Как стать автором
Обновить
2
0

Пользователь

Отправить сообщение
Просто удивительно степень русофобии среди определенных масс как львiвского так и патологически московского населения. То что скандалы с PGP, OSSL, Google, Skype, Microsoft, Aplle в области безопасности у всех наслуху, то что более менее серьезные вендоры на карандаше АНБ — секрет Полишинеля… А русские ГБшные «артефакты» «взламывали» и «юзали» бэкдоры тока форумные барыги… Ладно бы кто-то реально был бывший фэс, и умничал, как Сноуден, например… а так. И главное на конкретный вопрос про уязвимости, отвечают про паяльник а такие же «специалисты» охотно плюсуют. Так я предлагаю тот кто хочет реально предъявить пусть расскажет где и как он реализовывал криптозащиту и назовет номер лицензии своей конторы, на основании которой он получил допуск к гос тайне, к которой относятся приказы и нормативы по криптографии. Я вот могу, например. Если кто-то попросит.
Кстати, когда Крым взяли, ни одного сообщения, ни одного радиоперехвата. В конгрессе шум и гам, а наши только успевают выкладывать инфу за инфой, прослушку за прослушкой в ютуб. Так что, покупайте памперсы, господа, русофобы, а то сиденье испачкаете.
Сарказм понятен. Но лучшие спецы по защите работают именно там, потому что платят там больше. А в пентагоне чувствительную инфу печатают на машинке. А в орифлейм формула роста волос дороже чем список агентов в Москве.
Это XoR, если длина ключа меньше длины сообщения то из-за избыточности текста такую «шифровку» учат вскрывать на 3 курсе криптоанализа причем ручными средствами.
«кастомный» от custom — «сделанный на заказ». то есть атака осуществляется на конкретный ПК и хакер знает, что за для защиты инфы на нем используется именно cybersafe, включена система доверенных приложений и какие именно приложения определены как доверенные. А это, думаю, немного усложняет задачу.
Это кастомный хак, а в статье речь идет про общедоступные тулзы. Против кастомного хака приемов нет. Мы говорим о том, как можно повысить безопасность, но не о панацеи на все случаи.
Возможно, результатов аудита ждут: habrahabr.ru/post/201408/
Многие пользователи считают, что файлы на монтированном томе защищены также, как и на отключенном. В этой статье мы показываем, что это не так. Не смотря на то, что после подключения файлы на томе хранятся в зашифрованном виде, их можно похитить и получить расшифрованными, не важно как — либо при помощи удаленной атаки, либо как вы написали.
Согласен, но это уже действительно риторика. Если в компании есть служба поддержки, знающая пароли к приватным ключам пользователей и она вот-так вот выдаст пароль любому позвонившему, тогда это уже будет на совести самой компании.
Аналогично можно рассуждать и о способах, позволяющих злоумышленнику заполучить установленный в хранилище pfx-файл пользователя.
Если pfx передается по открытой почте, то сам файл действительно никак не защищен. Но как вы получите из него приватный ключ пользователя, если он защищен паролем, имеющим как минимум 128 бит энтропии?
Ну и второй вариант — прямо на устройство через usb. Об этом написано в статье.
«А как оно попало на устройство?»
В статье написано об этом. Даже дважды — в каждом из п.1 для каждого из алгоритмов настроек.
Сисадмин рассылает pfx-сертификаты, содержащие приватные ключи пользователей. Но сертификаты такого типа, а значит и приватные ключи, защищены паролем.

Но это как ОДИН из вариантов. Сценарий когда админ выдает ключи всем пользователям, в том числе и закрытые (кроме руководящего звена) очень часто прописывается в политике криптографисечкой защиты самой компании. Это естественно, у руководства компании должна быть возможность читать любую корпоративную переписку.

Конечно, более правильный сценарий таков: на стороне клиента формируется закрытый ключ и запрос на сертифкат. Запрос отсылается на сервер и админ выдает сертификат, а закрытый ключ остается всегда у пользователя. В текущей версии CyberSafe, о которой идет речь в статье, такой возможности нет и она будет реализована в следующих версиях.
Я все написал верно. Дело в том, что персональный сертификат CyberSafe включает в себя следующие элементы:
— закрытый ключ (он защищается паролем пользователя). Пароль создается во время создания сертификата, его знаете только вы. поэтому хранение закрытого ключа в секрете по большому счету означает хранение в секрете пароля к нему;
— открытый ключ (его отправляем другим пользователям);
— сертификаты в форматах X.509 и PKCS#12.

