы вполне достаточно, чтобы просмотреть фильм, хранящийся в сейфе без копирования его на SD-карту устройства.

    Использование редиректора для защиты ваших фотоснимков


    В статье «Защита личных фотоснимков на телефонах Android» было показано, как с помощью программы URSafe Media Redirector автоматически перенаправить сделанные фотокамерой вашего смартфона фотографии в сейф. Так никто не сможет просмотреть ваши фотографии после закрытия сейфа. В этой статье мы будем использовать тот же принцип, вот только сейф будет удаленным — он будет находиться на вашем компьютере.
    Первым делом установите программу URSafe Media Redirector, запустите ее и нажмите кнопку Add для создания нового перенаправления (рис. 23).


    Рис. 23. Программа URSafe Media Redirector (слева) и настройка перенаправления (справа)

    Нажав кнопку Browse Folder напротив надписи Path From, выберите папку, в которую приложение Камера помещает ваши фотографии. На моем планшете Acer B1 фотографии помещаются в каталог /storage/sdcard0/DCIM/Camera. У вас это может быть другая папка. Далее нажмите кнопку Browse Folder и выберите папку, к которой вы монтируете сейф (рис. 23). Нажмите кнопку Save для сохранения перенаправления.
    Далее вы увидите список созданных перенаправлений. В бесплатной версии программы URSafe Media Redirector работать будет только первое перенаправление (в нашем случае — первое и единственное). Выделите его и нажмите кнопку On/Off для включения. На рис. 24 перенаправление уже включено, о чем свидетельствует зеленая галка.


    Рис. 24. Перенаправление активно

    Запустите приложение Камера и сделайте любой снимок. Затем закройте сейф и перейдите на компьютер. Подмонтируйте файл виртуального диска и просмотрите его содержимое — на нем вы найдете новую фотографию (рис. 25).


    Рис. 25. Фотография, созданная на Android-устройстве

    Поставленная задача выполнена. Данные хранятся не в телефоне, а на компьютере и обеспечивается совместная работа с криптоконтейнером. При желании можно не ограничиваться локальной беспроводной сетью, а создать удаленную «шару». Об этом вы можете прочитать в статье «Хранение данных в криптоконтейнере на удаленном сервере и работа с ними с Android-устройств».

    Ссылки


    Описание программы CyberSafe Mobile
    Программа CyberSafe Mobile на Google Play
    Монтирование сейфа (видео)
    КиберСофт
    42,00
    Компания
    Поделиться публикацией

    Комментарии 86

      +8
      Алгоритм шифрования: XOR на байт 0b10101010. Если используется другой байт для XOR'а, показывайте сырцы. У криптопрограмм не может быть никаких оправданий для закрытости.
          +5
          Библиотека, это замечательно. Но исходники нужны от конечного ПО, в противном случае никто не знает как вы там используете эту библиотеку.
            –12
            Да все это детский сад, который сто раз уже обсуждался. Потратьте 2-3 года и n миллионов на разработку, а потом выложите свой проект в паблик. Вот у этих товарищей спросите сорцы: www.symantec.com/products-solutions/families/?fid=encryption
            Опенсорц проекты имеют место быть. Но версия для физиков и компаний отличаются. И если у Zimbrа есть опен сорц для личного использования, то для компаний версия не имеет сорцов. Это называется репутация, которая собирается по крупицам многие годы. И проследить как мы используем свою открытую библиотеку не составляет специалистам никакого труда.
              +7
              «Репутация» проприетарных решений для шифрования после «откровений» Сноудена сдулась (или сдувается) даже в головах матерых enterprise админов. Всем уже понятно, что если нужна реальная надежность шифрования в том числе непреодолимая трехбуквенными конторами, а не галочка в бумажках о «сертификации», то исходники должны быть открыты.
              В противном случае как только Ваш продукт будет иметь хоть какую-то популярность, Вы как и все прочие проприетарщики получите предложение, от которого не сможете отказаться, наплевав на всю Вашу «репутацию».
              • НЛО прилетело и опубликовало эту надпись здесь
                  –4
                  А Вы не стесняйтесь, дело житейское. Мы продаем в организации (Уралсиб, РЖД) с сертификатами ФСТЭк и ФСБ. Но кроме этого достаточно успешно софт идет и частным лицам, которые вполне справедливо считают, что отсутствие известных утечек и доверие со стороны бизнеса достаточный повод использовать ПО. Что же до опасений, я их полностью разделяю. А детским садом называю заявления типа ВСЕ ПО для шифрования должно быть ПОЛНОСТЬЮ открытым. На всякий случай скажу, что у компании Крипто-Про выручка за 2014 была 700 млн. руб. А у Symantec PGP $700 млн. Как-то живут люди и не заморачиваются чьей-то параноей. Так что это не наш клиент, который считает что в организации должен стоять TrueCrypt без поддержки, гарантий, централизованного управления и проч.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      –2
                      по крайней мере в разделе криптографического модуля
                      Ну так я и давал ссылку.
                      С остальным соглашусь.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          –1
                          Откуда такой глубокомысленный вывод? Я где-то писал что мы можем расшифровать клиентские данные?
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Ну, ФИО специалиста РЖД я чуть ниже приводил уже. Вот вся цитата целиком:

                              “Мы нуждались в программном обеспечении, которое бы не только обеспечило надежную защиту наших данных, но и было сертифицировано на территории РФ. Программа CyberSafe стала для нас хорошим решением, поскольку она предоставляет обширные возможности в области шифрования данных и лицензирована такими службами как ФСБ и ФСТЭК”.
                              Коваль Анатолий Александрович – Начальник службы безопасности
                              РЖД (служба безопасности РЖД Больница г. Краснодар)
                                –2
                                В ответе после, которого я написал «соглашусь», не было ни слова о том, что мы можем вскрывать клиентские данные. Там речь шла о гарантиях. И гарантий что у вас не навернется винт или в результате хакерских действий (неизвестно каких, поэтому вполне допустимо) данные будут расшифрованы. С этим я согласен, потому в слово гарантия я вкладывал то, что мы гарантируем использование указанных алгоритмов шифрования. Чтобы в этом убедиться достаточно зашифровать один и тот же файл нашим ПО и с помощью командной строки OpenSSL на 2 разных машинах с использованием одного и того же ключа и пароля. Выходной файл будет идентичным. Вот это мы гарантируем.

                                «Либо просто активацией закладки, которая судя по всему у вас таки есть, и которая позволит наплевать на ключ и другие шифры»

                                Ну фантазировать никому не запретишь.

                                «ОЧЕНЬ хочется взглянуть в глаза специалистам РЖД и УралСиб, которые согласились шифровать важные данные, не понимая базовых принципов шифрования»

                                Многим кому бы пришлось смотреть в глаза. За 2 года было достаточно клиентов (только за время поста этой статьи были 2 покупки, частных лиц, которым программа продается без сертификатов). Вероятно, все дураки. Но идея о своей конгениальности не только Вас посещает, так что это нормально. Вероятно, Вы, понимая базовые принципы шифрования, подтвердите, что расшифровать данные можно: 1. если используется не криптостойкий алгоритм (ГПСЧ или шифрования) 2. имея ключ пользователя 3. приложив свой ключ в цифрой конверт. Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен. Остается сохранять все ключи юзеров и отсылать их в ФСБ. Об этом можно судить проверив сетевую активность программы. Веротяно, я упустил другой способ расшифровать данные.
                                  +2
                                  Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен.

                                  … для этого конкретного запуска программы. Нет никакой гарантии, что при другом запуске программа не поведет себя иначе.

                                  Веротяно, я упустил другой способ расшифровать данные.

                                  Например, можно записать ключ, использовавшийся для шифрования, не в этот файл.
                                    –1
                                    Ну смешно. Ну запустите 10 раз. И 10 раз проверьте. И 10 своих друзей по 10. И что на 101 поведет себя иначе, когда будет «знать» что за ней уже не следят? :-))

                                    «Например, можно записать ключ, использовавшийся для шифрования, не в этот файл. „

                                    Конечно. Это все 3 способ. Именно для этого, следующую статью, которая будет сплошным набором цифр, мы посветим тому как можно проверить, что делает программа и как сравнить результаты с OpenSSL. А за сим откланяюсь. Эта тема (закладок ФСБ) меня порядком утомила. Она кочует из темы в тему. В итоге по самой статье комментов нет, но обязательно “свидомые» блюстители свободы от ФСБ напишут, что мол закладки у вас. Факты, коллеги, факты есть? Я тоже могу заявить, что вы стучите на монгольскую разведку, к тому же пол у вас противоположный. Умные люди придумали презумпцию невиновности.
                                      +2
                                      Ну смешно. Ну запустите 10 раз. И 10 раз проверьте. И 10 своих друзей по 10. И что на 101 поведет себя иначе, когда будет «знать» что за ней уже не следят? :-))

                                      Это возможно.

                                      (заметим, мы сейчас не вдаемся в то, возможна ли такая проверка сама по себе, учитывая, что далеко не все форматы, которые вы используете, открытые)

                                      Умные люди придумали презумпцию невиновности.

                                      Применительно к ПО, обеспечивающему безопасность, действует презумпция виновности: то, что не проверено, не безопасно.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          РЖД — это, простите, вот это: «Коваль Анатолий Александрович – Начальник службы безопасности РЖД (служба безопасности РЖД Больница г. Краснодар)»?
                            0
                            На всякий случай скажу, что у компании Крипто-Про выручка за 2014 была 700 млн. руб.


                            Крипто-ПРО ценят не за надежность, а за то, что бумажка есть. Так что если что, проворонив данные клиентов, из-за кривых рук и дырявого софта, можно всегда ответить как директор ВТБ(24) про хартблид — «наш банк сертифицирован по самым высоким стандартам».
                              +1
                              Стоп. Вы якшаетесь с ФСБ? И продаёте свою криптуху оппозиционнерам, которые хотят хранить там всякие грязные секретики всяких диктататоров, которую собираются слить шпионам, пароли и явки злобных экстремистов?

                              И вы не поможете Отчизне бороться с Врагами Родины в столь сложное для Родной Страны время?
                                0
                                Вот этот бред я переадресовал Касперскому в блог. Уж как они «якшаются», так закачаешься. Давайте вместе подождем ответа: habrahabr.ru/company/kaspersky/blog/250331/
                                  0
                                  Они занимаются криптогафией?

                                  Алсо, повторю вопрос: к вам приходят товарищи в погонах и говорят, что надо изобличить шпиона. Ваши действия?
                                    –1
                                    Конечно занимаются. Вы, вероятно, давно их продуктами не пользовались.
                                    Мои действия — сообщить что я с радостью! Однако, с помощью фонарика и парика, так как наша программа не представляет технической возможности расшифровать данные, о чем они же прекрасно знают, ибо проводили проверку на отсутствие закладок. Но я еще раз хочу повторить: наша скромная компания далеко не единственная, которая «якшается» с ФСБ. Самые вовлеченные в этот увлекательный процесс это Каспер, Веб, Микрософт (у которого есть сертифицированная ФСБ винда), Esset и проч. Все эти компании работают НЕПОСРЕДСТВЕННО с персональными данными клиентов, имеют ВСЕ модули шифрования и проч. Так покажите мне ваши посты в их блоги. Вы же наверняка уже свое беспокойство им выразили. Мы-то недавно на рынке. А сколько они уже «якшаются». И Вы все еще не выяснили? Не может быть! И, мне страшно подумать, в своей профессиональной деятельности, возможно, использовали эти продукты? А может и клиентам ставили?
                                      0
                                      Почему я должен вам верить? Бэкдор во имя ФСБ — и все лицензии и сертификаты ваши.

                                      Нет сыров — нет доверия. Точка.
                                        –1
                                        Я отвечаю как умею на Ваши вопросы. Вы на мои нет. Это ФСБшный приемчик :-)) Вы писали Касперскому? Если да, что они ответили? Если нет, то почему?
                                          0
                                          Я не имел дела с касперским и не планирую. Когда касперский попытается втюхать xor с закрытыми исходниками, я ему задам те же вопросы.
                                            +1
                                            Будем честными, и с этим windows-only решением дела иметь не надо.
                                              0
                                              А Вы, как интегратор, какой бы антивирус поставили клиенту?
                                                0
                                                В мои задачи как интегратора не входит установка антивируса клиенту.

                                                (но в принципе, у нас стоял майкрософтовский от форфронта, это было удобно)
                                              –1
                                              blog.kaspersky.ru/kts-or-kis-which-is-better/6704/
                                              ВТЮХИВАЮТ!!! Будьте честным, напишите. Там коменты без регистрации.

                                              «Ну а если ваши данные настолько важны, что держать их в открытом виде нельзя, то Kaspersky Total Security позволяет «положить» их в виртуальный сейф. Указанные вами файлы будут зашифрованы очень устойчивым к взлому методом шифрования, а извлечь их можно будет, исключительно зная пароль от зашифрованного сейфа. Как в банке! Главная задача пользователя — не оставить где-нибудь на столе бумажку с записанным паролем. И, разумеется, не забыть заветное сочетание символов. Об остальном позаботится Kaspersky Total Security.»
                                              :-))))
                                                0
                                                Какое мне дело до касперского в его уютной песочнице? Будет пиариться на хабре — будем спрашивать.

                                                Как вас сейчас, например.

                                                Почему сырцы закрыты?
                                                  –1
                                                  Понятно. Я не удержался, сам задал вопрос. Кроме того, мы отправили официальный запрос в компании Касперский и Др.Веб. Если будет ответ, в чем я сильно сомневаюсь, обязательно напишу.

                                                  Мы не открываем по причинам описанным ниже.
                                                    0
                                                    Ниже комментарий про «детский сад». Возможно, есть более взрослые причины?
                                                      0
                                                      А вот и ответы от ЛК: кратко приведу, кому лень в ветку глянуть:

                                                      Я:
                                                      «Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?»

                                                      Они:

                                                      « чем _лично_ Вам поможет открытый код? отличная, на мой взгляд, статья по этому поводу habrahabr.ru/company/pt/blog/249927/

                                                      Первый вопрос из серии «перестали ли вы пить коньяк по утрам». Сомневаюсь, что вас устроит какой-либо вариант ответа от ЛК.

                                                      Компания сотрудничает с госструктурами во многих странах, и в такой ситуации отдавать преференции кому-либо невозможно, как по части кода, так и по части детектирования атак. »
                                                        0
                                                        Лично мне открытый код помогает, когда я его хочу посмотреть. А инфраструктуре, построенной на открытом коде я доверяю значительно больше, чем «сертифицированным ФСБ бинарникам».
                                            –1
                                            support.kaspersky.ru/5315
                                            Это так, к слову, вдруг Вы что-то пропустили. Нельзя же знать о всех продуктах, кто «якшается» с ФСБ…
                                              0
                                              Я не буду ходить на форум Касперского, он мне не интересен.
                                            +1
                                            Микрософт (у которого есть сертифицированная ФСБ винда)

                                            Как средство шифрования по ГОСТ? Интереееесно.
                                              0
                                              www.microsoft.com/ru-ru/devcenter/IS/IS2_red.aspx
                                              Не как средство шифрования, о чем я не писал. Но с вывернутыми сорцами ессно и «кучей» закладок.
                                                0
                                                Тут есть смешной нюанс. Продукты MS заодно сертифицированы еще и по FIPS 140. Учитывая, что интересы спецслужб России и США/Канады, как мне кажется, все-таки конфликтуют, количество потенциальных закладок в интересах государства, как ни странно, уменьшается.

                                                Но речь, впрочем, не об этом.
                                                  0
                                                  lair Вы знакомы с вопросом сертификации средств защиты (что именно проверяется при сертификации, какие требования/уровни для обсуждаемых продуктов)?
                                                  Прежде чем рассуждать о закладках, ознакомьтесь с вопросом, а потом уже фантазируйте о «конфликтах спецслужб» и «количестве закладок в интересах государства».
                                                  В противном случае диалог скатывается к взаимным обвинениям и недоверию (см. выше).
                                                    0
                                                    В общих чертах знаком (именно в общих чертах). Я ведь не говорю, что MS чем-то лучше (точнее, что оно лучше по критерию открытости), я говорю, что закрытость исходников CyberSafe — это основание для недоверия.
                                                      0
                                                      Давайте разделим открытость исходного кода, сертификацию, доверие.
                                                      Основанием для недоверия может быть что угодно, у каждого свои критерии, объективные и субъективные.
                                                      Сертификация (грубо) — подтверждение соответствия некоторым стандартам/требованиям.
                                                      Открытый исходный код — без соответствующего аудита — ничего не доказывает. Аудит достаточно затратная процедура, если проверяется не простейший «Привет, мир!». Аудит необходимо проводить после каждого изменения. Аудиторам необходимо доверять, в противном случае Вы не будете доверять результатам аудита.
                                                      Многие компании не видят целесообразности открывать исходный код в т.ч. по вышеперечисленным соображениям. Если не доверяете — не используйте, это Ваше право. Открытый исходный код, как правило, не привлечет компаниям новых клиентов.
                                                      А для крупных заказчиков (частных или государственных), если разработчик посчитает это выгодным, исходные коды могут быть предоставлены на условиях нераспространения.
                                                        0
                                                        С этой позицией я не спорю.
                                  +2
                                  Детский сад — это беспомощные отговорки про «2-3 года» и «n миллионов (кстати, чего именно?) на разработку». Бесполезно ссылаться на Symantec, вы — не они, и разговор идёт не о них, а именно о вас. Когда Symantec будет пиариться на хабре, к ним будут те же самые вопросы, не волнуйтесь.

                                  Если у вас там такие крутые собственные разработки, то почему бы не потратить ещё немного времени и денег на то, чтобы получить на них патенты? В таком случае полная открытость исходников вам бдует только на руку. А пока исходники закрыты, ну попробуйте как-то убедительно доказать собравшейся тут общественности, что у вас там не OpenSSL, не код несчастного гениального вьетнамского школьника-аутиста, которого вы обокрали на позапрошлых каникулах, и нет отдельного логина для сисадминов в штатском. Только давайте сразу договоримся обойтись без чайников Рассела.
                                    0
                                    Да у них там как раз OpenSSL и обращение к КриптоПро (в зависимости от продукта). Насколько я понял, своих криптоалгоритмов нет, только встраивание чужих.
                                      0
                                      Конечно. Это как раз показывает, что некоторые уважаемые коллеги не читают написанного (порой по 10 раз).

                                      «убедительно доказать собравшейся тут общественности»

                                      Ну опять же, см. ответ выше про идентичность файла после шифрования OpenSSL и у нас. Подробно об этом напишем в следующей статье.
                                        +3
                                        В статье про OpenSSL ни слова. Из статьи складывается впечатление, что у вас там какие-то свои уникальные разработки. А вы всего-навсего написали мордочку для бесплатной библиотеки за «2-3 года» и «n миллионов»? Тем смешнее ваши отказы показать исходники.
                                          –1
                                          c2n.me/3cAnOFR.png
                                          Жизненное наблюдение: чем менее осведомлен человек, тем более безапелляционны его заявления.
                                            +2
                                            … что возвращает нас к вопросу «как проверить безопасность той функциональности, которая не повторяет известное открытое решение».

                                            Вы так и будете ходить по этому кругу.
                                              –1
                                              Я согласен с Вами. Доказательства работы с файлами OpenSSL доказать элементарно. Но вот что мы не собираемся открывать это драйверы: 1. перехвата операций с файловой системой, который позволяет нам взять под контроль любое действие с ФС (скрытие, прозрачное шифрование, блокировку и разграничение доступа и т.д.) 2. драйвер виртуального диска. Если Вы подскажете где в интернете в опенсорце есть подобные драйверы (1й пункт, 2й есть в том же ТК, но чтобы не нарушать лицензию мы его не юзаем), то мы скорее всего рассмотрим вариант публикации сорцов. И да, чтобы не ходить по кругу мы закрываем разговоры что у нас частично открытый код или что можно проверить действия по прозрачному шифрованию, криптодиски и другие операции не относящиеся к ОССЛ. Так будет честнее и короче.
                                                0
                                                Если Вы подскажете где в интернете в опенсорце есть подобные драйверы (1й пункт, 2й есть в том же ТК, но чтобы не нарушать лицензию мы его не юзаем), то мы скорее всего рассмотрим вариант публикации сорцов.

                                                vgough.github.io/encfs/

                                                (и это не единственный, просто мне дальше искать лень)
                                                  0
                                                  Runs on Linux kernels 2.4.X and 2.6.X
                                                  EncFS provides an encrypted filesystem in user-space
                                                  Рассказать разницу про юзер мод и драйвер ядра? И где тут про хуки всей ФС?
                                                    0
                                                    (Вы лучше расскажите про фактическую доказанную разницу для пользователя между вашим решением и (например) этим)

                                                    А главное, речь-то шла не о сравнении функциональности, а о наличии в открытом виде. Причем, заметим, от вас никто не требует открывать лицензию, от вас просят только показать код. Вы боитесь за свою интеллектуальную собственность? Так она защищается патентами. Вы боитесь за то, что вас взломают через чтение кода? Так security by obscurity — плохой признак. Что еще?
                                                      –1
                                                      Bingo! Не нашли открытых решений? Хотя сообщили что их валом. Постепенно давайте. Напишите что не нашли продолжим.
                                                        0
                                                        А кто, бишь, сообщил, что их валом? Я? Цитату, пожалуйста.
                                                          –1
                                                          "(и это не единственный, просто мне дальше искать лень) "
                                                            –1
                                                            Я вам помогу. Вот www.alfasp.com/pricing.html, только денюжек немножко заплатить надо. 19,999€ * 75 = 1 499 925 руб. А мы вот просто обязаны по просьбам трудящихся этот код выложить.
                                                              0
                                                              Подобные encfs — действительно есть. Начать можно прямо с шифрования в zfs, которое тоже открытое. Плюс dm-crypt (который, кстати, уровня ядра) и ecryptfs (которая тоже уровня ядра). Это, заметим, две минуты в гугле.

                                                              А вот теперь встречный вопрос: «драйвер файловой системы уровня ядря», которым вы так хвалитесь — это file system filter driver, да?
                                                                –1
                                                                Я говорю не о шифрованной ФС, а десятках хуках, которые подчиняют ВСЕ действия с виндовой ФС, понимаете? Или все же, наверное, нет.
                                                                Вот о чем я: www.alfasp.com/products.html, фичи посмотрите, дайте мне пожалуйста бесплатный публичный аналог, или фирму которая публикует в своих сорцах подобный функционал.
                                                                  0
                                                                  Конкретно для винды именно таких решений, действительно, нет (я, кстати, могу предположить, почему).

                                                                  Уже можно вернуться к вопросу, почему именно вы не хотите показывать свой код?
                                                                    0
                                                                    Ну так именно поэтому. Это очень дорогое решение и его никто не открывает, потому что продает сорцы.
                                                                      0
                                                                      Предположим, мы исключим из рассмотрения кусок, касающийся хуков к файловой системе (кстати, скажите, пожалуйста, какая функциональность кроме «сокрытия файлов и папок», на него опирается?). Для шифрования файлов, шифрования дисков и межсететвого экрана у вас та же аргументация?
                                                                        –1
                                                                        Файлы шифруются OpenSSL, там можно все сравнить командной строкой я писал. На хуки опирается прозрачное шифрование (следующая статья), скрытие, блокировка папок, резервное (облачное) шифрование, шифрование сетевых папок. А в дальнейшем новый продукт по регламентации доступа в компании, мониторинг действий пользователя и проч.
                                                                        Так а как мы покажем часть кода для файлов и дисков? Опять скажут выкладывайте весь проект, правда ведь, и будут правы.
                                                                        А файрвол причем? Там таже песня, там драйвер тоже не дешевый. А потом, Вы пользуетесь исключительно опенсорцовскими файрволами? И циску, комодо, чекпоинт, аванпост, керио в топку? То есть, вообще любое ПО должно быть открыто? Или только которое мы производим? -) Или то, которое пиарится на хабре?

                                                                        Уважаемые коллеги, я все наши аргументы выразил, если кратко мы не выкладываем сорцы, потому что в проектах содержатся очень дорогие драйверы, которые есть возможность еще и продать. Это обычная практика. Ок? Ничего исключительного в этом нет, хотя и пример ПГП и Джетико никого не убедил.

                                                                        Также, мы исходим из того, что все тайное становится явным, и если мы думаем что умнее других и делаем кучу закладок по заданию ФСБ рано или поздно это станет известным ( не такие перцы попадались), поэтому доказывать, что мы не пингвины не имеет смысла.

                                                                        За сим я очень постараюсь больше не отвечать на эти 2 вопроса: про открытые коды и аффилированность с фсб. На все остальные, в том числе и на конструктивную критику в меру своих умственных возможностей постараюсь ответить.

                                                                        Спасибо и звыняйте еси шо нэ так.
                                                                          +1
                                                                          Ну понятно.

                                                                          Главное, уберите из ваших рекламных роликов слова про «открытый код программного продукта», чтобы люди не велись. А там уж пользователь сам решит, что ему лучше — ваше закрытое ПО за деньги, или открытые FreeOTFE/VeraCrypt/DoxBox забесплатно, или системный BitLocker из коробки (да, я в курсе, что его исходники закрыты, но есть нюансы).
                                                                            0
                                                                            Согласен. Завтра же уберем, так будет честнее. Спасибо (без иронии).
                                                0
                                                Скажите, а что именно я должен понять, посмотрев на случайную картинку из интернета? То, что ваше решение дешевле? Но ведь разговор не о ценообразовании. То, что ваше решение может зашифровать какое-то абстрактное облако? Но ведь это же модный маркетинговый шум, и не более того. У меня есть к вам три вопроса, на которые вы, как наиболее осведомлённый из нас двоих, вполне могли бы ответить:

                                                1. Что именно вы прячете, скрывая исходники?
                                                2. Как я могу проверить, что ваше приложение правильно, безопасно использует OpenSSL?
                                                3. Как я могу проверить, что ваше приложение не сливает и не будет сливать данные налево?

                                                Жизненное наблюдение: когда кочаются аргументы, оппоненты часто переходят на личности.
                                                  –1
                                                  Вы сказали что мы сделали вебмордочку для OpenSSL. Я вам показал скриншот, где видно какие функции есть в программе, где видно что работа с файлами через OpenSSL это 10% функций программы. Если вы признаете, что понятие не имели (имеете) о функционале программы и делаете заявления на пустом месте (не видев ни программы, ни ее официального сайта, не читав ни предыдущие комменты, ни статьи блога) я с удовольствием отвечу на остальные вопросы.
                                                    0
                                                    работа с файлами через OpenSSL это 10% функций программы.

                                                    Bingo! А теперь вспоминаем предложенный вами тест, и понимаем, что он тестирует максимум 10% функций. А как проверить безопасность остальных 90%?
                                                    +1
                                                    Ну вот опять переводите стрелки. Это сотрудничество с РЖД так на вас влияет? Где, у кого вы учились вести полемику? Ну что за детский сад? Ты мне, я тебе. Ведь это вы пришли сюда, декларируя возможность создания криптодисков. Вопросы о причинах, по которым можно доверять вашим решениям, особенно в таких щекотливых вопросах, ожидаемы и вполне уместны. А вместо этого вы начинаете рассказывать про то, как Symantec продаёт ещё дороже и тоже исходники не показывает, какой я невежда и не потрудился ознакомиться с содержанием вашего сайта, предыдущих статей, комментариев и, возможно даже, с краткой биографией генерального директора вашей компании, и какие у вас есть красивые сертификаты каких-то госструктур, репутация которых и является одной из главных причин недоверия к любой закрытой криптографии. А таблица, которую вы привели в пример, она не для технического ресурса, она даже для презентации людям, далёким от IT не подходит. Там к каждому пункту свой дополнительный список вопросов, особенно к загадочному «шифрованию облака». Не указаны ни названия, ни параметры алгоритмов, формулировки технически безграмотны совершенно, а автор таблицы, похоже, не в ладах с русским языком.

                                                    Учитывая ваш уровень ведения дискуссии, не вижу для себя смысла продолжать этот разговор дальше. Надеюсь больше никогда не услышать о вашей компании.
                                                      –1
                                                      Прошу прощения если огорчил Вас. 2 часа дизассемблера (или криптоанализа выходных данных) и все закладки будут выявлены. Затем выплата компенсации всем кому захочется написать иск и закрытие конторы. -) Вот так, например, www.cvedetails.com/vulnerability-list/vendor_id-462/PGP.html
                                                        0
                                                        2 часа дизассемблера (или криптоанализа выходных данных) и все закладки будут выявлены.

                                                        Да вы, я смотрю, большой оптимист. Люди годами пишут и прячут, а вы за два часа все найдете? Интересно, зачем тогда вообще нужна сертификация на НДВ…

                                                        (Ну и да, этот тезис как-то резко подрывает всю веру вашим «не выкладываем исходники, потому что боимся, что украдут». А что, за те же два часа все исходники не открываются?)

                                                        JFYI, я как-то занимался реверс-инжинирингом одной не очень большой системы, оставленной «в наследство» предыдущими разработчиками. От нее даже исходники были. Так вот, за два часа ее не то что всю проанализировать на наличие закладок — ее даже прочитать нельзя было.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                            0
                                                            Конечно. Обфускацию не делали. Даже VMProtect стоит на минимальной степени защиты. Это ж очевидно, что мы защищаем не свое ПО а выходные данные. Тот же лицензионный код триала который зашит в программе нам доставали за 1,5 — 2 часа. А вот криптоанализ уже дело другое. Там ничего вытянуть не удалось.
                                                              0
                                                              Это ж очевидно, что мы защищаем не свое ПО а выходные данные.

                                                              Это очень плохо сочетается с вашей же аргументаций в пользу закрытия исходников.
                                                                0
                                                                Знаете это уже пошла игра мое слово последнее. То есть, чтобы я не сказал должен быть «аргументированный» ответ. Та защита, которая есть на драйверах, не позволит в разумные сроки / за разумную цену получить сорцы. Однако, действия программы по вызовам АПИ (которое у нас полностью открыто) отследить вполне реально.
                                                                  0
                                                                  Та защита, которая есть на драйверах, не позволит в разумные сроки / за разумную цену получить сорцы. Однако, действия программы по вызовам АПИ (которое у нас полностью открыто) отследить вполне реально.

                                                                  Не сочетается. Вся ценность вашего «драйвера» в том, что он вызывает операции шифрования в ответ на определенные действия с ФС. Если то, что именно и как вызывается, можно вычленить за два часа — значит, и скопировать можно за два часа. Если нельзя вычленить — значит, нельзя и отсутствие закладок проверить.

                                                                  Я могу понять посыл «мы не хотим открывать исходники, потому что мы считаем, что так мы потеряем прибыль». Но я тогда не могу понять утверждение «всю нашу работу с криптопровайдерами можно разобрать с дизассемблером за два часа».
                                      0
                                      'Please edit this page to include an introduction and important information for your users. '
                                      +3
                                      «Вай. Абижаеш. Мамай клянусь без бэкдоров...»
                                      0
                                      Да.
                                        0
                                        (я так понимаю, что это ответ на мой вопрос про РЖД)

                                        Вот так и пишите: продаем в подведомственные организации РЖД. Есть, знаете ли, разница в репутации
                                        0
                                        Эх, ребята, вот научились бы вы один контейнер на 2-х сразу железках держать открытым — было бы ноу-хау.
                                        Идейно, кстати, все уже сделано — нужно только drbd и какую-нибудь кластерную ФС спрятать под ssl.
                                        А так пока — рюшечки над тортиком а-ля-dmcrypt.
                                          –2
                                          Спасибо за первый коммент по теме -) Это в road map.
                                            0
                                            Посмотрел, кстати, вашу библиотеку — как вы паскаль с uses Windows под андроид собираете?

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое