Comments 367
Каждый раз, когда речь заходит про шифрование, обязательно появляется сей пост. Сегодня рекорд — на втором месте.
Ах ну да, и в последнее время обязательно находится кто то, кто пишет пост выше. Сегодня это был я.
Не всегда нужно, чтобы жертва знала, что у неё стянули инфу. В этом случае такое метод не прокатит.
К сожалению терморектальный криптоанализ запрещён в соответствии с любой конституцией правовых стран.
Вам бы в Гуантанамо. Вам бы там понравилось. Там так соблюдают права человека
Вам бы в любую российскую зону или СИЗО. Там с правами еще лучше дело обстоит.
останется без ногтей и пары пальцев, с ожогами и нарушенной до конца жизней психикой. и это в том случае, если его не убьют )
В совке да. Америка в отличии от совка страна где законы соблюдаются и за терморектальный криптоанализ потом такой анализ устроят тем кто это делал что мало не покажется. Причем головы лететь будут вплоть до высшего руководства.
Это в том случае, если дело выплывет на достояние общественности. А оно может и не выплыть.
См. «Львы для ягнят», «Немыслимое», и пр. хорошие фильмы про Америку.
С вероятностью в 99.9% выплывет быстрее чем ФБР успеет начать заметать следы.
вы считаете что и для террориста надо соблюдать все нормы? и кофе приносить может?
То есть правильно я понимаю — что бы не соблюдать нормы — можно обозвать человека террористом и все?
То что человек — террорист надо сначала доказать, до тех пор действует презумпция невиновности.
На личном уровне я могу считать все что угодно, но на государственном это должно быть так.
Вспомнилась моя беседа с одним потенциальным работодателем.
Я: Ну, да, когда дело доходит до гос. тайны у ФСБ отсутствует понятие «презумпция невиновности».
ОН: Вообще то оно у ФСБ отсутствует изначально…
Поржали)))
В сша официально разрешено применять пытки к подозреваемым в терроризме

http://www.independent.co.uk/news/world/americas/cia-torture-guidelines-post-september-11-detainees-guantanamo-bay-terrorism-a7085376.html
Но у нас нет ментов, осталась полиция, так что я сомневаюсь что сломают быстро.
А если использовать Ключевые файлы, то они в век не смогут ничего сделать с шифром… Практика показывает, что это намного надежнее, чем даже самые длинные пароли… И ведь, вполне возможно, что этот дядька в качестве ключа использовал именно ключевые файлы, а не пароль…
сомневаюсь, что кто-нибудь использует пароли состоящие из 64 символов…
UFO landed and left these words here
А с запоминанием и использованием проблем не будет? Конечно, если забудешь пароль это повысит криптостойкость, но и больнее будет при использовании способа с паяльником…
UFO landed and left these words here
у меня есть пароль в 63 символа. проблемы с запоминанием не было, поскольку пароль наращивался постепенно.
нет. =) просто фразы, на английском и русском, без спецсимволов, пробелов и прочих цифр.
Скопипастить первые 64 символа из первой главы «Война и Мир». И при необходимости знаешь где посмотреть пароль.
Я сейчас по дефолту использую 20 символов при регистрации на сайтах и 40 для ssh.

Так что использовать 64 для ТАКОГО рода информации как два пальца.
Вы реально помните все эти свои пароли, или они у вас одинаковые? Наверняка где-то храните пароли. А это ещё одна уязвимость.
20 единичек не так уж и сложно запомнить).
А вообще есть достаточно неплохие методы по генерации\запоминанию длинных крутых паролей.
UFO landed and left these words here
к слову, если пароль состоит просто из случайно комбинации любых доступных для ввода с клавы символов (например, D92#p5S.t'x}3qM), то запоминаются скорее не сами символы, а перемещения пальцев по клавиатуре. проверено на себе. доходило до того, что без клавиатуры было очень сложно надиктовать человеку подобный пароль, приходилось садиться за клаву, чтобы его вспомнить, а потом уже надиктовывать.
Интересно, сколько посетителей уже попробовали с ним залогиниться в вашу учётку… =)
Зря заминусовали человека. С помощью мнемонических техник можно соорудить пароль и в 140 и в 200 символов. И не один на все случаи жизни, а десятки. Если это интересно сообществу могу написать об этом топик. Технику можно освоить за несколько минут.
dktcehjlbkfcmtkjxrfdktcejyfhjckfpbvjqbktnjvcrhjvyfzptktyfz,skf

Запоминается крайне легко, а вот ошибиться при наборе достаточно просто. )
«В лесу родилась ёлочка...»)
Только на английской раскладке.
В лесу ёлочку, конечно, да. И 123456 тоже.

В стихотворной форме можно запомнить гораздо больше символов, вот в чём прелесть. Я же не предлагаю всем ставить ёлочку!
Nhblwfnm%Pkj,ysq>pdthtq == Тридцать5ЗлобныйЮзверей

И такой херни пожно понапридумывать мильйон вариантов :) А главное — запоминается своей идиотичнстью. У меня таких 9 штук уже больше года. Менять не собираюсь еще год, пока не надоест.

Хочется сложнее? Запросто!
Cgfcb,jNt,t?Ltybcrby?Pf{f,h! == СпасибоТебе, Денискин, ЗаХабр!

Главное — юзать русские символы, которые попадают на спец. символы в английской раскладке.
UFO landed and left these words here
А самое классное в этом способе, когда ты при знакомых набираешь такой пароль из 20-30 символов. Умора)
UFO landed and left these words here
А почему скромная, а не стройная?

Ааа… дополнительная криптостойкость! ;)
Вот если вставить еще циферок в некоторые места, да каждый третий раз шифт нажимать, чтобы регистр менялся, то было бы совсем красиво.
влесуродиласьелочкавлесуонарослазимойилетомскромнаязеленаябыла
Это нифига не криптостойко.
Какой смысл в таком пароле?
Можно после каждого слова ставить какой-нибудь спецсимвол, например
в! лесу«родилась№елочка; в%лесу: она? росла*зимой(и)летом_скромная+зеленая! была»
В лесу $#@% ёлочку в %#*№ и "%&@.
Что-то вспомнился «Лабиринт отражений» с Падлой и его паролем.
Мы знаем пароли только Лёни и Чингиза, а вот Падлин мы так и не услышали=))) Но думаю, он был более чем крут=)))
UFO landed and left these words here
Математика штука коварная -)
в моём пароле 63 символа. С учётом того, что злоумышленник знает, что я использую русский на английской расскладке у него всё равно остаётся 33 символа свободы.
То есть количество вариантов: 33^63.

А теперь стандартный набор параноика: алфавит (26) + цифры(10) + верхний регистр (26) + спец символы(20) — 82 символа.
Итого, решаем уравнение x^82 > 33^63. => x > 14,63.

То есть пароль эквивалентен 15ти символам расширенного алфавита.
При этом он легко запоминаем, в отличие от «z4;$DrdS/gh4Q2]»
UFO landed and left these words here
Я могу и ошибаться(тут надо бы спросить филологов) но кол-во русских фраз весьма и весьма велико. Вас же не ограничивают ёлочкой )
Достаточно помнить мастер пароль.

А, теоретически, уязвимо все что работает.
20 символов на обычные сайты?! Зачем? Ну, взломают ваш аккаунт на клавагонках или каком нибудь форуме. Дальше что? Новый создадите и всё. Я понимаю почта там, базы данных, хранилища файлов… но обычные сайты…
Я думаю, вы и так знаете, но всё же: если захотят где либо взломать конкретно ваш аккаунт, будь у вас хоть 100 символов в пароле, его взломают.
Разве не понятно, что «ФБР не взломали дисочек и с улыбкой вернули его назад» бред полнейший? Одно то, что они год(!) ломали ключ брутфорсом, ну, по крайней мере, вызывает улыбку. Это всё равно что сказать «колхоз всё лето поливал морковку из леек, но так и не полил». При том, что у них налажена система орошения полей.
UFO landed and left these words here
А смысл на сайтах такие длинные пароли иметь? Там всё равно брутфорсом особо не подберёшься, ширина канала не позволит за десять лет даже шестизначный пароль подобрать :)
+ на более-менее приличных сайтах даётся только несколько попыток в течение определённого интервала. Так что я использую на сайтах низкой важности пароли 6-8 символов. А если кейлоггером или сниффером — то от этого не убережёт даже пароль из 1000{n}000 символов
Придумать фразу длинной 64 байта не очень трудно, но зато она всегда в голове, а файл мало того, что потерять можно, да и еще найти его могут «не те люди».
UFO landed and left these words here
Время на вбивание, пусть длинного, пароля, после продолжительного использования программы, будет меньше, чем возня с флешками и ключами. Кроме того, как я уже писал ниже, файлы можно как потерять, так и «не вовремя» найти.
UFO landed and left these words here
UFO landed and left these words here
Я так понимаю, если бы взломали — пришили бы доп. доказательства к делу, смысла замалчивать в данном случае нет.
UFO landed and left these words here
UFO landed and left these words here
Пиар того, что ФБР не надо бояться, типа они белые и пушистые :)
трудности перевода…
в русской версии следовало вместо гаечного ключа изобразить паяльник
Достаточно натфиля, когда он сточит половину зуба 99% людей скажут всё что угодно. До десны выдержит 0.01% населения земли, и то это будут люди которые не чувствуют боли вообще.
Частично было проверено на мне но не натфилем, в детстве оказался не восприимчев к советскому обезбаливающему. Приём дознания очень старый, применялся разведкой и фронтовыми дознатчиками, как самый быстрый и верный способ получить информацию. И человек в товарном виде, и не умрёт от отбитых органов. И скорость получения инфы очень быстрая.
Что делать тем, кто вообще не пользуется никакой анестезией у стоматолога? Мне всегда «по-живому» сверлят. В том числе и передние зубы. Противно и очень громко, но совсем не больно. Я разведчик?
Нет, просто у вас нервные узлы глубже к корням расположены. Когда будут пульпит лечить и нервы дёргать без анестезии, вот тогда опишите ощущения.
Ну про нервы я и не спорю :) И естественно буду просить анестезии и много :)
Ну пока до нервов не дойдёт, то воздействие скорей всего психологическое идёт =)
Могу описать свои, было это правда лет 5-6 назад: в два или три приёма (дня), непроизвольные слёзы градом и произвольные стоны, боль просто адская. С тех пор без анестезии в кресло стоматолога не сажусь.
Я, конечно, не спец в этом вопросе, но ежели сточить половину зуба, то напильник доберется до пульпы, наполненной сосудами и нервами, а это уже будет адская боль. Только я не уверен, что этот метод действительно мог быть широко распространен по той причине, что зубы находятся во рту и нужны какие-то приспособления для открытия рта.
Вроде как способ «иголки под ногти» проще и эффективней.
Буквально пару недель назад имел удовольствие. Тётенька врач долго и настойчиво уговаривала применить анестезию. Забавно было смотреть, как она сверлит и сама морщиться :) На самом деле это действительно не так больно, нужно только как-то отвлечься. Большинство людей боится не самой боли а этого противного звука и чувства горячего зуба. Да, когда разговор идёт о нервах, то там уже всё серьёзно — получишь болевой шок и всё. А пульпа — это сказочно противно, как иголкой в десну тыкать и ковырять, но не так страшно, как кажется :)
Руку резать без анестезии намного больнее ;)
Не знаю, что у вас за пульпа, но мне даже с троекратной анестезией депульпирование зуба было жутко болезненной процедурой. Даже не представляю, как это без анестезии делать можно )
У меня не депульпирование :) У меня сильно сколотый зуб и пломба десятилетней давности на нём (точнее на остатках). Зуб оказался очень плохим, но удалять не стали и нарастили. Но сначала очень долго и нужно сверлили точили изнутри и снаружи :)
он скорее всего уже мертв был этот зуб
я вот никогда не забуду как мне удалили нерв без анестезии
В чем сакральный смысл отказываться от анестезии? Сам всегда требую второй укол, т.к. первый не до конца замораживает.
Я Вам по чёрному завидую — послезавтра к стоматологу идти. Я ещё не в кресле, но уже готов выдать врачу пароли. Правда он не поймёт той брани, которую я буду нести в кресле.
Кстати, тренируемый навык. По крайней мере я знаю одного человека, который перестал чувствовать боль, без каких-либо травм.
Лично я в такую историю не поверю. Боль — это слишком фундаментальный и необходимый для выживания механизм, чтобы его каким-то образом можно было бы прекратить чувствовать.
Я вас не собирался убеждать. Более того, я не знаю каким именно образом человек этого достиг. Но факт я наблюдал сам — горячая сковорода удерживаемая в руках без напряжения в лице (более странно отсутствие даже намека на ожог), я смог лишь на мгновение коснуться той сковороды. Порез ножом человека тоже совершенно не напрягает. Много чего еще, но есть один плохой побочный эффект — нужно самостоятельно контролировать себя, чтобы не испортить организм из-за безразличия к боли (последнее со слов того человека).
Дело в том, что организм может привыкнуть к внешней боли, но к боли при повреждении внутренних органов организм не привыкает — это веками выработанный механизм выживания. Поэтому йоги там натренированно ходят по углям и т.д., спецназ себя зашивает на живую и т.д. С другой стороны сотрясение печени (прямой удар в неё) сваливает любого человека от болевого шока. Т.к. организм без печени жить не может. Также и пульпы зубов — организм считает это внутренним органом. К зубной боли не привыкнуть, и не выдержать. Поэтому люди даже зубилами зубы себе гнилые выбивали, лишь бы не ощущать эту постоянную боль.
UFO landed and left these words here
Всё может быть, но болевой порог всё равно у них повышен.
UFO landed and left these words here
У Вашего знакомого, скорее всего, какое-то расстройство нервной системы. Болевые импульсы, видимо, не доходят до болевых центров. Или болевые центры из не так обрабатывают. Возможно, травмы этих центров. Или генетическое.

Вот, например, об этом:
www.chrab.chel.su/archive-zdorov/12-01-05/4/A382713.DOC.html
www.worldlingo.com/ma/enwiki/ru/Congenital_insensitivity_to_pain_with_anhidrosis
Ненавижу ощущение при пилении натфилем/наждачкой… Я бы сам все пароли выдал в процессе пиления зуба кому либо)))
:) я ожидал, что про терморектальный криптоанализ вспомнят в первой тройке комментариев.
А парой страниц выше заминусовали за такой же комментарий 8-)
Вот оно соблюдение прав человека!

Правильно озаглавить новость — «ФБР отказалась от использования паяльника».
При демократии обычно более акуратно действуют — ложат полотенце на лицо и поливают водичкой, пока человек не начинает захлебываться, задыхаться и тонуть, испытывая смертельный страх.
Нет! Только не это! Не надо меня пытать очередным спором по поводу ложат/кладут!

LOL
слово ложат существует, раз его можно написать, произнести и главное что многие его используют
долой граммарнаци
Слово «хочю» существует, никто не спорит. Тока пишется несколько иначе :)
скорее наоборот, плюнули на высокие технологии и вернулись к проверенным методам
Если ключевой файл жержать на флешке и разгрызть её в случае опасности — не поможет.
А насколько надежным является процесс разгрызания? Лично я не уверен, что это на 100% уничтожит информацию на флешке.
Информация в ней останется, а вот извлечь её будет затруднительно. Особенно, если несколько кусочков чипа проглотить.
Важно уничтожить чип. Можно ещё под ножку стула сунуть флешку и тяжело сесть.
там еще было: на самом деле, за 5$ ключ надо еще поискать… :) обожаю этот комикс.
в этом-то и смысл открытых протоколов/методов. Черные ходы могут быть в закрытых технологиях, в открытых же их непросто разместить, да и смысла немного.
месье параноик? месье может скомпилировать код трукрипта на бумажке для пущей надежности.
Причём здесь паранойа? Открытость/закрытость исходников никак не влияет на наличие зловредного кода внутри.
вы можете его прочитать, например. а если не можете, то вам рано писать подобные комментарии.
Забавный вы человечек (: Я вот работаю над Webkit для Android. И знаете что? Я в нём вообще ничего не знаю, кроме той части над которой тружусь. А это менее 1% от общей массы кода. Вы бы перед тем как писать глупости, сами попробовали хоть что-то полезное для общества сделать. Изученность открытого кода — это миф. И за последние годы слишком много было случаев внезапного нахождения зловредного кода в различных open source проектах.
>Изученность открытого кода — это миф.
>И за последние годы слишком много было случаев внезапного нахождения зловредного кода в различных open source проектах.

0 = 1.
Вообще то, кода могут быть сотни тысяч строк. Вы сейчас предлагаете все их просмотреть и оценить вклад каждой из них в безопасность? Это то же самое, что сказать: "- ну странно, у Microsoft есть же исходники — че они все баги то не пофиксят сразу".
Лучше б они отдали бразильца в Московское ГУВД, диск быстро бы расшифровался
99%, что вторая была DiskCryptor и это не реклама отечественного open source аналога с кучей функционала и адекватным maintainer'ом :) на самом деле.
DiskCryptor — это единственное свободное решение, позволяющее шифровать все дисковые разделы, включая системный

да он врун!
Truecrypt.
Который, в следующем предложении обвиняется в «ужасной лицензии». Причем со ссылкой на нытье третьих лиц. Детский сад — штаны на лямках.
Нормальная там вополне лицензия.
Там кстати уже всё поправили. И TC не ругают, и решение резко перестало быть единственным :)
Чем truecrypt не !open!?
Исходники лежат — берите изучайте, пользуйте.
не, просто масса платных решений — они как раз не open, а truecrypt — да.

Т.е. у нас есть
DiskCryptor
TrueCrypt
и BestCrypt

?

Это все получается?
хехе) отличный тест))
теперь народ повально начнет шифровать все трускриптом))
кстати, а разве у них (как и почти везде) не запрещено юзать ключи длинной более 128 бит? как раз по этим причинам?
UFO landed and left these words here
вы хотите сказать что где-то есть закон гласящий «Запрещено использовать ключи длиной более 128 бит из-за трудности взлома»? :)
Немного более завуалированно: вы имеете право использовать лишь сертифицированные средства шифрования. Сертификация под контролем ФСБ.

Если я заблуждаюсь, поправьте.
да, что-то такое.
практика общемировая, именно потому что спецслужбы не могут взламывать.
тобишь если моя паранойя заставит меня написать свой шифратор, который будет использовать длинный ключ — то я буду вне закона? :/
Даже если короткий. Будучи частным лицом вы, вероятнее всего, не имеете право получить лицензию на разработку средств шифрования.
Да.
Но, будучи частным лицом, вы имеете полное право использовать средства шифрования даже без каких бы то ни было лицензий.
Обсуждалось же уже, и не раз.
Не совсем. Лицензированию подлежит коммерческая деятельность, связанная с криптографией, то есть (согласно Википедии):
— распространение шифровальных (криптографических) средств
— техническое обслуживание шифровальных (криптографических) средств
— предоставление услуг в области шифрования информации
— разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

Так что свои собственные тайны, даже при ведении бизнеса, защищайте сколько угодно — но бесплатно.
Посмотрите на мое следующее сообщение — там цитата из указы №334, в котором прописан явный запрет.
Кстати
"4. В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью запретить деятельность
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, без лицензий,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации».
"
Так что, запрещено :)

Как так?
Смотрите, я вот консервами торгую. Моя деятельность никак не связана с перечисленными здесь пунктами, так как сфера моей деятельности — торговля. Неужели это тоже подпадает под приказ?
Н-да, по зрелому размышлению — пожалуй, подпадает.
Спасибо за наводки, ещё покопаюсь в законах, пожалуй…
Сразу возникает вопрос с юридическим статусом использования ssh и https. Сдаётся мне, что они также в понятие «шифровальные средства» входят.
Очень правильные вопросы задаёте, товарищ!
На самом деле запрет есть. Но нигде не написано про наказание.
Плюс есть явный запрет на эксплуатацию не сертифицированных алгоритмов в гос. конторах. Получается, что https запрещён и дважды запрещён для гос. контор.
А есть ещё закон о персональных данных, который запрещает из передачу/хранения без шифрования и контроля.
И есть масса сайтов вроде https://service.nalog.ru/debt/ (официальный сайт налоговой — такие же есть у миграционной службы, ГИБДД и т.п.) У меня всё руки чешутся запрос туда направить — пусть покажут когда https оказался сертифицированным средством шифрования.
Но тогда все теле- и интернет-банки тоже запрещены, т.к. используют https.
Более того, шифрование GSM тоже попадает под запрет (из-за чего, его по слухам полностью отключили в большинстве регионов России).
В общем это дибилизм.
В Германии SSH запрещён. На сайте PuTTY, например, написано, что живущим в таких странах качать этот софт нельзя.
SSH попадает под законы криптографии. По ссылке дока регулярно апдейтится. Возможно сейчас законы облегчили, но несколько лет назад была большая буча на Slashdot по этому поводу — немцы просто стонали от такого издевательства. Искать ссылки лень, извините. Думается мне, что сейчас закон всё-таки упростили, ибо без SSH по телнету лазить — ну вы сами понимаете (:
Этот указ еще в 1996 году, если не ошибаюсь, был отменен. В документе, его заменившем, осталась запрещена лишь коммерческая деятельность по производству/распространению и услуги по криптографической защите информации.
С чего бы? Перерыл все доступные базы — в 2000 году он был дополнен, но нет никаких сведений об отмене. Очень даже, судя по всему, этот указ действует. Тем более, что на него ссылаются в более поздних документах (например относительно таможенных правил).
Позволю себе предоставить большую цитату, сорри за размер, но тема интересная, а цитата исчерпывающе объясняет устами специалиста данный вопрос:
Нормативно-правовые основы использования гражданской криптографии

В основе использования криптографических средств частными лицами лежат как общие гарантии экономической деятельности*(21), закрепленные в ст. 18, ч. 1 ст. 34, ч. 3 ст. 55 Конституции РФ, так и ряд положений ГК РФ (см. выше) и других нормативно-правовых актов. Имеется также некоторая судебная практика.*(22)

Практический интерес представляет проблема соотношения публичного и гражданского права в этой сфере. Практиков интересует, прежде всего, вопрос: необходимы ли специальные разрешения, лицензии и прочие формальности публично-правового характера, чтобы приобретать и использовать средства электронной цифровой подписи, либо чтобы шифровать свою коммерческую или личную тайну?

Здесь следует обратить внимание на неточность, встречающуюся в литературе. Например, А. Серго полагает, что СКЗИ для собственных нужд сегодня можно использовать якобы только на основании лицензии: «Современные программные и технические шифровальные комплексы позволяют достаточно легко и быстро осуществлять защиту сообщений, но их использование не всегда легитимно (выделено мной — Д.О.)».*(23) В обоснование своих слов А. Серго приводит следующие положения п. 4 Указа Президента РФ N 334*(24):

В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».


Такая позиция ошибочна, поскольку с момента принятия в 1998 году ФЗ «О лицензировании отдельных видов деятельности» уже не требовалось лицензий для использования СКЗИ в собственных интересах.*(25) Статьи 17 и 18 закона прекратили действие п. 4 Указа N 334 в той его части, что требовала лицензий для шифрования или подписания ЭЦП своей информации.

Более того, уже в момент принятия указа, его п.4 противоречил положениям статей 18, 34 и 55 Конституции РФ, поскольку незаконно ограничивал конституционные права физических и юридических лиц на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности.

Поэтому А.А. Фатьянов*(26) справедливо отмечает, что на текущий момент нет препятствий к свободному приобретению и использованию юридическими и физическими лицами средств для шифрования своей информации (в частности, коммерческой или личной тайны). Справедливости ради отметим, что в своей последующей работе А.А. Фатьянов высказался более осторожно: «Из совокупного рассмотрения норм указанных актов (Указа N 334 и Постановления Правительства N 691 — Д.О.) со всей очевидностью не следует, что положение о лицензировании эксплуатации СКЗИ ныне утратило силу»*(27).
На наш взгляд, эта очевидность все же присутствует. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств*(28) не устанавливает обязанности лицензирования использования СКЗИ в собственных интересах. Напротив, в подпункте г пункта 3 Положения предусмотрено, что лицензируемая деятельность по техническому обслуживанию включает в себя, в частности, работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства. Здесь же специально оговорено, что к такой лицензируемой деятельности не относятся случаи, когда она производится для обеспечения собственных нужд.

К тому же из данного Положения следует, что лицензированию подлежит деятельность по техническому обслуживанию СКЗИ, но никак не сами процессы использования полезных свойств СКЗИ (зашифрование / расшифрование; подписание ЭЦП / проверка ЭЦП).
Таким образом, можно утверждать, что сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно, и не требует получения лицензий или выполнения иных формальностей публично-правового характера.

Д.В. Огородов,
к.ю.н., член Экспертного совета
Комитета Государственной Думы РФ по безопасности


Это я понимаю. Но формально указ есть. И запрет есть. Значит есть повод взять за задницу. Когда за задницу возьмут, то можно будет долго в суде доказывать, что указ незаконен. Но. Во-первых, у нас не прецедентное право и каждый раз нужно доказывать заново (масса примеров). Во-вторых, судебная практика нынче такова, что кроме суды всех уровней кроме КС боятся признавать правительственные указы недействительными. Ну, и на конец, как показывает опыт с московской регистраций — плевать все хотели на судебные решения.
мы же говорим о законности. По закону — запрета нет, президентский указ — это подзаконный акт, он не может противоречить федеральным законам, в нашем случае, при его подписании закона еще не было, но с его появлением соответствующие пункты стали недействительны. Про конституцию я вообще молчу.

А за задницу у нас могут взять без каких либо формальностей и так. Расскажу случай из своей жизни. Ехал я как то в электричке и заснул… Просыпаюсь в Кубинке, ночью, обратных электричек уже нет, стою чешу репу че делать, подходят менты — типа документы, а у меня как назло не было. Забрали к себе. Говорят — будем штрафовать. За что спрашиваю? А теперь откройте свой паспорт на последней странице и прочтите второй абзац где написано — «Паспорт обязаны иметь все граждане РФ, достигшие 14 летнего возраста....». Так вот по мнению ментов выделенное болдом означает что я его обязан иметь при себе, а раз не имею — то штраф. Вот так вот :)
Не согласен. Этот указ не отменён. Значит формально он является поводом к началу следственных действий (да, тут за уши всё притянуто, но формально можно подвести основу). Да, вы потом докажете, что они были не правы. Он им за это ничего не будет — они указ исполняли, а вот Вы потратите кучу сил и времени.
А его и не надо отменять, это происходит автоматически, или вы думаете, что при издании любого нормативного акта в нем должны быть перечислены все им отменяемые? Учитывая, что нормативная база наследуется (в нашем случае от СССР) — это гиблое дело.
Указы, восполняющие пробелы правового регулирования в сфере исключительного регулирования федеральных законов, действуют впредь до принятия соответствующих федеральных законов (предполагается, что принятие Президентом таких указов обязывает его в порядке законодательной инициативы внести в Государственную Думу соответствующий проект закона).

Не нагоняйте панику, все мы знаем в какой стране живем, и что за задницу могут схватить по любому поводу, но в данном, обсуждаемом случае повод будет незаконен изначально и даже до суда не дойдет, а при наличии юридической грамотности хватаемого может и сразу отвалят.

Мне интересна одна вещь. Почему у граждан РФ такое репрессивное мышление и они ищут запреты там, где их на самом деле нет?
Тут сам указ незаконен. В части лицензирования деятельности физических лиц. Возможно, имелись в виду ИП (ИЧП, ПБЮЛ или как они там назывались по-разному). Лицензирование деятельности физических лиц — это полная фигня.
Запрет на деятельность без лицензий, выданных ФАПСИ (которая уже тоже, вроде, почила в бозе). Вы свои собственные посты-то читаете? :)
Что касается незаконности, это означает, что практику применения этого указа можно оспорить в суде и с большой долей вероятности выиграть дело. Как и «регистрацию в Москве» :), просто в случае регистрации многим проще дать взятку :(.
Балин, вон вверху 334й указ — читайте. Где там лицензия? Там просто запрет. Плюс, недавно принятый закон вообще вводит обязательно лицензирование и средств шифрования и услуг. Соответственно, при сколько-либо коммерческом использовании мы автоматом попадаем под штрафы.
Оспаривать в суде можно уже находясь в КПЗ и с конфискованными компьютерами/бухгалтерскими документами. Скорее всего, согласен, удастся оспорить — но масса удовольствия уже будет получена. Учитывая, что никакой ответственности контролирующие/правоохранительные органы не понесут, и право не прецедентное, то чхать они хотели на то, что это будет оспорено в суде.
ЖЖоте! Перечитайте внимательно. Обратите внимание на слова «без лицензий»!!! Они там написаны не просто так.
«В интересах информационной безопасности Российской Федерации и
усиления борьбы с организованной преступностью _запретить_деятельность_
юридических и физических лиц, связанную с разработкой, производством,
реализацией и эксплуатацией шифровальных средств, а также защищенных
технических средств хранения, обработки и передачи информации,
предоставлением услуг в области шифрования информации, _без_лицензий_,
выданных Федеральным агентством правительственной связи и информации
при Президенте Российской Федерации в соответствии с Законом
Российской Федерации «О федеральных органах правительственной связи и
информации».»

Конфискованные бухгалтерские документы у физического лица??? Вы что, с бодуна пишите??? КПЗ? По нарушению лицензии в КПЗ??? Не, вы не напились, вы явно обкурились какой-то дряни.

Кстати, будьте так любезны предъявить закон по которому физическое лицо за деятельность без лицензии (противоречит ГК и вообще бред) положено посадить в КПЗ — где норма ответственности. Ах, нет такой нормы? Тогда потрудитесь не бредить более. И внимательно читать то, что сами же цитируете.

Оспорить удастся. Это главное. Вы предпочитаете дать взятку, что ли? Или заплатить штраф? Или посидеть в «КПЗ»? Не пойму вашей позиции…
Пока его не отменил КС — он законен. Т.е. на данный момент он действует.
а фигня, или не фигня — никого не волнует. Регистрация в Москве тоже не законна и что?
Т.е. для частного собственного использование нужна лицензия? Я же не продаю, не распространяю, через границу перевозить не буду. Да и вообще, кто узнает в этом случае, что я что-то криптую до момента изъятия файла и криптора. И ведь им еще придется доказать, что эта программа криптор, а не система по записи логов системы в виде raw данных на винт.
Для частного/коммерческого использования разрешено вполне. Без лицензии нельзя лишь заниматься производством/распространением СКЗИ и оказывать услуги по защите информации. Указ, на который ссылается Sur_ru давно уже не действует.

Про статус импортированных СКЗИ вопрос конечно щеколтивый, вроде бы тот же GnuPG, будучи загруженным в виде исполняемого кода, вполне может считаться незаконно ввезенным на территорию РФ, а будучи собранным из исходников — незаконно произведенным в РФ тем, кто его собирал. В общем какой-то юридический маразм.

А в гос. структурах, понятное дело, только сертифицированные СКЗИ — паранойя для защиты гос. тайны, думаю, должна приветствоваться.
Ок, сегодня-завтра постараюсь выкроить времени немного. Я просто этот вопрос уже изучал месяца 3-4 назад чисто ради интереса.
Более того, никто даже не узнает — шифруете вы что-то или нет.
«Это просто файл с мусором, докажете обратное, тогда можете идти к судье, а до этого момента идите прямо на восток с улыбкой на лице».
единственное что в законе не указана мера наказания за использование несертефицированных средств шифрования
на то и данные, не все же в открытом виде держать :) ох, правозащитникам понравилось бы…
Ну, запрещено и что? Если поймают, то получите порицание штраф за использование. :)
скажите, а как «они» узнают, ключем какой длины зашифровано что-либо? :)
Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна.
Вторая программа называется salt и состоит из одной строчной переменной.
Так отдали бы какому-нибудь сообществу распределенных вычислений. Пообещали бы какую-нибудь тысячу баксов (уж всяко больше за полгода работы ФБР над этими дисками потратили) и кластер из миллионов ПК уже пыхтел бы над задачкой.
Они многим нагадили, кто после этого с ними будет с ними сотрудничать :)?
На самом деле, ФБР-овцы всё расшифровали, и именно благодаря использованию стандартизированного AES. Вот и закинули утку, чтобы люди шифровали только тем, что ломается :)
А может быть новость — правда, и теперь ФБР пытается скомпрометировать замечательную программу Truecrypt подобными комментариями. Вот, кстати, и ник у Вас подозрительный.
точно :) Сразу вспомнилась «Цифровая крепость» Дэна Брауна :)
Терморектальный криптоанализ еще никто не отменял :)
А брутфорсить такой шифр как минимум глупо.
И только Даниель Дантас все эти два года знал, что пять жестких дисков, изъятые полицией, валялись уже лет пять в углу как мусор, пиная которые по утрам поднимая тем самым настроение.
Коллега Zeraman определенно намекал не несогласованность предложения, а не спрашивал о смысле пинания.
А может они специально сказали что не смогли взломать 256битный aes, чтобы все ахнули и резко на него перешли? А у самих в заначках какой нить хитрый мат. метод по его взлому лежит.
И да, я параноик.
UFO landed and left these words here
Бред.
Или к фбр никто не обращался, или они тупо не пытались даже расшифровать.
… или же они расшифровали, но сказали одно. им то всё равно
Просто там пароль был «ФБР никогда не расшифрует этот пароль».
такого в их словарях не предусмотренно
Ага, завтра появятся в новостях выступления политиков, что нужно вообще запретить всяческие шифрования, так как это препятствует поимке преступников.
UFO landed and left these words here
Экстремизмом.
tebedam.livejournal.com/46191.html

PS: Нужно начать уголовное преследование депутатов и прочих представителей власти за то, что они своей тупостью разжигают ненависть к себе и себе подобным.
Пароль-то qwerty =)
По-любому фбр не должны брутфорсить, либо запросы разработчику ПО, либо внутренние криптографы должны включаться, у наших такое есть (ну было точно). Большинство алгоритмов при понимании (как в Beautiful Minds) могут быть дешифрованы. Да долго, да дорого, но могут.
Банкир видать был не очень важным, проплатил им за пиар Truecrypt и уехал.
не, пароль на самом деле что-то вроде «Damn You Hacked My Password And It Seems You Got Bad News For Me» :)
AES — это же открытый стандарт. К тому же принятый как стандарт шифрования в штатах. Какой смысл делать запросы разработчику?
вам следует отправить запрос разработчику наркотиков, которые вы употребляли.
Если Вы употребляете наркотики, то не надо равнять всех к себе.
Я рассказал как это делается, и должно делаться, если Вы с этим не согласны, то это не значит, что Вы правы и это дает Вам повод меня оскорблять.
Я знаю что ТруКрипт имеет открытый код, но вот беда еще было написано — «Как сообщается, для криптозащиты дисков использовалось две программы: одна из них — бесплатная Truecrypt, вторая неизвестна»
Этого никто из «любителей влепить минус за коммент» не увидел. Или может не захотел принимать правду, или может испугался. Про отсутствии понимания работы криптолога я вообще не говорю, про такую профессию видимо они и не слышали.
хорошо, допустим, что фбр действительно отправило запрос разработчикам трукрипта. как вы думаете, какой ответ им пришел? и кто будет платить за испорченный шреддер и моральный ущерб коту?
— Какой у тебя пароль?
— Имя кошки…
— ???
— Ну и что, старую мою кошку вот звали JUHG&^&R%TFY(*&TYG#FH)*#го894ар02нЕКо089^%^)_)(*&@#$@!HVBIB#@)I(*&GYBFN#@_UYGNK#@_(*T&Gbnknfjuyu24bin983t27guij()_*&YGUNJP()*&^%RED^RTCVFB#N@MPO9yhinf2p09-8y9uK#_@gf,.<MN#*&G(U@NJ
UFO landed and left these words here
В Англии бразильский банкир получил бы пять лет только за то, что не расшифровали :)
До двух лет в случаях, не затрагивающих нацбезопасность и до пяти лет — в случаях, затрагивающих. Скорее всего, мошенничества проходили бы по первой категории.

Всегда есть возможность посоветоваться с адвокатом, сколько дадут за данные на винчестере, и сопоставить сроки. :)
Хмм, отличная идея — контейнер TC — как образ для VirtuaBox'а например, а внутри — свой трукрипт)
Бокс там не обязателен. В зависимости от введенного при загрузке пароля грузится та или иная система. Причем существование «иной» системы доказать невозможно. При этом полицаям можно вполне отдать пароль от первой системы.

Но с боксом тоже нормальный вариант, иногда более удобный.
Возникла еще более бредовая идея — покупать hdd с hpa и уже место с hpa шифровать и использовать — тогда точно ничего не докажут.
UFO landed and left these words here
UFO landed and left these words here
Бытует мнение, что в ФСБ мегакиборги работают :)
Там такие же люди работают, что-то получается, а чтото естественно нет
UFO landed and left these words here
Ну когда обойдет, то тогда можно и будет говорить «нет ни чего не взламываемого того что придумал человек». А пока это голословное утверждение :)
Хотя, конечно, за период времени, стремящийся к бесконечности оно справедливо. Но люди столько не живут, к сожалению.
UFO landed and left these words here
UFO landed and left these words here
Систему, которую изучало небольшое число ученых криптографов (например, в основном только «свои»), вообще не стоит использовать. Международные стандарты хороши тем, что о них точит зубы весь мир. А ошибку при составлении собственного алгоритма допустить очень просто.
Её, к слову, тоже «ломают». Не саму концепцию, а находят дыры в реализациях и методиках.
Может быть. Главный посыл в том, что, например, современные алгоритмы с открытым ключом не представляют сложности для квантовых компьютеров потому, что факторизация и логарифмирование в таких машинах принципиально по-другому реализованы, и я, хоть и не математик, не стал бы утверждать что в обозримом будущем ситуация с симметричными алгоритмами не изменится. Извините если где-то напутал, читал про это давно и мог ошибиться.
А, так речь о квантовом компьютере… Квантовая криптография у меня (как и у википедии) ассоциируется с квантовым распределением ключа, и вот его как раз «взламывают». А что касается квантовых компьютеров, насколько я знаю, «воз и ныне там». Идея, конечно, красивая, а как его реализовать никто понятия не имеет (поделки для размножения 15 на множители не считаются).

А вообще, квантовый компьютер — это против асимметричного шифрования, основанном на факторизации и т.п. Симметричное шифрование тут не причём, не путайте! Ему квантовый компьютер не страшен, ему страшны коварные криптоаналитики, находящие дыры для уменьшения эффективного размера ключа.
Я не ясно выразился. Я понимаю разницу между симметричным и асимметричным шифрованием. Я использовал асимметричное шифрование, и то во что оно превратится в эпоху квантовых компьютеров, в качестве примера того, что может произойти и с симметричным шифрованием. Да, нельзя сейчас говорить о потенциальной слабости (если и нельзя) симметричных алгоритмов, но и не стоит утверждать того, что они переживут человечество.
А, понял, Вы говорите, что как квантовый компьютер ломает асимметричную криптографию, так что-то другое может сломать симметричную. Было бы забавно :) Но у симметричной нет такой очевидной слабой точки, на которую бы она опиралась, и реализации могут быть существенно различные, чтобы вот так вот что-то взяло и всё испортило…
ну смотрите, опять же ненаучно, без учёта темпа роста производительности и сложности перебора, просто размышления вслух, но всё же… производительность систем растёт -> в будущем для надёжной защиты современным алгоритмам необходимы будут ключи длинее (потому что будет возможен брутфорс за разумное время), а это в свою очередь заставит использовать файлы-ключи, а как их защищать?
даже не так — от алгоритма это вроде как не зависит, т.е. для брутфорса есть только один параметр, количество комбинаций -> длина ключа, зависит от производительности систем. так?
Да, но количество комбинаций растёт экспоненциально с длиной ключа. А у производительности есть всякие физические ограничения. К тому же, увеличение производительности позволяет увеличивать сложность криптоалгоритмов. Так что всё не так линейно :)
брутфорс очень неплохо распаралелливается, и ему, брутфорсу, неинтересно ключи к какому именно алгоритму подбирать -> в итоге мы всё равно должны прийти к нехватке длины ключа :) но я вас понял, думаю и вы меня тоже.
эх, приятно разговаривать с адекватными людьми, спасибо )
С экспонентой всё равно не посоревнуешься… Всего лишь плюс 10 бит к ключу — и уже в тысячу раз больше устройств нужно, на которые распараллеливать. Всё равно где-то наткнёмся на ограничения.
Спасибо, взаимно :)
Помните басню про Ходжу Насредина и осла?

В этом случае также критично время…
Складывается такое впечатление, что вставка слова «сарказм» в комментарий извиняет если не все, то многое.
Может быть парень в целях поиздеваться просто забил диски рандомной чепухой?
Нужно было брудфорсить по бразильскому словарю, «cjhjrnsczxj,tp]zyd;jgeceyekb,fyfy» еще никто не отменял )
Жаль не сообщается, в каких пределах была длина пароля. Но подозреваю, что не короче 12-и символов [a-zA-Z0-9]
UFO landed and left these words here
Может чувак решил приколоться, записал на винт мусор из /dev/random и сигнатуры TC замутил. А ФБРовцы сидят, мучатся. Правда, непонятно тогда, как бы он объянил им, что это прикол, а данные — мусор, если бы они решил применить ТР-анлиз?
вы такие смешные, сторонники «паяльника в попу». Для этого давно придуманы пароли-ловушки, при вводе которые диск с типа «важными» данными открывается, а по-настоящему важная инфа при этом теряется безвозвратно. И это есть в доступных программах.
Для этого вообще то придумали режим только для чтения и работу только с копией.
Это для нищих спецслужб Бангладеша только сработает… Хотя, думаю, даже у них есть винт для резервного копирования.
а как же великий и ужасный квантовый дешифратор? сломался в фбр?
А кто вам сказал, что на самом деле они не взломали ничего? Тем более по просьбе бразильцев…
Понятно, почему не помог брутфорс. Задержанный — бразилец. Явно знает и испанский, и португальский, и английский, и местные сленги. А пароль написать на сленге — поди побрутфорсь его.

Молдаване, например, используют в качестве паролей молдавские слова, набранные в стиле русскоязычной раскладки.

Пусть англоязычные работники ФБР додумаются перебором до такого варианта: «v'v'kbufhektintbyrjynbyee», что пишется в виде пароля как «мэмэлигарулештеинконтинуу», а переводится вообще астральными понятиями…
ФБР не вернуло диски, оставило у себя. NIC ждет пока не появится новая технология для подбора пароля. Просто диски отправили в США.
новая технология для подбора пароля

Подбор всегда будет подбором :)
а может они таким образом выпрашивают денег на апгрейд? :)
типа мол смотрите какое у нас дерьмовое железо, не расшифровали… дайте пару сотен лямов на новое?
неужели все тут всерьёз думают что ФБР вот так просто расскажет миру о проколе? Очень вероятен вброс — сейчас все поголовно начнут ставить эти программки для шифрования, а ларчик на самом деле просто открывался.
Блин. Он НЕ МОГУТ НЕ РАССКАЗАТЬ. Независимая судебная система, свобода слова и т.п.
«Независимая судебная система, свобода слова».
Кеннеди, наверное, тоже так думал.
А что Кеннеди — он-то как раз и подтверждение :) Дык, куда уже назависимей-то? Это у нас вертикаль. А у них будь ты хоть пуп земли, или какой-нибудь урюпинский суд во Флориде та ки норовит голоса пересчитать, или свои же завалят. Независимость не означает, что все действуют за одно. Она означает, что ни у кого нет абсолютной власти.
Кеннеди был одиозной и спорной фигурой и до сих пор не ясно за что его убили.
holy shit
Кстати, там не принято так говорить — если докажут, что не запамятовал — будет отягчающим. А вот, сослаться на пятую поправку и вообще отказаться что-либо говорить — это святое.
ХЗ :) найдут на бумажке записанным. Заставят сознаться. Или сам сознаешься по каким-либо причинам. Или подберут сами и окажется, что он с номер паспорта совпадает :) Тут и припомнят, что обманывал.
А что если на детекторе лжи спросить «Пароль есть? А если найду?»
Так, меня это реально пугает. FBI пишет, что не смогла сломать. Зачем она пишет? Очевидно, чтобы все ломанулись шифровать трукриптом и AES'ом. А на самом деле там бэкдор, математическая узязвимость алгоритма (26 бит секьюрности), и ещё что-нибудь страшное.

Бойтесь FBI, признающую шифр стойким.
патовая ситуация:
признает female body inspector`ы, что шифр дрянь — никто шифоровать не будет — потому что дрянь.
признает female body inspector`ы, что шифр норма — никто шифоровать не будет — потому что стремно, а вдруг дрянь?
Дикие люди…
А как они могут не признать-то?! Демократия, блин.
Есть обвиняемый. Заведено дело. В рамках дела, ФБР изъяло предполагаемые улики. Наверняка, попросил отсрочку для анализа и расшифровки. Не получилось. Больше затягивать дело нельзя — подозреваемый, как-никак находится под следствие и ограничен в правах.
ФБР по-любому должно было отчитаться. У нас бы скорее всего сами придумали левое заключение, в надежде, что потом, когда подозреваемый его опротестует, все забудут откуда оно взялось — благо ответственность экспертов не предусмотрена. Или затягивали бы дело до бесконечности — в результате дела по пять лет длятся, а люди годами в КПЗ сидят. А у них так не получается — по башке получит тот, дело затягивал, или тот, кто липовое заключение дал. И даже терморектальный криптоанализ не применишь — не дай Боже, подозреваемые потом докажет, что на него давили — доказательства признают добытыми с нарушениями не будт принимать во внимание, а подозреваемый ещё и потерпевшие переквалифицируется.
В общем — бардак. Никаких условий для работы!
А мне вот не понятно в этой истории, причем здесь ФБР? Криптой у них ведь АНБ занимается.
АНБ не может «вести» дело. ФБР занимается делами попадающими под федеральную юрисдикцию, и особой важности. Короче говоря, АНБ не может выступать обвинителем. Может быть инициатором дела — послать запрос в ФБР. Может привлекаться (и наверняка так и было), как консультант. Но следствие ведёт ФБР (или полиция).
Менеджеры паролей, способные хранить символьный бред любой длины, используемый в качестве паролей, уже не в моде? Достаточно помнить один-два пароля: собственно пароль к менеджеру и пароль к возможному зашифрованному контейнеру, в котором и хранится парольный менеджер.
Божебоже, у вас есть ТАКИЕ секреты, которые требуют столь жесткого шифрования и ТАКИЕ дела, которыми заинтересуется ФБР???
Нужно ли в наше сложное время, добровольно искать терморектального анализа на свою кхм голову, например?

Мои индивидуальные частные тайны вполне себе прячутся от любопытных глаз в запароленом rar«e

Банальная детская порнография. Очень даже занимается этим ФБР. В том числе и в Россию шлёт по линии интерпола кучу запросов. В том числе и расшифрованные диски.
Причём ситуация складывается забавная. ФБР присылает информацию о педофиле. Расследование проведено. Сервера изъяты (к вопросу о серверах за границей). Всё расшифровано и проанализировано. В Россию приходит толстенное заключение и копии жёстких дисков сервера (может быть даже оригиналы — не знаю). И запрос на арест Васи Пупкина с просьбой судить в России с учётом предоставленных материалов.
А дальше цирк.
Ну, Вы понимаете уровень наших экспертов? Английским они не владеют вообще. Перевести специальный текст даже зная терминологию, но не владея вопросом — ой, как не просто. Долго нудно переводят. Перевели. Смотрит эксперт на труды по криптоанализу. На описание алгоритмов подбора ключей/подписей. И ничего не понимает. Шлют в ФАПСИ или в специализированный институт с просьбой подтвердить, что это именно так. Там оно долго ходит. Судя по заключению, никто толком ничего и не читает и не понимает — шлют отписку «святая правда».
Дальше эксперт сморить на могучие анализы логом, перехваты трафика, сравнения меток пакетом. И вообще ни черта не понимает. Хотя там банальный LAMP+SSL+простенькое шифрование логов и архивов. И всё. полный тупик. Эксперт пытается найти бинарным поиском файлы картинок на диске (!!!), понять «где лежат файлы» (а они там не лежат, они там в базе). Короче за год упорной битвы со здравым смыслом на всём готовом — результат глубоко нулевой. Скорее всего напишут какой-нибудь бред в заключении. Или вообще на тормоза спустят.
Зато одна единственная супер-пупер сертифицированная экспертная контора по преступлениям в сфере компьютерных технологий при МВД РФ (организаторы конторы — бывшие сотрудники МВД/ФСБ).
В это время педофил Пупкин парится в СИЗО.
На самом деле, на его диске было порно, но с участием взрослых моделей. А зашифровал он его потому, что жена ругалась.
То обстоятельство, что вполне легальное порно шифровалось стойким крипто, тем более — с использованием софта, позволяющего разместить скрытый контейнер, показалось странным агенту Джонсону, проводившему плановые оперативные мероприятия.
Возникло подозрение, что Pupkin является участником шайки педофилов, занимающихся распространением детской порнографии материалов.
Тремя годами позже, легальность эротических материалов была подтверждена экспертами ФА по делам культуры.
Пупкин был освобожден в зале суда.
Скажу по секрету — запароленый RAR в общем случае ФБР вскрывает на ура. По каким-то заранее известным сигнатурам статистическими методами. Нужно шифровать с оглавлением, делать solid-архив, класть первым большой файл с мусором, а остальные файлы в подпапку и применять очень-очень длинный пароль. Тогда может быть и не вскроют.
У меня нет тайн, которые интересны столь почтенным организациям и потому, требующих шифрования.
Или-наоборот — требующих шифрования и потому — интересных почтенным организациям.

«В Китае когда-то был человек, который любил драконов, и поэтому украсил свою одежду и мебель изображениями этих существ. Увлечение этого человека драконами привлекло внимание драконьего бога, и вот однажды перед окном китайца появился настоящий дракон. Говорят, он тут же умер от страха.»

Хагакурэ
Иногда, любимая женщина страшнее ФБР :-)
Но у неё нет квантового компьютера.
UFO landed and left these words here
> По данным отчёта ФБР, американцы использовали тот же метод, что и INC: подбор пароля по словарю. В ФБР брутфорс продолжался более года, но тоже с нулевым результатом.

Неточность: как можно говорить о брутфорсе, когда в статье чётко связано, что использовался подбор по словарю? Это разные вещи.
Меня откровенно удивило, что ФБРовцы использовали только подбор по словарю. За год вполне можно было сделать и брутфорс восьмисимвольных паролей.
UFO landed and left these words here
Почему то сколяюсь к менению, что это очередная утка, показывающая, что у силовиков нет способа сломать шифр кроме брутфорса. Т.е. такая реклама: «Храните свои секреты, мы ничего не узнаем! Правда! Ну правда… Ну честно...». ИМХО — блеф.
UFO landed and left these words here
Увеличение длины пароля повышает криптостойкость гораздо сильнее.

Например, на брутфорс пароля требуется год.
Если зашифровать дважды — понадобится два года.
А если всего-лишь увеличить пароль на 1 букву — понадобится 26 лет.
UFO landed and left these words here
На самом деле нет никаких проблем использовать длиннющие пароли. Достаточно вместо слова использовать фразу — поговорку какую-нибудь, цитату, стишок.

Палки в колеса ставят сервисы, в которых какой-то идиот запретил использовать в пароле что-либо, кроме латиницы и цифр. Руки бы отрывать. В пароле должно быть можно использовать абсолютно любые символы, без исключений.

Я по этому поводу люблю вспоминать операционную систему Novell NetWare. Там в окошке авторизации используется не «password», а «passphrase». И это я в ней наблюдал еще лет 10 назад. Чуваки в Новеле смотрели в будущее:)
UFO landed and left these words here
Не совсем Вас понимаю. Чем, по-Вашему, ключ отличается от длинного пароля?
UFO landed and left these words here
А, тьфуты, меня чего-то переклинило про другие ключи — по типу как ключ для активации винды — просто набор букв и цифр через черточку.
Only those users with full accounts are able to leave comments. Log in, please.