«Да пока «Эдик Сноуден» не выложил копипасту, тоже все красиво было, и немного параноиков начитавшихся фантастических романов.»
То есть опыта не было? Я понимаю что сказать по мужски трудно: «я уверен что ФСБ ставит жучки в любые сертифицированные программы, потому что… ну уверен и баста.» Ок. Фактов нет.
«Совершенно не понимаю, какое отношение имеет это всё к рассматриваемому продукту и его закрытости? Шифрование фоток на мобильном помогли?»
Помогли сертифицированные ФСБ софтины, разработанные коммерсами с лицензиями как мы.
«А про «полное отсутствие перехватов и утечек» это они лично вас вызвали в ЦРУ и доложили? «Или это из фантастических романов взято?». »
«Ну лично я не вижу проблем «вызвать директора и попросить». И даже не надо говорить вставьте вот тут. Достаточно сказать — «вот здесь оно не соответствует ГОСТу».
»
Ну это ж Вы из собственного опыта? В Вашей фирме вызывали? Или Вас лично? Или это из фантастических романов взято? Я говорю из собственного опыта. При нашей сертификации, и наших коллег (Крипто-Про например) такого не было.
Не соответствует ГОСТу… Он опубликован в 89 году. Математически обоснован, признан мировыми математиками безупречным и на основании открытых данных мы делаем реализацию, в которой отказано не было. Вероятно, у Вас другая ситуация.
«Прикрыть этот зад можно бумажкой, например сертификатом ФСБ. Есть дыры в софте, нет дыр в софте — не важно, вина будет на на человеке, а на хрен знает ком.»
Соглашусь, если речь идет об Администрации поселка Нижние Хачики, Тьмутараканской губернии. А если это тендер в минобороны? Там тоже неважно есть дыры или нет? Я понимаю либеральное болотное сообщество которое ни в грош не ставит армию, но факты упорная вещь: в период нашей крымской кампании спецслужбы США не смогли предотвратить планы Кремля «за счет полного отсутствия перехватов и утечек». В чем получили серьезную взбучку в сенате.
Я писал про heartbleed, при чем тут МС?
А вот как вам: Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker (http://habrahabr.ru/post/224491/)
Ну прям таки образец открытого кода — BitLocker!
«которая очень заинтересована в том, чтобы шифрование было стойким до определенного предела»
Я не знаю насчет наших «партнеров» из-за океана, Эдик Сноуден много интересного рассказал, но наше ФСБ, когда сертифицирует продукт, тем самым дает ему зеленый свет в гос. компании, в том числе и с грифами. Так вот, открою страшную тайну: «ФСБ кровно заинтересовано чтобы софт, стоящий повсеместно в гос службах был бы максимально неуязвим». И репутация нашей страны со страны прослушек, утечек на высшем уровне. Они это делают не для гиков, а для своих же гос структур.
Вот мы сейчас проходим сертификацию по 3 му классу для межсетевых экранов в НПО «Эшелон». Как вы себе представляете этот процесс? Мы передали сорцы, нашего директора негласно вызывают в эшелон и говорят, Михаил Юрьевич, ну вы же понимаете, для блага страны, вставьте этот кусок кода между 10001 и 100020 строчками? Или нет, возвращают нам наш код с уже внесенными изменениями и говорят вот так лучше будет. И конечно, вы же понимаете, никому ни слова! Ну бред, товарищи, полнейшая чушь.
На самом деле, есть стандарты во-первых алгоритмов (ГОСТ .89 например), смотрят его реализацию, согласно математике. Затем есть стандарты с грифом как хранить ключевую информацию. Все эти стандарты разработаны в КГБ, когда еще и в мыслях не было что какие-то коммерсы будут шифрософт делать, понимаете? То есть, они разработаны для максимальной защиты. И если мы выиграем тендер для минобороны то хотите сказать что и туда он с бэкдорами идет? Или на открытый рынок мы его поставить не можем? Ну бред, детско-юношеский бред, людей которые очень далеки от этого.
Это вечная тема: хочешь опенсорс без гарантии и поддержки, без возможности работы в организации, без гос. стандартов — вопросов нет, пожалуйста. Только не надо говорить что этот путь единственный. Другой путь это цивилизованная сертификация продукции, в Германии, Израиле, США, России. Не доверяешь таким сертификатам опять же твое право, но только фактов что эта сертификация (как раз проводится для исключения закладок и бэкдоров) автоматом дает возможность ФСБ вскрывать любое ПО нет. Нет таких фактов, понимаете, а все кто об этом говорит как о саморазумеющемся факте — брехуны, только потому что мы проходим эту сертификацию и знаем какие там требования и стандарты. Почему-то на микроволновку мы обязательно хотим сертификат чтобы нас током нафиг не убила, и верим, что сертифицированный товар на 10 порядков безопасней несертифицированного. Что не дай Бог кого-то током стукнет так скандала не оберешься. Но вот если ПО сертифицировано ФСБ или ФСТЭк так это типа сразу ясно что с бэкдорами. Пока что я про взломы Крипто-Про или Даллас-Лок или SecretNet не слышал. Зато про все супер пупер опенсорцные продукты сколько угодно.
И потом самый интересный вопрос, почему любое платное ПО позволительно с закрытым кодом, теже проактивки, файрволы а шифрософт должен вот обязательно идти открытым. Вот работали люди и обязательно должны бесплатно свой продукт всем желающим выкладывать. И ладно бы просто алгоритм, но если у тебя идет куча драйверов, гуи, и других наработок сопутствующих то выкладывай все.
Кстати, у нас движок открыт: www.assembla.com/spaces/cybersafe-encryption-library/wiki
Открытый исходный код — это, конечно, хорошо. Но последние скандалы, связанные с трукриптом и уязвимостями openssl заставляют задуматься — достаточное ли это условие для того, чтобы считать такой софт надежным?
И по вашему хороших программ для шифрования с закрытым исходным кодом не существует? Как на счет PGP, которая сегодня для многих — эталон шифрования, особенно после того, как ее купила компания Symantec?
На пк с контейнерами, созданными в приложении в дальнейшем можно будет работать с помощью CyberSafe Top Secret — они полностью совместимы. И на оборот, контейнеры, созданные на компьютере можно использовать на Android-устройстве.
Драйвер прозрачного шифрования (Alfa Transparent File Encryptor), который встречается в статье, предоставляет свои сорцы за отдельную плату. Однако большая часть операций в программе происходит на OpenSSL. Также, при необходимости, есть возможность шифровать ключами КриптоПро CSP.
Мы в открытом доступе предоставляем исходный код своей библиотеки шифрования.
Исходник (открытый текст — P) XOR рандомный (вероятно имеется ввиду шифротекст — C) = ключ (k). Причем если один и тот же ключ используется несколько раз то ситуация становится еще проще. А держать на каждый файл РАЗНЫЙ ключ длинной в исходный файл это по-моему… просто смешно.
Наша защита, как и везде, основана на алгоритмах шифрования. Но, в дополнение к этому, у нас есть система доверенных приложений, позволяющая еще более надежно защитить конфиденциальную информацию, аналогов которой ни в одном другом продукте на настоящее время нет.
Мы написали статью как украсть данные с Трукрипта. Никто не мешает написать другим исследователям статью как украсть данные с Киберсейфа. Но пока ее нет, так что гипотетически предполагать можно что угодно.
То есть опыта не было? Я понимаю что сказать по мужски трудно: «я уверен что ФСБ ставит жучки в любые сертифицированные программы, потому что… ну уверен и баста.» Ок. Фактов нет.
«Совершенно не понимаю, какое отношение имеет это всё к рассматриваемому продукту и его закрытости? Шифрование фоток на мобильном помогли?»
Помогли сертифицированные ФСБ софтины, разработанные коммерсами с лицензиями как мы.
«А про «полное отсутствие перехватов и утечек» это они лично вас вызвали в ЦРУ и доложили? «Или это из фантастических романов взято?». »
Это взято из открытой печати и ТВ: www.regnum.ru/news/polit/1782397.html, www.ng.ru/world/2014-03-07/1_cru.html
»
Ну это ж Вы из собственного опыта? В Вашей фирме вызывали? Или Вас лично? Или это из фантастических романов взято? Я говорю из собственного опыта. При нашей сертификации, и наших коллег (Крипто-Про например) такого не было.
Не соответствует ГОСТу… Он опубликован в 89 году. Математически обоснован, признан мировыми математиками безупречным и на основании открытых данных мы делаем реализацию, в которой отказано не было. Вероятно, у Вас другая ситуация.
«Прикрыть этот зад можно бумажкой, например сертификатом ФСБ. Есть дыры в софте, нет дыр в софте — не важно, вина будет на на человеке, а на хрен знает ком.»
Соглашусь, если речь идет об Администрации поселка Нижние Хачики, Тьмутараканской губернии. А если это тендер в минобороны? Там тоже неважно есть дыры или нет? Я понимаю либеральное болотное сообщество которое ни в грош не ставит армию, но факты упорная вещь: в период нашей крымской кампании спецслужбы США не смогли предотвратить планы Кремля «за счет полного отсутствия перехватов и утечек». В чем получили серьезную взбучку в сенате.
www.assembla.com/spaces/cybersafe-encryption-library/wiki
Виноват, теги не вставляет.
А вот как вам: Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker (http://habrahabr.ru/post/224491/)
Ну прям таки образец открытого кода — BitLocker!
Я не знаю насчет наших «партнеров» из-за океана, Эдик Сноуден много интересного рассказал, но наше ФСБ, когда сертифицирует продукт, тем самым дает ему зеленый свет в гос. компании, в том числе и с грифами. Так вот, открою страшную тайну: «ФСБ кровно заинтересовано чтобы софт, стоящий повсеместно в гос службах был бы максимально неуязвим». И репутация нашей страны со страны прослушек, утечек на высшем уровне. Они это делают не для гиков, а для своих же гос структур.
Вот мы сейчас проходим сертификацию по 3 му классу для межсетевых экранов в НПО «Эшелон». Как вы себе представляете этот процесс? Мы передали сорцы, нашего директора негласно вызывают в эшелон и говорят, Михаил Юрьевич, ну вы же понимаете, для блага страны, вставьте этот кусок кода между 10001 и 100020 строчками? Или нет, возвращают нам наш код с уже внесенными изменениями и говорят вот так лучше будет. И конечно, вы же понимаете, никому ни слова! Ну бред, товарищи, полнейшая чушь.
На самом деле, есть стандарты во-первых алгоритмов (ГОСТ .89 например), смотрят его реализацию, согласно математике. Затем есть стандарты с грифом как хранить ключевую информацию. Все эти стандарты разработаны в КГБ, когда еще и в мыслях не было что какие-то коммерсы будут шифрософт делать, понимаете? То есть, они разработаны для максимальной защиты. И если мы выиграем тендер для минобороны то хотите сказать что и туда он с бэкдорами идет? Или на открытый рынок мы его поставить не можем? Ну бред, детско-юношеский бред, людей которые очень далеки от этого.
И потом самый интересный вопрос, почему любое платное ПО позволительно с закрытым кодом, теже проактивки, файрволы а шифрософт должен вот обязательно идти открытым. Вот работали люди и обязательно должны бесплатно свой продукт всем желающим выкладывать. И ладно бы просто алгоритм, но если у тебя идет куча драйверов, гуи, и других наработок сопутствующих то выкладывай все.
Кстати, у нас движок открыт: www.assembla.com/spaces/cybersafe-encryption-library/wiki
И по вашему хороших программ для шифрования с закрытым исходным кодом не существует? Как на счет PGP, которая сегодня для многих — эталон шифрования, особенно после того, как ее купила компания Symantec?
Мы в открытом доступе предоставляем исходный код своей библиотеки шифрования.