Как стать автором
Обновить

Комментарии 23

открытость исключает возможность включения в них бэкдоров

Не исключает.
Согласен.
Правильнее написать «повышает шанс обнаружения»
Даже это не факт. Когда сорцы открыты, то все думают «так сорцы же открыты — значит если бэкдоры и были, то их давно нашли и убрали». Тут же ещё и психология влияет.
Тем не менее шанс обнаружение повышается в любом случае.
Но никуда не девается шанс добавление новых закладок. Злополучный коммит с Heartbleed дырой был внесен аккурат в преддверии нового года. А еще конкурс по написанию запутанного кода на Си чего стоит. АНБ сложа руки не сидит.
Да чего коммиты, даже линуксоиды сейчас ставят собранные кем-то пакеты, в которые можно добавить что угодно.
Чего там пакеты, ставят закрытые дрова, которые неизвестно что делают в системе. Сам грешен.
Ну а как жить без нормального драйвера от Nvidia?
Проприетарные игры не лучше левых пакетов. Я заморочился и пробросил видяху в виртуалку. А в хосте мне и открытого драйвера хватает.
К сожалению это процесс динамический — любое решение в один момент может устареть.
Пока не будет сформирован пул государств на государственном уровне защищающий приватность пользователей и осуществляющий поддержку разработчиков борьба со спецслужбами США похожа на противостояние повстанцев с камнями регулярной армии.

Пока же я вижу со стороны всех государств только соревнование в том кто больше влезет в пользовательские данные.
>Пока не будет сформирован пул государств на государственном уровне защищающий приватность пользователей и осуществляющий поддержку разработчиков
Как только такой пул будет создан, угадайте, в какой список его включат Штаты.
По большому счету пофиг.
Если там будут крупные игроки типа Германии.
Если там будет мелочь контролирующая 1-2% мирового ВВП то по любому погоды они не сделают.
Вообще-то 1-2% — это более чем достаточно. В отличие от реала, где толпа с камнями не имеет никаких шансов против регулярной армии, здесь речь идет о сравнительно простых инструментах, эффективность которых предопределена не финансовой мощью их создателей, а законами природы, в частности, математики. Теоретическая основа выражается, грубо говоря, в том, что мой лаптоп может эффективно оперировать с ключами такой длины, что с их взломом все компьютеры мира не справятся за гигагод.

Поскольку никакое АНБ ни при каких вливаниях не может сравниться с открытой мировой наукой в области теории криптографии, то сообществу требуется «всего лишь» аккуратно реализовывать соответствующее ПО и железо (собственно, именно в этих деталях реализации дьявол и кроется). Что, возможно, слишком трудная задача для энтузиастов-одиночек и небольших групп, но вполне по силам организациям покрупнее.
НЛО прилетело и опубликовало эту надпись здесь
Интересно, почему вас минусуют. Присоединяться-то можно с разными целями…
Госдеп спонсирует Tor, например.
Не очень понятно, зачем ломать HTTPS, если можно просто сделать себе нужный сертификат в каком-нибудь государственном CA или по секретному запросу к частному CA.
Сертификата недостаточно для взлома https. Нужен приватный ключ, а его регистраторам обычно не передают.
Я имею в виду что они — сильная правительственная организация и у них есть карманный CA, являющийся доверенным в популярных ОС и браузерах. Таким образом вы можете сгенерить свой ключ и сертификат для нужного домена. Это не прокатит для крупных сайтов, т.к. certificate pinning, но вполне сработает для сайтов по-проще.
Ну вобщем да, смысл ломать HTTPS есть.
Такое прокатит только для точечных ударов. И если на втором конце окажется нормальный IT-шник, который сольёт сертификат куда надо — CA быстренько выпилят отовсюду.
Это никак не поможет им в расшифровке _перехваченного_ траффика. А человека-в-середине достаточно быстро вычислят.

Китайцы вообще особо не парились, когда сели между ФБ и пользователями (или там был Твиттер?), но их враз вычислили. А была бы возможность расшифровки траффика — всё было бы веселее.
Я понимаю, что Сноуден нам дал много «топсикрет» документов и т.д., но это не исключает наличия «топтопсикрет» документов. Если бы я был начальником АНБ, то после взлома вышеуказанных шифрований и систем я бы это сильно засекретил, чтобы поменьше людей об этом знало. Понятное дело, что всё равно когда-нибудь да вскрылось, но сейчас по-моему оно никому не надо и лучше на время залечь на дно.
Дело в том, что уязвимость бесполезна, если ее не использовать, а для этого необходимо, чтобы сотрудники были в курсе. К Top Secret допущены лишь немногие, и секретить еще глубже вряд ли имеет смысл.

Хотя конечно, ничего нельзя утверждать наверняка.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории