ФБР не смогло взломать зашифрованный диск (сдались через год брутфорса)

    Бразильский банкир Даниель Дантас (Daniel Dantas) был арестован в Рио-де-Жанейро в июле 2008 года по подозрению в финансовых мошенничествах. Полиция немедленно провела обыск в его квартире и изъяла пять жёстких дисков с зашифрованной информацией. Местные специалисты из Национального института криминологии (National Institute of Criminology, INC) использовали брутфорс в течение пяти месяцев, но так и не смогли подобрать пароль. В начале 2009 года они обратились за помощью в ФБР.

    И вот сейчас стало известно, что ФБР в апреле 2010 года вернуло диски назад.

    Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна. Шифр 256-битный AES. По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.
    Поделиться публикацией

    Комментарии 367

      +137
      бугага
        +51
        терморектальный криптоанализ ломает всё!
          +27
          Каждый раз, когда речь заходит про шифрование, обязательно появляется сей пост. Сегодня рекорд — на втором месте.
            +5
            спустя час обсуждения — это не рекорд
              +1
              Ах ну да, и в последнее время обязательно находится кто то, кто пишет пост выше. Сегодня это был я.
                +2
                Ну дык! Просто надежнее метода еще не придумали.
                +3
                Правильно, не к тем обратились termorect.narod.ru/
                  +1
                  Не всегда нужно, чтобы жертва знала, что у неё стянули инфу. В этом случае такое метод не прокатит.
                    0
                    К сожалению терморектальный криптоанализ запрещён в соответствии с любой конституцией правовых стран.
                      +2
                      Вам бы в Гуантанамо. Вам бы там понравилось. Там так соблюдают права человека
                        +12
                        Вам бы в любую российскую зону или СИЗО. Там с правами еще лучше дело обстоит.
                      +2
                      А если человек реально пароль забыл?)
                        +1
                        останется без ногтей и пары пальцев, с ожогами и нарушенной до конца жизней психикой. и это в том случае, если его не убьют )
                        0
                        В совке да. Америка в отличии от совка страна где законы соблюдаются и за терморектальный криптоанализ потом такой анализ устроят тем кто это делал что мало не покажется. Причем головы лететь будут вплоть до высшего руководства.
                          +1
                          Это в том случае, если дело выплывет на достояние общественности. А оно может и не выплыть.
                          См. «Львы для ягнят», «Немыслимое», и пр. хорошие фильмы про Америку.
                            0
                            С вероятностью в 99.9% выплывет быстрее чем ФБР успеет начать заметать следы.
                              0
                              вы считаете что и для террориста надо соблюдать все нормы? и кофе приносить может?
                                +3
                                То есть правильно я понимаю — что бы не соблюдать нормы — можно обозвать человека террористом и все?
                                  0
                                  То что человек — террорист надо сначала доказать, до тех пор действует презумпция невиновности.
                                  На личном уровне я могу считать все что угодно, но на государственном это должно быть так.
                                    0
                                    Вспомнилась моя беседа с одним потенциальным работодателем.
                                    Я: Ну, да, когда дело доходит до гос. тайны у ФСБ отсутствует понятие «презумпция невиновности».
                                    ОН: Вообще то оно у ФСБ отсутствует изначально…
                                    Поржали)))
                                0
                                В сша официально разрешено применять пытки к подозреваемым в терроризме

                                http://www.independent.co.uk/news/world/americas/cia-torture-guidelines-post-september-11-detainees-guantanamo-bay-terrorism-a7085376.html
                                0
                                ага, наши менты сломали бы за час…
                                  0
                                  Но у нас нет ментов, осталась полиция, так что я сомневаюсь что сломают быстро.
                                +22
                                –9
                                пиар ТруКрипта?
                                  +30
                                  пиар AES 256
                                    –7
                                    Пиар Truecrypt.
                                    +35
                                    пиар длинных паролей
                                      0
                                      А если использовать Ключевые файлы, то они в век не смогут ничего сделать с шифром… Практика показывает, что это намного надежнее, чем даже самые длинные пароли… И ведь, вполне возможно, что этот дядька в качестве ключа использовал именно ключевые файлы, а не пароль…
                                        0
                                        В трукрипте ключевые файлы длиной всего 64 байта вроде.
                                          0
                                          сомневаюсь, что кто-нибудь использует пароли состоящие из 64 символов…
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              +1
                                              А с запоминанием и использованием проблем не будет? Конечно, если забудешь пароль это повысит криптостойкость, но и больнее будет при использовании способа с паяльником…
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                  +5
                                                  у меня есть пароль в 63 символа. проблемы с запоминанием не было, поскольку пароль наращивался постепенно.
                                                    +3
                                                    Mad skillz!!1
                                                      +1
                                                      только да, смысла особого в этом не было. =)
                                                      +1
                                                      он был ямбом и зарифмован? :)
                                                        0
                                                        нет. =) просто фразы, на английском и русском, без спецсимволов, пробелов и прочих цифр.
                                                      0
                                                      Скопипастить первые 64 символа из первой главы «Война и Мир». И при необходимости знаешь где посмотреть пароль.
                                                        0
                                                        и агенты ФБР будут знать где брать словарь :)
                                                    0
                                                    Я сейчас по дефолту использую 20 символов при регистрации на сайтах и 40 для ssh.

                                                    Так что использовать 64 для ТАКОГО рода информации как два пальца.
                                                      0
                                                      Вы реально помните все эти свои пароли, или они у вас одинаковые? Наверняка где-то храните пароли. А это ещё одна уязвимость.
                                                        +9
                                                        20 единичек не так уж и сложно запомнить).
                                                        А вообще есть достаточно неплохие методы по генерации\запоминанию длинных крутых паролей.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                            +8
                                                            к слову, если пароль состоит просто из случайно комбинации любых доступных для ввода с клавы символов (например, D92#p5S.t'x}3qM), то запоминаются скорее не сами символы, а перемещения пальцев по клавиатуре. проверено на себе. доходило до того, что без клавиатуры было очень сложно надиктовать человеку подобный пароль, приходилось садиться за клаву, чтобы его вспомнить, а потом уже надиктовывать.
                                                              +16
                                                              Откуда Вы узнали мой пароль к Хабру???
                                                                +16
                                                                Интересно, сколько посетителей уже попробовали с ним залогиниться в вашу учётку… =)
                                                            +1
                                                            На мониторе стикер наклеен с паролем, а так нигде не хранит…
                                                              +20
                                                              Зря заминусовали человека. С помощью мнемонических техник можно соорудить пароль и в 140 и в 200 символов. И не один на все случаи жизни, а десятки. Если это интересно сообществу могу написать об этом топик. Технику можно освоить за несколько минут.
                                                                +3
                                                                Интересно
                                                                  +3
                                                                  Напишите пожалуйста.
                                                                    +2
                                                                    dktcehjlbkfcmtkjxrfdktcejyfhjckfpbvjqbktnjvcrhjvyfzptktyfz,skf

                                                                    Запоминается крайне легко, а вот ошибиться при наборе достаточно просто. )
                                                                      0
                                                                      это что, стишок какой-то?
                                                                        0
                                                                        «В лесу родилась ёлочка...»)
                                                                        Только на английской раскладке.
                                                                          –1
                                                                          Значит можно подобрать по словарю.
                                                                            +1
                                                                            В лесу ёлочку, конечно, да. И 123456 тоже.

                                                                            В стихотворной форме можно запомнить гораздо больше символов, вот в чём прелесть. Я же не предлагаю всем ставить ёлочку!
                                                                              +2
                                                                              Nhblwfnm%Pkj,ysq>pdthtq == Тридцать5ЗлобныйЮзверей

                                                                              И такой херни пожно понапридумывать мильйон вариантов :) А главное — запоминается своей идиотичнстью. У меня таких 9 штук уже больше года. Менять не собираюсь еще год, пока не надоест.

                                                                              Хочется сложнее? Запросто!
                                                                              Cgfcb,jNt,t?Ltybcrby?Pf{f,h! == СпасибоТебе, Денискин, ЗаХабр!

                                                                              Главное — юзать русские символы, которые попадают на спец. символы в английской раскладке.
                                                                                0
                                                                                Пардон, в первом пароле: Злобных.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  +1
                                                                                  А самое классное в этом способе, когда ты при знакомых набираешь такой пароль из 20-30 символов. Умора)
                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                +2
                                                                                А почему скромная, а не стройная?

                                                                                Ааа… дополнительная криптостойкость! ;)
                                                                              +2
                                                                              Вот если вставить еще циферок в некоторые места, да каждый третий раз шифт нажимать, чтобы регистр менялся, то было бы совсем красиво.
                                                                                +2
                                                                                влесуродиласьелочкавлесуонарослазимойилетомскромнаязеленаябыла
                                                                                Это нифига не криптостойко.
                                                                                Какой смысл в таком пароле?
                                                                                  0
                                                                                  Можно после каждого слова ставить какой-нибудь спецсимвол, например
                                                                                  в! лесу«родилась№елочка; в%лесу: она? росла*зимой(и)летом_скромная+зеленая! была»
                                                                                    +5
                                                                                    В лесу $#@% ёлочку в %#*№ и "%&@.
                                                                                    Что-то вспомнился «Лабиринт отражений» с Падлой и его паролем.
                                                                                      +1
                                                                                      Мы знаем пароли только Лёни и Чингиза, а вот Падлин мы так и не услышали=))) Но думаю, он был более чем крут=)))
                                                                                      0
                                                                                      Только запоминаемость сразу упала
                                                                                      0
                                                                                      Почему это менее криптостойко, чем скажем «nb,Q!7;S»?
                                                                                      0
                                                                                      О, теперь я знаю пароль у Тимати :)
                                                                                      e`rjvvjyfuffuf
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          0
                                                                                          Математика штука коварная -)
                                                                                          в моём пароле 63 символа. С учётом того, что злоумышленник знает, что я использую русский на английской расскладке у него всё равно остаётся 33 символа свободы.
                                                                                          То есть количество вариантов: 33^63.

                                                                                          А теперь стандартный набор параноика: алфавит (26) + цифры(10) + верхний регистр (26) + спец символы(20) — 82 символа.
                                                                                          Итого, решаем уравнение x^82 > 33^63. => x > 14,63.

                                                                                          То есть пароль эквивалентен 15ти символам расширенного алфавита.
                                                                                          При этом он легко запоминаем, в отличие от «z4;$DrdS/gh4Q2]»
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              Я могу и ошибаться(тут надо бы спросить филологов) но кол-во русских фраз весьма и весьма велико. Вас же не ограничивают ёлочкой )
                                                                                      +1
                                                                                      напишите!
                                                                                    0
                                                                                    Достаточно помнить мастер пароль.

                                                                                    А, теоретически, уязвимо все что работает.
                                                                                    –4
                                                                                    20 символов на обычные сайты?! Зачем? Ну, взломают ваш аккаунт на клавагонках или каком нибудь форуме. Дальше что? Новый создадите и всё. Я понимаю почта там, базы данных, хранилища файлов… но обычные сайты…
                                                                                    Я думаю, вы и так знаете, но всё же: если захотят где либо взломать конкретно ваш аккаунт, будь у вас хоть 100 символов в пароле, его взломают.
                                                                                      +3
                                                                                      А топик намекает на другой исход.
                                                                                        +2
                                                                                        вроде как тут про шифрование топик, а не про взлом аккаунтов
                                                                                          0
                                                                                          Уязвимость одна — человек.
                                                                                          –3
                                                                                          Разве не понятно, что «ФБР не взломали дисочек и с улыбкой вернули его назад» бред полнейший? Одно то, что они год(!) ломали ключ брутфорсом, ну, по крайней мере, вызывает улыбку. Это всё равно что сказать «колхоз всё лето поливал морковку из леек, но так и не полил». При том, что у них налажена система орошения полей.
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              Да тоже ведь не факт…
                                                                                        0
                                                                                        А смысл на сайтах такие длинные пароли иметь? Там всё равно брутфорсом особо не подберёшься, ширина канала не позволит за десять лет даже шестизначный пароль подобрать :)
                                                                                          0
                                                                                          + на более-менее приличных сайтах даётся только несколько попыток в течение определённого интервала. Так что я использую на сайтах низкой важности пароли 6-8 символов. А если кейлоггером или сниффером — то от этого не убережёт даже пароль из 1000{n}000 символов
                                                                                        0
                                                                                        Придумать фразу длинной 64 байта не очень трудно, но зато она всегда в голове, а файл мало того, что потерять можно, да и еще найти его могут «не те люди».
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          0
                                                                                          Время на вбивание, пусть длинного, пароля, после продолжительного использования программы, будет меньше, чем возня с флешками и ключами. Кроме того, как я уже писал ниже, файлы можно как потерять, так и «не вовремя» найти.
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Точно, не подумал.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Я так понимаю, если бы взломали — пришили бы доп. доказательства к делу, смысла замалчивать в данном случае нет.
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                            +1
                                                                                            … Вы случайно не из ФСБ?
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Пиар того, что ФБР не надо бояться, типа они белые и пушистые :)
                                                                                          0
                                                                                          Пиар прямых рук и правильных паролей.
                                                                                          +111
                                                                                          Странно, что сдались. А как же…
                                                                                            +17
                                                                                            трудности перевода…
                                                                                            в русской версии следовало вместо гаечного ключа изобразить паяльник
                                                                                              +5
                                                                                              Утюг тоже имеет право на сущестование!
                                                                                                +70
                                                                                                друзья, но это же ключ, ну что же вы!
                                                                                                  +5
                                                                                                  _Этот_ ключ по-английски называется wrench.
                                                                                                +9
                                                                                                Достаточно натфиля, когда он сточит половину зуба 99% людей скажут всё что угодно. До десны выдержит 0.01% населения земли, и то это будут люди которые не чувствуют боли вообще.
                                                                                                  +7
                                                                                                  ждите предложение от фбр :)
                                                                                                    +21
                                                                                                    Надеюсь у вас это только теоретические знания?
                                                                                                      +3
                                                                                                      Частично было проверено на мне но не натфилем, в детстве оказался не восприимчев к советскому обезбаливающему. Приём дознания очень старый, применялся разведкой и фронтовыми дознатчиками, как самый быстрый и верный способ получить информацию. И человек в товарном виде, и не умрёт от отбитых органов. И скорость получения инфы очень быстрая.
                                                                                                        +2
                                                                                                        Что делать тем, кто вообще не пользуется никакой анестезией у стоматолога? Мне всегда «по-живому» сверлят. В том числе и передние зубы. Противно и очень громко, но совсем не больно. Я разведчик?
                                                                                                          +2
                                                                                                          Нет, просто у вас нервные узлы глубже к корням расположены. Когда будут пульпит лечить и нервы дёргать без анестезии, вот тогда опишите ощущения.
                                                                                                            +3
                                                                                                            ой, ну не каркайте вы так
                                                                                                              +1
                                                                                                              Чур чур, молчу молчу ;-)
                                                                                                              0
                                                                                                              Ну про нервы я и не спорю :) И естественно буду просить анестезии и много :)
                                                                                                                0
                                                                                                                Ну пока до нервов не дойдёт, то воздействие скорей всего психологическое идёт =)
                                                                                                                0
                                                                                                                Могу описать свои, было это правда лет 5-6 назад: в два или три приёма (дня), непроизвольные слёзы градом и произвольные стоны, боль просто адская. С тех пор без анестезии в кресло стоматолога не сажусь.
                                                                                                                +1
                                                                                                                Я, конечно, не спец в этом вопросе, но ежели сточить половину зуба, то напильник доберется до пульпы, наполненной сосудами и нервами, а это уже будет адская боль. Только я не уверен, что этот метод действительно мог быть широко распространен по той причине, что зубы находятся во рту и нужны какие-то приспособления для открытия рта.
                                                                                                                Вроде как способ «иголки под ногти» проще и эффективней.
                                                                                                                  0
                                                                                                                  Буквально пару недель назад имел удовольствие. Тётенька врач долго и настойчиво уговаривала применить анестезию. Забавно было смотреть, как она сверлит и сама морщиться :) На самом деле это действительно не так больно, нужно только как-то отвлечься. Большинство людей боится не самой боли а этого противного звука и чувства горячего зуба. Да, когда разговор идёт о нервах, то там уже всё серьёзно — получишь болевой шок и всё. А пульпа — это сказочно противно, как иголкой в десну тыкать и ковырять, но не так страшно, как кажется :)
                                                                                                                  Руку резать без анестезии намного больнее ;)
                                                                                                                    0
                                                                                                                    Не знаю, что у вас за пульпа, но мне даже с троекратной анестезией депульпирование зуба было жутко болезненной процедурой. Даже не представляю, как это без анестезии делать можно )
                                                                                                                      0
                                                                                                                      У меня не депульпирование :) У меня сильно сколотый зуб и пломба десятилетней давности на нём (точнее на остатках). Зуб оказался очень плохим, но удалять не стали и нарастили. Но сначала очень долго и нужно сверлили точили изнутри и снаружи :)
                                                                                                                        +3
                                                                                                                        Казалось бы, при чем тут зашифрованный диск? :-)
                                                                                                                          0
                                                                                                                          он скорее всего уже мертв был этот зуб
                                                                                                                          я вот никогда не забуду как мне удалили нерв без анестезии
                                                                                                                        0
                                                                                                                        В чем сакральный смысл отказываться от анестезии? Сам всегда требую второй укол, т.к. первый не до конца замораживает.
                                                                                                                      0
                                                                                                                      Я Вам по чёрному завидую — послезавтра к стоматологу идти. Я ещё не в кресле, но уже готов выдать врачу пароли. Правда он не поймёт той брани, которую я буду нести в кресле.
                                                                                                                        0
                                                                                                                        Ожидание боли хуже самой боли — это самая главная пытка :)
                                                                                                                  0
                                                                                                                  Кстати, тренируемый навык. По крайней мере я знаю одного человека, который перестал чувствовать боль, без каких-либо травм.
                                                                                                                    0
                                                                                                                    Лично я в такую историю не поверю. Боль — это слишком фундаментальный и необходимый для выживания механизм, чтобы его каким-то образом можно было бы прекратить чувствовать.
                                                                                                                      +1
                                                                                                                      Я вас не собирался убеждать. Более того, я не знаю каким именно образом человек этого достиг. Но факт я наблюдал сам — горячая сковорода удерживаемая в руках без напряжения в лице (более странно отсутствие даже намека на ожог), я смог лишь на мгновение коснуться той сковороды. Порез ножом человека тоже совершенно не напрягает. Много чего еще, но есть один плохой побочный эффект — нужно самостоятельно контролировать себя, чтобы не испортить организм из-за безразличия к боли (последнее со слов того человека).
                                                                                                                        0
                                                                                                                        Размер зрачков у испытуемого менялся?
                                                                                                                          0
                                                                                                                          Дело в том, что организм может привыкнуть к внешней боли, но к боли при повреждении внутренних органов организм не привыкает — это веками выработанный механизм выживания. Поэтому йоги там натренированно ходят по углям и т.д., спецназ себя зашивает на живую и т.д. С другой стороны сотрясение печени (прямой удар в неё) сваливает любого человека от болевого шока. Т.к. организм без печени жить не может. Также и пульпы зубов — организм считает это внутренним органом. К зубной боли не привыкнуть, и не выдержать. Поэтому люди даже зубилами зубы себе гнилые выбивали, лишь бы не ощущать эту постоянную боль.
                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                              0
                                                                                                                              Всё может быть, но болевой порог всё равно у них повышен.
                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            0
                                                                                                                            У Вашего знакомого, скорее всего, какое-то расстройство нервной системы. Болевые импульсы, видимо, не доходят до болевых центров. Или болевые центры из не так обрабатывают. Возможно, травмы этих центров. Или генетическое.

                                                                                                                            Вот, например, об этом:
                                                                                                                            www.chrab.chel.su/archive-zdorov/12-01-05/4/A382713.DOC.html
                                                                                                                            www.worldlingo.com/ma/enwiki/ru/Congenital_insensitivity_to_pain_with_anhidrosis
                                                                                                                        0
                                                                                                                        Ненавижу ощущение при пилении натфилем/наждачкой… Я бы сам все пароли выдал в процессе пиления зуба кому либо)))
                                                                                                                          0
                                                                                                                          Да, психологический момент тут тоже присутствует =)
                                                                                                                      +21
                                                                                                                      :) я ожидал, что про терморектальный криптоанализ вспомнят в первой тройке комментариев.
                                                                                                                        +7
                                                                                                                        Куда же без него, родимого: termorect.narod.ru/ =))
                                                                                                                          +2
                                                                                                                          А парой страниц выше заминусовали за такой же комментарий 8-)
                                                                                                                            +1
                                                                                                                            Вероятно, потому что он был оставлен позднее… ;)
                                                                                                                        +44
                                                                                                                        Вот оно соблюдение прав человека!

                                                                                                                        Правильно озаглавить новость — «ФБР отказалась от использования паяльника».
                                                                                                                          +5
                                                                                                                          При демократии обычно более акуратно действуют — ложат полотенце на лицо и поливают водичкой, пока человек не начинает захлебываться, задыхаться и тонуть, испытывая смертельный страх.
                                                                                                                            +4
                                                                                                                            *Кладут
                                                                                                                              0
                                                                                                                              Нет! Только не это! Не надо меня пытать очередным спором по поводу ложат/кладут!

                                                                                                                              LOL
                                                                                                                                –8
                                                                                                                                слово ложат существует, раз его можно написать, произнести и главное что многие его используют
                                                                                                                                долой граммарнаци
                                                                                                                                  +2
                                                                                                                                  Слово «хочю» тоже существует
                                                                                                                                    0
                                                                                                                                    Слово «хочю» существует, никто не спорит. Тока пишется несколько иначе :)
                                                                                                                                      0
                                                                                                                                      Дак и «ложат» пишется иначе, всегда с предлогом )
                                                                                                                                +1
                                                                                                                                Lie to me?
                                                                                                                                  0
                                                                                                                                  Джек Баур?
                                                                                                                                +1
                                                                                                                                скорее наоборот, плюнули на высокие технологии и вернулись к проверенным методам
                                                                                                                                +1
                                                                                                                                Если ключевой файл жержать на флешке и разгрызть её в случае опасности — не поможет.
                                                                                                                                  0
                                                                                                                                  А насколько надежным является процесс разгрызания? Лично я не уверен, что это на 100% уничтожит информацию на флешке.
                                                                                                                                    0
                                                                                                                                    смотря как грызть.
                                                                                                                                      0
                                                                                                                                      Информация в ней останется, а вот извлечь её будет затруднительно. Особенно, если несколько кусочков чипа проглотить.
                                                                                                                                        0
                                                                                                                                        Важно уничтожить чип. Можно ещё под ножку стула сунуть флешку и тяжело сесть.
                                                                                                                                        0
                                                                                                                                        электрошокером главное успеть долбануть флешку :)
                                                                                                                                        0
                                                                                                                                        там еще было: на самом деле, за 5$ ключ надо еще поискать… :) обожаю этот комикс.
                                                                                                                                        –1
                                                                                                                                        а как же черные ходы? или нас где-то обманывают?
                                                                                                                                          +3
                                                                                                                                          в этом-то и смысл открытых протоколов/методов. Черные ходы могут быть в закрытых технологиях, в открытых же их непросто разместить, да и смысла немного.
                                                                                                                                            –7
                                                                                                                                            Да-да, рассказывайте…
                                                                                                                                              +1
                                                                                                                                              месье параноик? месье может скомпилировать код трукрипта на бумажке для пущей надежности.
                                                                                                                                                –4
                                                                                                                                                Причём здесь паранойа? Открытость/закрытость исходников никак не влияет на наличие зловредного кода внутри.
                                                                                                                                                  +1
                                                                                                                                                  могу предложить вам не компилировать «зловредный» код.
                                                                                                                                                    0
                                                                                                                                                    И как я могу узнать где он есть этот зловредный код?
                                                                                                                                                      0
                                                                                                                                                      вы можете его прочитать, например. а если не можете, то вам рано писать подобные комментарии.
                                                                                                                                                        +4
                                                                                                                                                        Забавный вы человечек (: Я вот работаю над Webkit для Android. И знаете что? Я в нём вообще ничего не знаю, кроме той части над которой тружусь. А это менее 1% от общей массы кода. Вы бы перед тем как писать глупости, сами попробовали хоть что-то полезное для общества сделать. Изученность открытого кода — это миф. И за последние годы слишком много было случаев внезапного нахождения зловредного кода в различных open source проектах.
                                                                                                                                                          –5
                                                                                                                                                          >Изученность открытого кода — это миф.
                                                                                                                                                          >И за последние годы слишком много было случаев внезапного нахождения зловредного кода в различных open source проектах.

                                                                                                                                                          0 = 1.
                                                                                                                                                          +3
                                                                                                                                                          Вообще то, кода могут быть сотни тысяч строк. Вы сейчас предлагаете все их просмотреть и оценить вклад каждой из них в безопасность? Это то же самое, что сказать: "- ну странно, у Microsoft есть же исходники — че они все баги то не пофиксят сразу".
                                                                                                                                            +24
                                                                                                                                            Лучше б они отдали бразильца в Московское ГУВД, диск быстро бы расшифровался
                                                                                                                                              +3
                                                                                                                                              99%, что вторая была DiskCryptor и это не реклама отечественного open source аналога с кучей функционала и адекватным maintainer'ом :) на самом деле.
                                                                                                                                                +1
                                                                                                                                                откуда 99%?
                                                                                                                                                  –1
                                                                                                                                                  DiskCryptor — это единственное свободное решение, позволяющее шифровать все дисковые разделы, включая системный

                                                                                                                                                  да он врун!
                                                                                                                                                    0
                                                                                                                                                    а что еще есть? Не холивара ради, а хотелось бы просто знать
                                                                                                                                                      0
                                                                                                                                                      Truecrypt.
                                                                                                                                                      Который, в следующем предложении обвиняется в «ужасной лицензии». Причем со ссылкой на нытье третьих лиц. Детский сад — штаны на лямках.
                                                                                                                                                      Нормальная там вополне лицензия.
                                                                                                                                                        0
                                                                                                                                                        Там кстати уже всё поправили. И TC не ругают, и решение резко перестало быть единственным :)
                                                                                                                                                        0
                                                                                                                                                        TrueCrypt, BestCrypt и масса платных решений :) Т.е. фактически все :)
                                                                                                                                                          +1
                                                                                                                                                          !Open!
                                                                                                                                                            0
                                                                                                                                                            Чем truecrypt не !open!?
                                                                                                                                                            Исходники лежат — берите изучайте, пользуйте.
                                                                                                                                                              +1
                                                                                                                                                              не, просто масса платных решений — они как раз не open, а truecrypt — да.

                                                                                                                                                              Т.е. у нас есть
                                                                                                                                                              DiskCryptor
                                                                                                                                                              TrueCrypt
                                                                                                                                                              и BestCrypt

                                                                                                                                                              ?

                                                                                                                                                              Это все получается?
                                                                                                                                                                0
                                                                                                                                                                ЭЭээ… Мало?
                                                                                                                                                                  +1
                                                                                                                                                                  Вам солить? Или мариновать?
                                                                                                                                                      +1
                                                                                                                                                      хехе) отличный тест))
                                                                                                                                                      теперь народ повально начнет шифровать все трускриптом))
                                                                                                                                                        0
                                                                                                                                                        как раз думаю гигов 100 в контейнер загнать…
                                                                                                                                                          +2
                                                                                                                                                          Может утка для того и пущенная?.. =)
                                                                                                                                                          +3
                                                                                                                                                          кстати, а разве у них (как и почти везде) не запрещено юзать ключи длинной более 128 бит? как раз по этим причинам?
                                                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                              +4
                                                                                                                                                              вы хотите сказать что где-то есть закон гласящий «Запрещено использовать ключи длиной более 128 бит из-за трудности взлома»? :)
                                                                                                                                                                +1
                                                                                                                                                                Немного более завуалированно: вы имеете право использовать лишь сертифицированные средства шифрования. Сертификация под контролем ФСБ.

                                                                                                                                                                Если я заблуждаюсь, поправьте.
                                                                                                                                                                  0
                                                                                                                                                                  да, что-то такое.
                                                                                                                                                                  практика общемировая, именно потому что спецслужбы не могут взламывать.
                                                                                                                                                                    0
                                                                                                                                                                    тобишь если моя паранойя заставит меня написать свой шифратор, который будет использовать длинный ключ — то я буду вне закона? :/
                                                                                                                                                                      0
                                                                                                                                                                      Даже если короткий. Будучи частным лицом вы, вероятнее всего, не имеете право получить лицензию на разработку средств шифрования.
                                                                                                                                                                        +2
                                                                                                                                                                        Да.
                                                                                                                                                                        Но, будучи частным лицом, вы имеете полное право использовать средства шифрования даже без каких бы то ни было лицензий.
                                                                                                                                                                        Обсуждалось же уже, и не раз.
                                                                                                                                                                          0
                                                                                                                                                                          Но не в коммерческий целях :)
                                                                                                                                                                            0
                                                                                                                                                                            Не совсем. Лицензированию подлежит коммерческая деятельность, связанная с криптографией, то есть (согласно Википедии):
                                                                                                                                                                            — распространение шифровальных (криптографических) средств
                                                                                                                                                                            — техническое обслуживание шифровальных (криптографических) средств
                                                                                                                                                                            — предоставление услуг в области шифрования информации
                                                                                                                                                                            — разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

                                                                                                                                                                            Так что свои собственные тайны, даже при ведении бизнеса, защищайте сколько угодно — но бесплатно.
                                                                                                                                                                              +1
                                                                                                                                                                              Посмотрите на мое следующее сообщение — там цитата из указы №334, в котором прописан явный запрет.
                                                                                                                                                                            +2
                                                                                                                                                                            Кстати
                                                                                                                                                                            "4. В интересах информационной безопасности Российской Федерации и
                                                                                                                                                                            усиления борьбы с организованной преступностью запретить деятельность
                                                                                                                                                                            юридических и физических лиц, связанную с разработкой, производством,
                                                                                                                                                                            реализацией и эксплуатацией шифровальных средств, а также защищенных
                                                                                                                                                                            технических средств хранения, обработки и передачи информации,
                                                                                                                                                                            предоставлением услуг в области шифрования информации, без лицензий,
                                                                                                                                                                            выданных Федеральным агентством правительственной связи и информации
                                                                                                                                                                            при Президенте Российской Федерации в соответствии с Законом
                                                                                                                                                                            Российской Федерации «О федеральных органах правительственной связи и
                                                                                                                                                                            информации».
                                                                                                                                                                            "
                                                                                                                                                                            Так что, запрещено :)

                                                                                                                                                                              0
                                                                                                                                                                              Как так?
                                                                                                                                                                              Смотрите, я вот консервами торгую. Моя деятельность никак не связана с перечисленными здесь пунктами, так как сфера моей деятельности — торговля. Неужели это тоже подпадает под приказ?
                                                                                                                                                                                0
                                                                                                                                                                                Н-да, по зрелому размышлению — пожалуй, подпадает.
                                                                                                                                                                                Спасибо за наводки, ещё покопаюсь в законах, пожалуй…
                                                                                                                                                                                  0
                                                                                                                                                                                  Сразу возникает вопрос с юридическим статусом использования ssh и https. Сдаётся мне, что они также в понятие «шифровальные средства» входят.
                                                                                                                                                                                    +3
                                                                                                                                                                                    Очень правильные вопросы задаёте, товарищ!
                                                                                                                                                                                    На самом деле запрет есть. Но нигде не написано про наказание.
                                                                                                                                                                                    Плюс есть явный запрет на эксплуатацию не сертифицированных алгоритмов в гос. конторах. Получается, что https запрещён и дважды запрещён для гос. контор.
                                                                                                                                                                                    А есть ещё закон о персональных данных, который запрещает из передачу/хранения без шифрования и контроля.
                                                                                                                                                                                    И есть масса сайтов вроде https://service.nalog.ru/debt/ (официальный сайт налоговой — такие же есть у миграционной службы, ГИБДД и т.п.) У меня всё руки чешутся запрос туда направить — пусть покажут когда https оказался сертифицированным средством шифрования.
                                                                                                                                                                                    Но тогда все теле- и интернет-банки тоже запрещены, т.к. используют https.
                                                                                                                                                                                    Более того, шифрование GSM тоже попадает под запрет (из-за чего, его по слухам полностью отключили в большинстве регионов России).
                                                                                                                                                                                    В общем это дибилизм.
                                                                                                                                                                                      0
                                                                                                                                                                                      У вас устаревшие сведения, см. мой коммент ниже.
                                                                                                                                                                                      0
                                                                                                                                                                                      В Германии SSH запрещён. На сайте PuTTY, например, написано, что живущим в таких странах качать этот софт нельзя.
                                                                                                                                                                                        0
                                                                                                                                                                                        > В Германии SSH запрещён.

                                                                                                                                                                                        А можно ссылку? На сайте Putty есть ссылка сюда rechten.uvt.nl/koops/cryptolaw/, там про запрет SSH ничего не нашел.
                                                                                                                                                                                          0
                                                                                                                                                                                          SSH попадает под законы криптографии. По ссылке дока регулярно апдейтится. Возможно сейчас законы облегчили, но несколько лет назад была большая буча на Slashdot по этому поводу — немцы просто стонали от такого издевательства. Искать ссылки лень, извините. Думается мне, что сейчас закон всё-таки упростили, ибо без SSH по телнету лазить — ну вы сами понимаете (:
                                                                                                                                                                                      0
                                                                                                                                                                                      Этот указ еще в 1996 году, если не ошибаюсь, был отменен. В документе, его заменившем, осталась запрещена лишь коммерческая деятельность по производству/распространению и услуги по криптографической защите информации.
                                                                                                                                                                                        +1
                                                                                                                                                                                        С чего бы? Перерыл все доступные базы — в 2000 году он был дополнен, но нет никаких сведений об отмене. Очень даже, судя по всему, этот указ действует. Тем более, что на него ссылаются в более поздних документах (например относительно таможенных правил).
                                                                                                                                                                                          +1
                                                                                                                                                                                          Позволю себе предоставить большую цитату, сорри за размер, но тема интересная, а цитата исчерпывающе объясняет устами специалиста данный вопрос:
                                                                                                                                                                                          Нормативно-правовые основы использования гражданской криптографии

                                                                                                                                                                                          В основе использования криптографических средств частными лицами лежат как общие гарантии экономической деятельности*(21), закрепленные в ст. 18, ч. 1 ст. 34, ч. 3 ст. 55 Конституции РФ, так и ряд положений ГК РФ (см. выше) и других нормативно-правовых актов. Имеется также некоторая судебная практика.*(22)

                                                                                                                                                                                          Практический интерес представляет проблема соотношения публичного и гражданского права в этой сфере. Практиков интересует, прежде всего, вопрос: необходимы ли специальные разрешения, лицензии и прочие формальности публично-правового характера, чтобы приобретать и использовать средства электронной цифровой подписи, либо чтобы шифровать свою коммерческую или личную тайну?

                                                                                                                                                                                          Здесь следует обратить внимание на неточность, встречающуюся в литературе. Например, А. Серго полагает, что СКЗИ для собственных нужд сегодня можно использовать якобы только на основании лицензии: «Современные программные и технические шифровальные комплексы позволяют достаточно легко и быстро осуществлять защиту сообщений, но их использование не всегда легитимно (выделено мной — Д.О.)».*(23) В обоснование своих слов А. Серго приводит следующие положения п. 4 Указа Президента РФ N 334*(24):

                                                                                                                                                                                          В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».


                                                                                                                                                                                          Такая позиция ошибочна, поскольку с момента принятия в 1998 году ФЗ «О лицензировании отдельных видов деятельности» уже не требовалось лицензий для использования СКЗИ в собственных интересах.*(25) Статьи 17 и 18 закона прекратили действие п. 4 Указа N 334 в той его части, что требовала лицензий для шифрования или подписания ЭЦП своей информации.

                                                                                                                                                                                          Более того, уже в момент принятия указа, его п.4 противоречил положениям статей 18, 34 и 55 Конституции РФ, поскольку незаконно ограничивал конституционные права физических и юридических лиц на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности.

                                                                                                                                                                                          Поэтому А.А. Фатьянов*(26) справедливо отмечает, что на текущий момент нет препятствий к свободному приобретению и использованию юридическими и физическими лицами средств для шифрования своей информации (в частности, коммерческой или личной тайны). Справедливости ради отметим, что в своей последующей работе А.А. Фатьянов высказался более осторожно: «Из совокупного рассмотрения норм указанных актов (Указа N 334 и Постановления Правительства N 691 — Д.О.) со всей очевидностью не следует, что положение о лицензировании эксплуатации СКЗИ ныне утратило силу»*(27).
                                                                                                                                                                                          На наш взгляд, эта очевидность все же присутствует. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств*(28) не устанавливает обязанности лицензирования использования СКЗИ в собственных интересах. Напротив, в подпункте г пункта 3 Положения предусмотрено, что лицензируемая деятельность по техническому обслуживанию включает в себя, в частности, работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства. Здесь же специально оговорено, что к такой лицензируемой деятельности не относятся случаи, когда она производится для обеспечения собственных нужд.

                                                                                                                                                                                          К тому же из данного Положения следует, что лицензированию подлежит деятельность по техническому обслуживанию СКЗИ, но никак не сами процессы использования полезных свойств СКЗИ (зашифрование / расшифрование; подписание ЭЦП / проверка ЭЦП).
                                                                                                                                                                                          Таким образом, можно утверждать, что сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно, и не требует получения лицензий или выполнения иных формальностей публично-правового характера.

                                                                                                                                                                                          Д.В. Огородов,
                                                                                                                                                                                          к.ю.н., член Экспертного совета
                                                                                                                                                                                          Комитета Государственной Думы РФ по безопасности


                                                                                                                                                                                            +1
                                                                                                                                                                                            Это я понимаю. Но формально указ есть. И запрет есть. Значит есть повод взять за задницу. Когда за задницу возьмут, то можно будет долго в суде доказывать, что указ незаконен. Но. Во-первых, у нас не прецедентное право и каждый раз нужно доказывать заново (масса примеров). Во-вторых, судебная практика нынче такова, что кроме суды всех уровней кроме КС боятся признавать правительственные указы недействительными. Ну, и на конец, как показывает опыт с московской регистраций — плевать все хотели на судебные решения.
                                                                                                                                                                                              +1
                                                                                                                                                                                              мы же говорим о законности. По закону — запрета нет, президентский указ — это подзаконный акт, он не может противоречить федеральным законам, в нашем случае, при его подписании закона еще не было, но с его появлением соответствующие пункты стали недействительны. Про конституцию я вообще молчу.

                                                                                                                                                                                              А за задницу у нас могут взять без каких либо формальностей и так. Расскажу случай из своей жизни. Ехал я как то в электричке и заснул… Просыпаюсь в Кубинке, ночью, обратных электричек уже нет, стою чешу репу че делать, подходят менты — типа документы, а у меня как назло не было. Забрали к себе. Говорят — будем штрафовать. За что спрашиваю? А теперь откройте свой паспорт на последней странице и прочтите второй абзац где написано — «Паспорт обязаны иметь все граждане РФ, достигшие 14 летнего возраста....». Так вот по мнению ментов выделенное болдом означает что я его обязан иметь при себе, а раз не имею — то штраф. Вот так вот :)
                                                                                                                                                                                                0
                                                                                                                                                                                                Не согласен. Этот указ не отменён. Значит формально он является поводом к началу следственных действий (да, тут за уши всё притянуто, но формально можно подвести основу). Да, вы потом докажете, что они были не правы. Он им за это ничего не будет — они указ исполняли, а вот Вы потратите кучу сил и времени.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  А его и не надо отменять, это происходит автоматически, или вы думаете, что при издании любого нормативного акта в нем должны быть перечислены все им отменяемые? Учитывая, что нормативная база наследуется (в нашем случае от СССР) — это гиблое дело.
                                                                                                                                                                                                  Указы, восполняющие пробелы правового регулирования в сфере исключительного регулирования федеральных законов, действуют впредь до принятия соответствующих федеральных законов (предполагается, что принятие Президентом таких указов обязывает его в порядке законодательной инициативы внести в Государственную Думу соответствующий проект закона).

                                                                                                                                                                                                  Не нагоняйте панику, все мы знаем в какой стране живем, и что за задницу могут схватить по любому поводу, но в данном, обсуждаемом случае повод будет незаконен изначально и даже до суда не дойдет, а при наличии юридической грамотности хватаемого может и сразу отвалят.

                                                                                                                                                                                                  0
                                                                                                                                                                                                  Мне интересна одна вещь. Почему у граждан РФ такое репрессивное мышление и они ищут запреты там, где их на самом деле нет?
                                                                                                                                                                                          0
                                                                                                                                                                                          Тут сам указ незаконен. В части лицензирования деятельности физических лиц. Возможно, имелись в виду ИП (ИЧП, ПБЮЛ или как они там назывались по-разному). Лицензирование деятельности физических лиц — это полная фигня.
                                                                                                                                                                                            +1
                                                                                                                                                                                            Там нет лицензирования. Там есть запрет.
                                                                                                                                                                                              0
                                                                                                                                                                                              Запрет на деятельность без лицензий, выданных ФАПСИ (которая уже тоже, вроде, почила в бозе). Вы свои собственные посты-то читаете? :)
                                                                                                                                                                                              Что касается незаконности, это означает, что практику применения этого указа можно оспорить в суде и с большой долей вероятности выиграть дело. Как и «регистрацию в Москве» :), просто в случае регистрации многим проще дать взятку :(.
                                                                                                                                                                                                0
                                                                                                                                                                                                Балин, вон вверху 334й указ — читайте. Где там лицензия? Там просто запрет. Плюс, недавно принятый закон вообще вводит обязательно лицензирование и средств шифрования и услуг. Соответственно, при сколько-либо коммерческом использовании мы автоматом попадаем под штрафы.
                                                                                                                                                                                                Оспаривать в суде можно уже находясь в КПЗ и с конфискованными компьютерами/бухгалтерскими документами. Скорее всего, согласен, удастся оспорить — но масса удовольствия уже будет получена. Учитывая, что никакой ответственности контролирующие/правоохранительные органы не понесут, и право не прецедентное, то чхать они хотели на то, что это будет оспорено в суде.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  ЖЖоте! Перечитайте внимательно. Обратите внимание на слова «без лицензий»!!! Они там написаны не просто так.
                                                                                                                                                                                                  «В интересах информационной безопасности Российской Федерации и
                                                                                                                                                                                                  усиления борьбы с организованной преступностью _запретить_деятельность_
                                                                                                                                                                                                  юридических и физических лиц, связанную с разработкой, производством,
                                                                                                                                                                                                  реализацией и эксплуатацией шифровальных средств, а также защищенных
                                                                                                                                                                                                  технических средств хранения, обработки и передачи информации,
                                                                                                                                                                                                  предоставлением услуг в области шифрования информации, _без_лицензий_,
                                                                                                                                                                                                  выданных Федеральным агентством правительственной связи и информации
                                                                                                                                                                                                  при Президенте Российской Федерации в соответствии с Законом
                                                                                                                                                                                                  Российской Федерации «О федеральных органах правительственной связи и
                                                                                                                                                                                                  информации».»

                                                                                                                                                                                                  Конфискованные бухгалтерские документы у физического лица??? Вы что, с бодуна пишите??? КПЗ? По нарушению лицензии в КПЗ??? Не, вы не напились, вы явно обкурились какой-то дряни.

                                                                                                                                                                                                  Кстати, будьте так любезны предъявить закон по которому физическое лицо за деятельность без лицензии (противоречит ГК и вообще бред) положено посадить в КПЗ — где норма ответственности. Ах, нет такой нормы? Тогда потрудитесь не бредить более. И внимательно читать то, что сами же цитируете.

                                                                                                                                                                                                  Оспорить удастся. Это главное. Вы предпочитаете дать взятку, что ли? Или заплатить штраф? Или посидеть в «КПЗ»? Не пойму вашей позиции…
                                                                                                                                                                                              +2
                                                                                                                                                                                              Пока его не отменил КС — он законен. Т.е. на данный момент он действует.
                                                                                                                                                                                              а фигня, или не фигня — никого не волнует. Регистрация в Москве тоже не законна и что?
                                                                                                                                                                                          +2
                                                                                                                                                                                          Т.е. для частного собственного использование нужна лицензия? Я же не продаю, не распространяю, через границу перевозить не буду. Да и вообще, кто узнает в этом случае, что я что-то криптую до момента изъятия файла и криптора. И ведь им еще придется доказать, что эта программа криптор, а не система по записи логов системы в виде raw данных на винт.
                                                                                                                                                                                            0
                                                                                                                                                                                            низя!
                                                                                                                                                                                              0
                                                                                                                                                                                              Для частного/коммерческого использования разрешено вполне. Без лицензии нельзя лишь заниматься производством/распространением СКЗИ и оказывать услуги по защите информации. Указ, на который ссылается Sur_ru давно уже не действует.

                                                                                                                                                                                              Про статус импортированных СКЗИ вопрос конечно щеколтивый, вроде бы тот же GnuPG, будучи загруженным в виде исполняемого кода, вполне может считаться незаконно ввезенным на территорию РФ, а будучи собранным из исходников — незаконно произведенным в РФ тем, кто его собирал. В общем какой-то юридический маразм.

                                                                                                                                                                                              А в гос. структурах, понятное дело, только сертифицированные СКЗИ — паранойя для защиты гос. тайны, думаю, должна приветствоваться.
                                                                                                                                                                                                0
                                                                                                                                                                                                Покажите мне на основании чего не действует 334й указ?
                                                                                                                                                                                                  +4
                                                                                                                                                                                                  Ок, сегодня-завтра постараюсь выкроить времени немного. Я просто этот вопрос уже изучал месяца 3-4 назад чисто ради интереса.
                                                                                                                                                                                              +1
                                                                                                                                                                                              Более того, никто даже не узнает — шифруете вы что-то или нет.
                                                                                                                                                                                              «Это просто файл с мусором, докажете обратное, тогда можете идти к судье, а до этого момента идите прямо на восток с улыбкой на лице».
                                                                                                                                                                                        0
                                                                                                                                                                                        единственное что в законе не указана мера наказания за использование несертефицированных средств шифрования