Комментарии 86
Алгоритм шифрования: XOR на байт 0b10101010. Если используется другой байт для XOR'а, показывайте сырцы. У криптопрограмм не может быть никаких оправданий для закрытости.
Библиотека, это замечательно. Но исходники нужны от конечного ПО, в противном случае никто не знает как вы там используете эту библиотеку.
Да все это детский сад, который сто раз уже обсуждался. Потратьте 2-3 года и n миллионов на разработку, а потом выложите свой проект в паблик. Вот у этих товарищей спросите сорцы: www.symantec.com/products-solutions/families/?fid=encryption
Опенсорц проекты имеют место быть. Но версия для физиков и компаний отличаются. И если у Zimbrа есть опен сорц для личного использования, то для компаний версия не имеет сорцов. Это называется репутация, которая собирается по крупицам многие годы. И проследить как мы используем свою открытую библиотеку не составляет специалистам никакого труда.
Опенсорц проекты имеют место быть. Но версия для физиков и компаний отличаются. И если у Zimbrа есть опен сорц для личного использования, то для компаний версия не имеет сорцов. Это называется репутация, которая собирается по крупицам многие годы. И проследить как мы используем свою открытую библиотеку не составляет специалистам никакого труда.
«Репутация» проприетарных решений для шифрования после «откровений» Сноудена сдулась (или сдувается) даже в головах матерых enterprise админов. Всем уже понятно, что если нужна реальная надежность шифрования в том числе непреодолимая трехбуквенными конторами, а не галочка в бумажках о «сертификации», то исходники должны быть открыты.
В противном случае как только Ваш продукт будет иметь хоть какую-то популярность, Вы как и все прочие проприетарщики получите предложение, от которого не сможете отказаться, наплевав на всю Вашу «репутацию».
В противном случае как только Ваш продукт будет иметь хоть какую-то популярность, Вы как и все прочие проприетарщики получите предложение, от которого не сможете отказаться, наплевав на всю Вашу «репутацию».
НЛО прилетело и опубликовало эту надпись здесь
А Вы не стесняйтесь, дело житейское. Мы продаем в организации (Уралсиб, РЖД) с сертификатами ФСТЭк и ФСБ. Но кроме этого достаточно успешно софт идет и частным лицам, которые вполне справедливо считают, что отсутствие известных утечек и доверие со стороны бизнеса достаточный повод использовать ПО. Что же до опасений, я их полностью разделяю. А детским садом называю заявления типа ВСЕ ПО для шифрования должно быть ПОЛНОСТЬЮ открытым. На всякий случай скажу, что у компании Крипто-Про выручка за 2014 была 700 млн. руб. А у Symantec PGP $700 млн. Как-то живут люди и не заморачиваются чьей-то параноей. Так что это не наш клиент, который считает что в организации должен стоять TrueCrypt без поддержки, гарантий, централизованного управления и проч.
НЛО прилетело и опубликовало эту надпись здесь
по крайней мере в разделе криптографического модуля
Ну так я и давал ссылку.
С остальным соглашусь.
Ну так я и давал ссылку.
С остальным соглашусь.
НЛО прилетело и опубликовало эту надпись здесь
Откуда такой глубокомысленный вывод? Я где-то писал что мы можем расшифровать клиентские данные?
НЛО прилетело и опубликовало эту надпись здесь
Ну, ФИО специалиста РЖД я чуть ниже приводил уже. Вот вся цитата целиком:
“Мы нуждались в программном обеспечении, которое бы не только обеспечило надежную защиту наших данных, но и было сертифицировано на территории РФ. Программа CyberSafe стала для нас хорошим решением, поскольку она предоставляет обширные возможности в области шифрования данных и лицензирована такими службами как ФСБ и ФСТЭК”.
Коваль Анатолий Александрович – Начальник службы безопасности
РЖД (служба безопасности РЖД Больница г. Краснодар)
В ответе после, которого я написал «соглашусь», не было ни слова о том, что мы можем вскрывать клиентские данные. Там речь шла о гарантиях. И гарантий что у вас не навернется винт или в результате хакерских действий (неизвестно каких, поэтому вполне допустимо) данные будут расшифрованы. С этим я согласен, потому в слово гарантия я вкладывал то, что мы гарантируем использование указанных алгоритмов шифрования. Чтобы в этом убедиться достаточно зашифровать один и тот же файл нашим ПО и с помощью командной строки OpenSSL на 2 разных машинах с использованием одного и того же ключа и пароля. Выходной файл будет идентичным. Вот это мы гарантируем.
«Либо просто активацией закладки, которая судя по всему у вас таки есть, и которая позволит наплевать на ключ и другие шифры»
Ну фантазировать никому не запретишь.
«ОЧЕНЬ хочется взглянуть в глаза специалистам РЖД и УралСиб, которые согласились шифровать важные данные, не понимая базовых принципов шифрования»
Многим кому бы пришлось смотреть в глаза. За 2 года было достаточно клиентов (только за время поста этой статьи были 2 покупки, частных лиц, которым программа продается без сертификатов). Вероятно, все дураки. Но идея о своей конгениальности не только Вас посещает, так что это нормально. Вероятно, Вы, понимая базовые принципы шифрования, подтвердите, что расшифровать данные можно: 1. если используется не криптостойкий алгоритм (ГПСЧ или шифрования) 2. имея ключ пользователя 3. приложив свой ключ в цифрой конверт. Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен. Остается сохранять все ключи юзеров и отсылать их в ФСБ. Об этом можно судить проверив сетевую активность программы. Веротяно, я упустил другой способ расшифровать данные.
«Либо просто активацией закладки, которая судя по всему у вас таки есть, и которая позволит наплевать на ключ и другие шифры»
Ну фантазировать никому не запретишь.
«ОЧЕНЬ хочется взглянуть в глаза специалистам РЖД и УралСиб, которые согласились шифровать важные данные, не понимая базовых принципов шифрования»
Многим кому бы пришлось смотреть в глаза. За 2 года было достаточно клиентов (только за время поста этой статьи были 2 покупки, частных лиц, которым программа продается без сертификатов). Вероятно, все дураки. Но идея о своей конгениальности не только Вас посещает, так что это нормально. Вероятно, Вы, понимая базовые принципы шифрования, подтвердите, что расшифровать данные можно: 1. если используется не криптостойкий алгоритм (ГПСЧ или шифрования) 2. имея ключ пользователя 3. приложив свой ключ в цифрой конверт. Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен. Остается сохранять все ключи юзеров и отсылать их в ФСБ. Об этом можно судить проверив сетевую активность программы. Веротяно, я упустил другой способ расшифровать данные.
Если мы сравним выходные файлы то увидим что они идентичны, значит 1. использовался один из алгоритм (и иная последовательность) OpenSSL 2. Наш ключ не был приложен.
… для этого конкретного запуска программы. Нет никакой гарантии, что при другом запуске программа не поведет себя иначе.
Веротяно, я упустил другой способ расшифровать данные.
Например, можно записать ключ, использовавшийся для шифрования, не в этот файл.
Ну смешно. Ну запустите 10 раз. И 10 раз проверьте. И 10 своих друзей по 10. И что на 101 поведет себя иначе, когда будет «знать» что за ней уже не следят? :-))
«Например, можно записать ключ, использовавшийся для шифрования, не в этот файл. „
Конечно. Это все 3 способ. Именно для этого, следующую статью, которая будет сплошным набором цифр, мы посветим тому как можно проверить, что делает программа и как сравнить результаты с OpenSSL. А за сим откланяюсь. Эта тема (закладок ФСБ) меня порядком утомила. Она кочует из темы в тему. В итоге по самой статье комментов нет, но обязательно “свидомые» блюстители свободы от ФСБ напишут, что мол закладки у вас. Факты, коллеги, факты есть? Я тоже могу заявить, что вы стучите на монгольскую разведку, к тому же пол у вас противоположный. Умные люди придумали презумпцию невиновности.
«Например, можно записать ключ, использовавшийся для шифрования, не в этот файл. „
Конечно. Это все 3 способ. Именно для этого, следующую статью, которая будет сплошным набором цифр, мы посветим тому как можно проверить, что делает программа и как сравнить результаты с OpenSSL. А за сим откланяюсь. Эта тема (закладок ФСБ) меня порядком утомила. Она кочует из темы в тему. В итоге по самой статье комментов нет, но обязательно “свидомые» блюстители свободы от ФСБ напишут, что мол закладки у вас. Факты, коллеги, факты есть? Я тоже могу заявить, что вы стучите на монгольскую разведку, к тому же пол у вас противоположный. Умные люди придумали презумпцию невиновности.
Ну смешно. Ну запустите 10 раз. И 10 раз проверьте. И 10 своих друзей по 10. И что на 101 поведет себя иначе, когда будет «знать» что за ней уже не следят? :-))
Это возможно.
(заметим, мы сейчас не вдаемся в то, возможна ли такая проверка сама по себе, учитывая, что далеко не все форматы, которые вы используете, открытые)
Умные люди придумали презумпцию невиновности.
Применительно к ПО, обеспечивающему безопасность, действует презумпция виновности: то, что не проверено, не безопасно.
НЛО прилетело и опубликовало эту надпись здесь
РЖД — это, простите, вот это: «Коваль Анатолий Александрович – Начальник службы безопасности РЖД (служба безопасности РЖД Больница г. Краснодар)»?
На всякий случай скажу, что у компании Крипто-Про выручка за 2014 была 700 млн. руб.
Крипто-ПРО ценят не за надежность, а за то, что бумажка есть. Так что если что, проворонив данные клиентов, из-за кривых рук и дырявого софта, можно всегда ответить как директор ВТБ(24) про хартблид — «наш банк сертифицирован по самым высоким стандартам».
Стоп. Вы якшаетесь с ФСБ? И продаёте свою криптуху оппозиционнерам, которые хотят хранить там всякие грязные секретики всяких диктататоров, которую собираются слить шпионам, пароли и явки злобных экстремистов?
И вы не поможете Отчизне бороться с Врагами Родины в столь сложное для Родной Страны время?
И вы не поможете Отчизне бороться с Врагами Родины в столь сложное для Родной Страны время?
Вот этот бред я переадресовал Касперскому в блог. Уж как они «якшаются», так закачаешься. Давайте вместе подождем ответа: habrahabr.ru/company/kaspersky/blog/250331/
Они занимаются криптогафией?
Алсо, повторю вопрос: к вам приходят товарищи в погонах и говорят, что надо изобличить шпиона. Ваши действия?
Алсо, повторю вопрос: к вам приходят товарищи в погонах и говорят, что надо изобличить шпиона. Ваши действия?
Конечно занимаются. Вы, вероятно, давно их продуктами не пользовались.
Мои действия — сообщить что я с радостью! Однако, с помощью фонарика и парика, так как наша программа не представляет технической возможности расшифровать данные, о чем они же прекрасно знают, ибо проводили проверку на отсутствие закладок. Но я еще раз хочу повторить: наша скромная компания далеко не единственная, которая «якшается» с ФСБ. Самые вовлеченные в этот увлекательный процесс это Каспер, Веб, Микрософт (у которого есть сертифицированная ФСБ винда), Esset и проч. Все эти компании работают НЕПОСРЕДСТВЕННО с персональными данными клиентов, имеют ВСЕ модули шифрования и проч. Так покажите мне ваши посты в их блоги. Вы же наверняка уже свое беспокойство им выразили. Мы-то недавно на рынке. А сколько они уже «якшаются». И Вы все еще не выяснили? Не может быть! И, мне страшно подумать, в своей профессиональной деятельности, возможно, использовали эти продукты? А может и клиентам ставили?
Мои действия — сообщить что я с радостью! Однако, с помощью фонарика и парика, так как наша программа не представляет технической возможности расшифровать данные, о чем они же прекрасно знают, ибо проводили проверку на отсутствие закладок. Но я еще раз хочу повторить: наша скромная компания далеко не единственная, которая «якшается» с ФСБ. Самые вовлеченные в этот увлекательный процесс это Каспер, Веб, Микрософт (у которого есть сертифицированная ФСБ винда), Esset и проч. Все эти компании работают НЕПОСРЕДСТВЕННО с персональными данными клиентов, имеют ВСЕ модули шифрования и проч. Так покажите мне ваши посты в их блоги. Вы же наверняка уже свое беспокойство им выразили. Мы-то недавно на рынке. А сколько они уже «якшаются». И Вы все еще не выяснили? Не может быть! И, мне страшно подумать, в своей профессиональной деятельности, возможно, использовали эти продукты? А может и клиентам ставили?
Почему я должен вам верить? Бэкдор во имя ФСБ — и все лицензии и сертификаты ваши.
Нет сыров — нет доверия. Точка.
Нет сыров — нет доверия. Точка.
Я отвечаю как умею на Ваши вопросы. Вы на мои нет. Это ФСБшный приемчик :-)) Вы писали Касперскому? Если да, что они ответили? Если нет, то почему?
Я не имел дела с касперским и не планирую. Когда касперский попытается втюхать xor с закрытыми исходниками, я ему задам те же вопросы.
Будем честными, и с этим windows-only решением дела иметь не надо.
blog.kaspersky.ru/kts-or-kis-which-is-better/6704/
ВТЮХИВАЮТ!!! Будьте честным, напишите. Там коменты без регистрации.
«Ну а если ваши данные настолько важны, что держать их в открытом виде нельзя, то Kaspersky Total Security позволяет «положить» их в виртуальный сейф. Указанные вами файлы будут зашифрованы очень устойчивым к взлому методом шифрования, а извлечь их можно будет, исключительно зная пароль от зашифрованного сейфа. Как в банке! Главная задача пользователя — не оставить где-нибудь на столе бумажку с записанным паролем. И, разумеется, не забыть заветное сочетание символов. Об остальном позаботится Kaspersky Total Security.»
:-))))
ВТЮХИВАЮТ!!! Будьте честным, напишите. Там коменты без регистрации.
«Ну а если ваши данные настолько важны, что держать их в открытом виде нельзя, то Kaspersky Total Security позволяет «положить» их в виртуальный сейф. Указанные вами файлы будут зашифрованы очень устойчивым к взлому методом шифрования, а извлечь их можно будет, исключительно зная пароль от зашифрованного сейфа. Как в банке! Главная задача пользователя — не оставить где-нибудь на столе бумажку с записанным паролем. И, разумеется, не забыть заветное сочетание символов. Об остальном позаботится Kaspersky Total Security.»
:-))))
Какое мне дело до касперского в его уютной песочнице? Будет пиариться на хабре — будем спрашивать.
Как вас сейчас, например.
Почему сырцы закрыты?
Как вас сейчас, например.
Почему сырцы закрыты?
Понятно. Я не удержался, сам задал вопрос. Кроме того, мы отправили официальный запрос в компании Касперский и Др.Веб. Если будет ответ, в чем я сильно сомневаюсь, обязательно напишу.
Мы не открываем по причинам описанным ниже.
Мы не открываем по причинам описанным ниже.
Ниже комментарий про «детский сад». Возможно, есть более взрослые причины?
А вот и ответы от ЛК: кратко приведу, кому лень в ветку глянуть:
Я:
«Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?»
Они:
« чем _лично_ Вам поможет открытый код? отличная, на мой взгляд, статья по этому поводу habrahabr.ru/company/pt/blog/249927/
Первый вопрос из серии «перестали ли вы пить коньяк по утрам». Сомневаюсь, что вас устроит какой-либо вариант ответа от ЛК.
Компания сотрудничает с госструктурами во многих странах, и в такой ситуации отдавать преференции кому-либо невозможно, как по части кода, так и по части детектирования атак. »
Я:
«Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?»
Они:
« чем _лично_ Вам поможет открытый код? отличная, на мой взгляд, статья по этому поводу habrahabr.ru/company/pt/blog/249927/
Первый вопрос из серии «перестали ли вы пить коньяк по утрам». Сомневаюсь, что вас устроит какой-либо вариант ответа от ЛК.
Компания сотрудничает с госструктурами во многих странах, и в такой ситуации отдавать преференции кому-либо невозможно, как по части кода, так и по части детектирования атак. »
support.kaspersky.ru/5315
Это так, к слову, вдруг Вы что-то пропустили. Нельзя же знать о всех продуктах, кто «якшается» с ФСБ…
Это так, к слову, вдруг Вы что-то пропустили. Нельзя же знать о всех продуктах, кто «якшается» с ФСБ…
Микрософт (у которого есть сертифицированная ФСБ винда)
Как средство шифрования по ГОСТ? Интереееесно.
www.microsoft.com/ru-ru/devcenter/IS/IS2_red.aspx
Не как средство шифрования, о чем я не писал. Но с вывернутыми сорцами ессно и «кучей» закладок.
Не как средство шифрования, о чем я не писал. Но с вывернутыми сорцами ессно и «кучей» закладок.
Тут есть смешной нюанс. Продукты MS заодно сертифицированы еще и по FIPS 140. Учитывая, что интересы спецслужб России и США/Канады, как мне кажется, все-таки конфликтуют, количество потенциальных закладок в интересах государства, как ни странно, уменьшается.
Но речь, впрочем, не об этом.
Но речь, впрочем, не об этом.
lair Вы знакомы с вопросом сертификации средств защиты (что именно проверяется при сертификации, какие требования/уровни для обсуждаемых продуктов)?
Прежде чем рассуждать о закладках, ознакомьтесь с вопросом, а потом уже фантазируйте о «конфликтах спецслужб» и «количестве закладок в интересах государства».
В противном случае диалог скатывается к взаимным обвинениям и недоверию (см. выше).
Прежде чем рассуждать о закладках, ознакомьтесь с вопросом, а потом уже фантазируйте о «конфликтах спецслужб» и «количестве закладок в интересах государства».
В противном случае диалог скатывается к взаимным обвинениям и недоверию (см. выше).
В общих чертах знаком (именно в общих чертах). Я ведь не говорю, что MS чем-то лучше (точнее, что оно лучше по критерию открытости), я говорю, что закрытость исходников CyberSafe — это основание для недоверия.
Давайте разделим открытость исходного кода, сертификацию, доверие.
Основанием для недоверия может быть что угодно, у каждого свои критерии, объективные и субъективные.
Сертификация (грубо) — подтверждение соответствия некоторым стандартам/требованиям.
Открытый исходный код — без соответствующего аудита — ничего не доказывает. Аудит достаточно затратная процедура, если проверяется не простейший «Привет, мир!». Аудит необходимо проводить после каждого изменения. Аудиторам необходимо доверять, в противном случае Вы не будете доверять результатам аудита.
Многие компании не видят целесообразности открывать исходный код в т.ч. по вышеперечисленным соображениям. Если не доверяете — не используйте, это Ваше право. Открытый исходный код, как правило, не привлечет компаниям новых клиентов.
А для крупных заказчиков (частных или государственных), если разработчик посчитает это выгодным, исходные коды могут быть предоставлены на условиях нераспространения.
Основанием для недоверия может быть что угодно, у каждого свои критерии, объективные и субъективные.
Сертификация (грубо) — подтверждение соответствия некоторым стандартам/требованиям.
Открытый исходный код — без соответствующего аудита — ничего не доказывает. Аудит достаточно затратная процедура, если проверяется не простейший «Привет, мир!». Аудит необходимо проводить после каждого изменения. Аудиторам необходимо доверять, в противном случае Вы не будете доверять результатам аудита.
Многие компании не видят целесообразности открывать исходный код в т.ч. по вышеперечисленным соображениям. Если не доверяете — не используйте, это Ваше право. Открытый исходный код, как правило, не привлечет компаниям новых клиентов.
А для крупных заказчиков (частных или государственных), если разработчик посчитает это выгодным, исходные коды могут быть предоставлены на условиях нераспространения.
Детский сад — это беспомощные отговорки про «2-3 года» и «n миллионов (кстати, чего именно?) на разработку». Бесполезно ссылаться на Symantec, вы — не они, и разговор идёт не о них, а именно о вас. Когда Symantec будет пиариться на хабре, к ним будут те же самые вопросы, не волнуйтесь.
Если у вас там такие крутые собственные разработки, то почему бы не потратить ещё немного времени и денег на то, чтобы получить на них патенты? В таком случае полная открытость исходников вам бдует только на руку. А пока исходники закрыты, ну попробуйте как-то убедительно доказать собравшейся тут общественности, что у вас там не OpenSSL, не код несчастного гениального вьетнамского школьника-аутиста, которого вы обокрали на позапрошлых каникулах, и нет отдельного логина для сисадминов в штатском. Только давайте сразу договоримся обойтись без чайников Рассела.
Если у вас там такие крутые собственные разработки, то почему бы не потратить ещё немного времени и денег на то, чтобы получить на них патенты? В таком случае полная открытость исходников вам бдует только на руку. А пока исходники закрыты, ну попробуйте как-то убедительно доказать собравшейся тут общественности, что у вас там не OpenSSL, не код несчастного гениального вьетнамского школьника-аутиста, которого вы обокрали на позапрошлых каникулах, и нет отдельного логина для сисадминов в штатском. Только давайте сразу договоримся обойтись без чайников Рассела.
Да у них там как раз OpenSSL и обращение к КриптоПро (в зависимости от продукта). Насколько я понял, своих криптоалгоритмов нет, только встраивание чужих.
Конечно. Это как раз показывает, что некоторые уважаемые коллеги не читают написанного (порой по 10 раз).
«убедительно доказать собравшейся тут общественности»
Ну опять же, см. ответ выше про идентичность файла после шифрования OpenSSL и у нас. Подробно об этом напишем в следующей статье.
«убедительно доказать собравшейся тут общественности»
Ну опять же, см. ответ выше про идентичность файла после шифрования OpenSSL и у нас. Подробно об этом напишем в следующей статье.
В статье про OpenSSL ни слова. Из статьи складывается впечатление, что у вас там какие-то свои уникальные разработки. А вы всего-навсего написали мордочку для бесплатной библиотеки за «2-3 года» и «n миллионов»? Тем смешнее ваши отказы показать исходники.
c2n.me/3cAnOFR.png
Жизненное наблюдение: чем менее осведомлен человек, тем более безапелляционны его заявления.
Жизненное наблюдение: чем менее осведомлен человек, тем более безапелляционны его заявления.
… что возвращает нас к вопросу «как проверить безопасность той функциональности, которая не повторяет известное открытое решение».
Вы так и будете ходить по этому кругу.
Вы так и будете ходить по этому кругу.
Я согласен с Вами. Доказательства работы с файлами OpenSSL доказать элементарно. Но вот что мы не собираемся открывать это драйверы: 1. перехвата операций с файловой системой, который позволяет нам взять под контроль любое действие с ФС (скрытие, прозрачное шифрование, блокировку и разграничение доступа и т.д.) 2. драйвер виртуального диска. Если Вы подскажете где в интернете в опенсорце есть подобные драйверы (1й пункт, 2й есть в том же ТК, но чтобы не нарушать лицензию мы его не юзаем), то мы скорее всего рассмотрим вариант публикации сорцов. И да, чтобы не ходить по кругу мы закрываем разговоры что у нас частично открытый код или что можно проверить действия по прозрачному шифрованию, криптодиски и другие операции не относящиеся к ОССЛ. Так будет честнее и короче.
Если Вы подскажете где в интернете в опенсорце есть подобные драйверы (1й пункт, 2й есть в том же ТК, но чтобы не нарушать лицензию мы его не юзаем), то мы скорее всего рассмотрим вариант публикации сорцов.
vgough.github.io/encfs/
(и это не единственный, просто мне дальше искать лень)
Runs on Linux kernels 2.4.X and 2.6.X
EncFS provides an encrypted filesystem in user-space
Рассказать разницу про юзер мод и драйвер ядра? И где тут про хуки всей ФС?
EncFS provides an encrypted filesystem in user-space
Рассказать разницу про юзер мод и драйвер ядра? И где тут про хуки всей ФС?
(Вы лучше расскажите про фактическую доказанную разницу для пользователя между вашим решением и (например) этим)
А главное, речь-то шла не о сравнении функциональности, а о наличии в открытом виде. Причем, заметим, от вас никто не требует открывать лицензию, от вас просят только показать код. Вы боитесь за свою интеллектуальную собственность? Так она защищается патентами. Вы боитесь за то, что вас взломают через чтение кода? Так security by obscurity — плохой признак. Что еще?
А главное, речь-то шла не о сравнении функциональности, а о наличии в открытом виде. Причем, заметим, от вас никто не требует открывать лицензию, от вас просят только показать код. Вы боитесь за свою интеллектуальную собственность? Так она защищается патентами. Вы боитесь за то, что вас взломают через чтение кода? Так security by obscurity — плохой признак. Что еще?
Bingo! Не нашли открытых решений? Хотя сообщили что их валом. Постепенно давайте. Напишите что не нашли продолжим.
А кто, бишь, сообщил, что их валом? Я? Цитату, пожалуйста.
"(и это не единственный, просто мне дальше искать лень) "
Я вам помогу. Вот www.alfasp.com/pricing.html, только денюжек немножко заплатить надо. 19,999€ * 75 = 1 499 925 руб. А мы вот просто обязаны по просьбам трудящихся этот код выложить.
Подобные encfs — действительно есть. Начать можно прямо с шифрования в zfs, которое тоже открытое. Плюс dm-crypt (который, кстати, уровня ядра) и ecryptfs (которая тоже уровня ядра). Это, заметим, две минуты в гугле.
А вот теперь встречный вопрос: «драйвер файловой системы уровня ядря», которым вы так хвалитесь — это file system filter driver, да?
А вот теперь встречный вопрос: «драйвер файловой системы уровня ядря», которым вы так хвалитесь — это file system filter driver, да?
Я говорю не о шифрованной ФС, а десятках хуках, которые подчиняют ВСЕ действия с виндовой ФС, понимаете? Или все же, наверное, нет.
Вот о чем я: www.alfasp.com/products.html, фичи посмотрите, дайте мне пожалуйста бесплатный публичный аналог, или фирму которая публикует в своих сорцах подобный функционал.
Вот о чем я: www.alfasp.com/products.html, фичи посмотрите, дайте мне пожалуйста бесплатный публичный аналог, или фирму которая публикует в своих сорцах подобный функционал.
Конкретно для винды именно таких решений, действительно, нет (я, кстати, могу предположить, почему).
Уже можно вернуться к вопросу, почему именно вы не хотите показывать свой код?
Уже можно вернуться к вопросу, почему именно вы не хотите показывать свой код?
Ну так именно поэтому. Это очень дорогое решение и его никто не открывает, потому что продает сорцы.
Предположим, мы исключим из рассмотрения кусок, касающийся хуков к файловой системе (кстати, скажите, пожалуйста, какая функциональность кроме «сокрытия файлов и папок», на него опирается?). Для шифрования файлов, шифрования дисков и межсететвого экрана у вас та же аргументация?
Файлы шифруются OpenSSL, там можно все сравнить командной строкой я писал. На хуки опирается прозрачное шифрование (следующая статья), скрытие, блокировка папок, резервное (облачное) шифрование, шифрование сетевых папок. А в дальнейшем новый продукт по регламентации доступа в компании, мониторинг действий пользователя и проч.
Так а как мы покажем часть кода для файлов и дисков? Опять скажут выкладывайте весь проект, правда ведь, и будут правы.
А файрвол причем? Там таже песня, там драйвер тоже не дешевый. А потом, Вы пользуетесь исключительно опенсорцовскими файрволами? И циску, комодо, чекпоинт, аванпост, керио в топку? То есть, вообще любое ПО должно быть открыто? Или только которое мы производим? -) Или то, которое пиарится на хабре?
Уважаемые коллеги, я все наши аргументы выразил, если кратко мы не выкладываем сорцы, потому что в проектах содержатся очень дорогие драйверы, которые есть возможность еще и продать. Это обычная практика. Ок? Ничего исключительного в этом нет, хотя и пример ПГП и Джетико никого не убедил.
Также, мы исходим из того, что все тайное становится явным, и если мы думаем что умнее других и делаем кучу закладок по заданию ФСБ рано или поздно это станет известным ( не такие перцы попадались), поэтому доказывать, что мы не пингвины не имеет смысла.
За сим я очень постараюсь больше не отвечать на эти 2 вопроса: про открытые коды и аффилированность с фсб. На все остальные, в том числе и на конструктивную критику в меру своих умственных возможностей постараюсь ответить.
Спасибо и звыняйте еси шо нэ так.
Так а как мы покажем часть кода для файлов и дисков? Опять скажут выкладывайте весь проект, правда ведь, и будут правы.
А файрвол причем? Там таже песня, там драйвер тоже не дешевый. А потом, Вы пользуетесь исключительно опенсорцовскими файрволами? И циску, комодо, чекпоинт, аванпост, керио в топку? То есть, вообще любое ПО должно быть открыто? Или только которое мы производим? -) Или то, которое пиарится на хабре?
Уважаемые коллеги, я все наши аргументы выразил, если кратко мы не выкладываем сорцы, потому что в проектах содержатся очень дорогие драйверы, которые есть возможность еще и продать. Это обычная практика. Ок? Ничего исключительного в этом нет, хотя и пример ПГП и Джетико никого не убедил.
Также, мы исходим из того, что все тайное становится явным, и если мы думаем что умнее других и делаем кучу закладок по заданию ФСБ рано или поздно это станет известным ( не такие перцы попадались), поэтому доказывать, что мы не пингвины не имеет смысла.
За сим я очень постараюсь больше не отвечать на эти 2 вопроса: про открытые коды и аффилированность с фсб. На все остальные, в том числе и на конструктивную критику в меру своих умственных возможностей постараюсь ответить.
Спасибо и звыняйте еси шо нэ так.
Ну понятно.
Главное, уберите из ваших рекламных роликов слова про «открытый код программного продукта», чтобы люди не велись. А там уж пользователь сам решит, что ему лучше — ваше закрытое ПО за деньги, или открытые FreeOTFE/VeraCrypt/DoxBox забесплатно, или системный BitLocker из коробки (да, я в курсе, что его исходники закрыты, но есть нюансы).
Главное, уберите из ваших рекламных роликов слова про «открытый код программного продукта», чтобы люди не велись. А там уж пользователь сам решит, что ему лучше — ваше закрытое ПО за деньги, или открытые FreeOTFE/VeraCrypt/DoxBox забесплатно, или системный BitLocker из коробки (да, я в курсе, что его исходники закрыты, но есть нюансы).
Скажите, а что именно я должен понять, посмотрев на случайную картинку из интернета? То, что ваше решение дешевле? Но ведь разговор не о ценообразовании. То, что ваше решение может зашифровать какое-то абстрактное облако? Но ведь это же модный маркетинговый шум, и не более того. У меня есть к вам три вопроса, на которые вы, как наиболее осведомлённый из нас двоих, вполне могли бы ответить:
1. Что именно вы прячете, скрывая исходники?
2. Как я могу проверить, что ваше приложение правильно, безопасно использует OpenSSL?
3. Как я могу проверить, что ваше приложение не сливает и не будет сливать данные налево?
Жизненное наблюдение: когда кочаются аргументы, оппоненты часто переходят на личности.
1. Что именно вы прячете, скрывая исходники?
2. Как я могу проверить, что ваше приложение правильно, безопасно использует OpenSSL?
3. Как я могу проверить, что ваше приложение не сливает и не будет сливать данные налево?
Жизненное наблюдение: когда кочаются аргументы, оппоненты часто переходят на личности.
Вы сказали что мы сделали вебмордочку для OpenSSL. Я вам показал скриншот, где видно какие функции есть в программе, где видно что работа с файлами через OpenSSL это 10% функций программы. Если вы признаете, что понятие не имели (имеете) о функционале программы и делаете заявления на пустом месте (не видев ни программы, ни ее официального сайта, не читав ни предыдущие комменты, ни статьи блога) я с удовольствием отвечу на остальные вопросы.
работа с файлами через OpenSSL это 10% функций программы.
Bingo! А теперь вспоминаем предложенный вами тест, и понимаем, что он тестирует максимум 10% функций. А как проверить безопасность остальных 90%?
Ну вот опять переводите стрелки. Это сотрудничество с РЖД так на вас влияет? Где, у кого вы учились вести полемику? Ну что за детский сад? Ты мне, я тебе. Ведь это вы пришли сюда, декларируя возможность создания криптодисков. Вопросы о причинах, по которым можно доверять вашим решениям, особенно в таких щекотливых вопросах, ожидаемы и вполне уместны. А вместо этого вы начинаете рассказывать про то, как Symantec продаёт ещё дороже и тоже исходники не показывает, какой я невежда и не потрудился ознакомиться с содержанием вашего сайта, предыдущих статей, комментариев и, возможно даже, с краткой биографией генерального директора вашей компании, и какие у вас есть красивые сертификаты каких-то госструктур, репутация которых и является одной из главных причин недоверия к любой закрытой криптографии. А таблица, которую вы привели в пример, она не для технического ресурса, она даже для презентации людям, далёким от IT не подходит. Там к каждому пункту свой дополнительный список вопросов, особенно к загадочному «шифрованию облака». Не указаны ни названия, ни параметры алгоритмов, формулировки технически безграмотны совершенно, а автор таблицы, похоже, не в ладах с русским языком.
Учитывая ваш уровень ведения дискуссии, не вижу для себя смысла продолжать этот разговор дальше. Надеюсь больше никогда не услышать о вашей компании.
Учитывая ваш уровень ведения дискуссии, не вижу для себя смысла продолжать этот разговор дальше. Надеюсь больше никогда не услышать о вашей компании.
Прошу прощения если огорчил Вас. 2 часа дизассемблера (или криптоанализа выходных данных) и все закладки будут выявлены. Затем выплата компенсации всем кому захочется написать иск и закрытие конторы. -) Вот так, например, www.cvedetails.com/vulnerability-list/vendor_id-462/PGP.html
2 часа дизассемблера (или криптоанализа выходных данных) и все закладки будут выявлены.
Да вы, я смотрю, большой оптимист. Люди годами пишут и прячут, а вы за два часа все найдете? Интересно, зачем тогда вообще нужна сертификация на НДВ…
(Ну и да, этот тезис как-то резко подрывает всю веру вашим «не выкладываем исходники, потому что боимся, что украдут». А что, за те же два часа все исходники не открываются?)
JFYI, я как-то занимался реверс-инжинирингом одной не очень большой системы, оставленной «в наследство» предыдущими разработчиками. От нее даже исходники были. Так вот, за два часа ее не то что всю проанализировать на наличие закладок — ее даже прочитать нельзя было.
НЛО прилетело и опубликовало эту надпись здесь
Конечно. Обфускацию не делали. Даже VMProtect стоит на минимальной степени защиты. Это ж очевидно, что мы защищаем не свое ПО а выходные данные. Тот же лицензионный код триала который зашит в программе нам доставали за 1,5 — 2 часа. А вот криптоанализ уже дело другое. Там ничего вытянуть не удалось.
Это ж очевидно, что мы защищаем не свое ПО а выходные данные.
Это очень плохо сочетается с вашей же аргументаций в пользу закрытия исходников.
Знаете это уже пошла игра мое слово последнее. То есть, чтобы я не сказал должен быть «аргументированный» ответ. Та защита, которая есть на драйверах, не позволит в разумные сроки / за разумную цену получить сорцы. Однако, действия программы по вызовам АПИ (которое у нас полностью открыто) отследить вполне реально.
Та защита, которая есть на драйверах, не позволит в разумные сроки / за разумную цену получить сорцы. Однако, действия программы по вызовам АПИ (которое у нас полностью открыто) отследить вполне реально.
Не сочетается. Вся ценность вашего «драйвера» в том, что он вызывает операции шифрования в ответ на определенные действия с ФС. Если то, что именно и как вызывается, можно вычленить за два часа — значит, и скопировать можно за два часа. Если нельзя вычленить — значит, нельзя и отсутствие закладок проверить.
Я могу понять посыл «мы не хотим открывать исходники, потому что мы считаем, что так мы потеряем прибыль». Но я тогда не могу понять утверждение «всю нашу работу с криптопровайдерами можно разобрать с дизассемблером за два часа».
'Please edit this page to include an introduction and important information for your users. '
«Вай. Абижаеш. Мамай клянусь без бэкдоров...»
Да.
Эх, ребята, вот научились бы вы один контейнер на 2-х сразу железках держать открытым — было бы ноу-хау.
Идейно, кстати, все уже сделано — нужно только drbd и какую-нибудь кластерную ФС спрятать под ssl.
А так пока — рюшечки над тортиком а-ля-dmcrypt.
Идейно, кстати, все уже сделано — нужно только drbd и какую-нибудь кластерную ФС спрятать под ssl.
А так пока — рюшечки над тортиком а-ля-dmcrypt.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Совместное использование криптодисков на ПК и Android