Вы говорите о сертификатах X.509 и PKCS#12. Они используются для шифрования почты в почтовых клиентах. В состав этих сертификатов также входят ключи. X.509 содержит открытый ключ, PKCS#12 — открытый и закрытый ключи (здесь закрытый ключ также защищается паролем). Подробнее об этом написано здесь: habrahabr.ru/company/cybersafe/blog/209642/

Вы пишите: «Сертификат удостоверяет, что открытый ключ действительно соотносится с соответствующим закрытым ключем, а так же удостоверяет, что владелец открытого ключа действительно его владелец.»
Это одно и то же: если владелец открытого ключа действительно его владелец, значит его открытый ключ соотносится с его закрытым ключом.
Спасибо, что указали на ошибку в тексте — мы обновили информацию на этой странице.

Сертификат шифрования включает в себя ключевую пару (открытый и закрытый ключ). Открытый ключ общедоступен — он отправляется другим пользователям и размещается на серверах открытых ключей. Получив его, пользователи смогут шифровать сообщения в наш адрес. Закрытый ключ следует держать в секрете — он используется для расшифровки полученных сообщений, а также для создания цифровых подписей.
Уязвимыми становятся не все файлы, а только те, с которыми вы работаете. Преимущество CyberSafe в данном случае – система доверенных приложений. Только доверенные приложения, которые вы выбираете сами, имеют доступ к вашей конфиденциальной информации. Все остальные – нет. Даже на момент работы с файлом, когда он расшифрован и уязвим, никакая другая программа, в том числе и вредоносная, не сможет получить к нему доступ.

По поводу асимметричной криптографии — если вы используете криптографию для защиты файлов только на персональном компьютере, тогда, конечно она вам не нужна. Но если вы хотите обмениваться зашифрованной информацией с другими пользователями либо использовать шифрование в корпоративном пространстве, тогда без инфраструктуры открытых ключей просто не обойтись.
Если сетевой диск (microsoft sharing) на NTFS, то мы к нему в качестве надстройки добавляем ADS – в отличии от EFS мы нашли способ как это сделать. Инструкция пользователя прилагается к программе.

По поводу облачных хранилищ — любой родной клиент облачного сервиса, которым вы пользуетесь, устанавливается не в качестве доверенного, а в качестве приложения имеющего доступ к зашифрованной информации. Таким образом, на облако отправляются зашифрованные данные и в момент их отправления драйвер дописывает в начало файла служебную информацию из альтернативных потоков. Процесс расшифровки сочетает извлечение сначала служебного блока 4096 байт, а потом расшифровывается сам файл. Однако система облачного копирования находится в стадии бета тестирования и на данный момент недоступна.
Да, поддержка AES-NI есть.

По поводу Трукрипта. С его помощью можно создать лишь виртуальный криптоконтейнер. Во время работы с одним из файлов, хранящимся на криптоконтейнере все остальные хранящиеся там файлы также расшифровываются и становятся уязвимыми. Подробнее об этом писал здесь: habrahabr.ru/company/cybersafe/blog/208824/. А прозрачная система шифрования файлов без криптодиска позволяет держать файлы на локальном компьютере и на сервере в постоянно зашифрованном виде.

Кроме того, CyberSafe поддерживает как прозрачное шифрование, так и создание криптоконтейнеров как 2 разные концепции безопасности.

Во-вторых, только с помощью системы доверенных приложений можно сделать бэкап на облачные сервисы тех файлов, которые непосредственно зашифрованы на вашем на компьютере, а не через специальные клиенты этих сервисов.

Еще, Трукрипт не поддерживает асимметричную криптографию и системы публичных ключей, назначение прав доступа к папке нескольких пользователей, у которых разные ключи, поэтому не может быть использован в корпоративном пространстве.

По поводу EncFS – это отдельный криптографический продукт, мы не можем поддерживать или не поддерживать его. Мы предлагаем свой взгляд на безопасность исходя из опыта.
Удалить программу можно повторно запустив инсталляционный файл, нажать кнопку Далее, и потом появится возможность Удалить.
программа с антивирусами не конфликтует и в исключения ее добавлять не нужно
Вы задали вопрос о том, как запустить программу, если она скрыта от винды. С флешки и через командную строку. Здесь речь идет о работе CyberSafe Top Secret в скрытом режиме. Но те пользователи, которым не нужен такой уровень защиты и скрытности, могут использовать программу в привычном режиме.
На сайте есть и другие версии программы, более новые. В то же время, эта версия программы использует алгоритмы AES и BlowFish с длиной ключа 256 и 448 bit, шифрование при помощи которых на сегодняшний день является гарантированно надежным и останется таким еще очень долго.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность