Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет olegmi ([info]olegmi)
@ 2006-08-24 07:31:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Те, для кого криптография и безопасность пустой звук, под кат могут не заглядывать.

Виды угрозы безопасности физического канала и оконечных устройств.
1. просмотр на линии.
2. случайное искажение
3. целенаправленая подмена
4. перехват паразитных излучений
5. перехват интерфейса пользователя
6. физический захват оконечного устройства
7. физическое давление на пользователя, работающено под контролем
8. одноразовое тайное похищение колючевой информации у пользователя
9. одноразовое открытое похищение колючевой информации у пользователя
10. Тайный контроль оконечного устройства ("трояны" с вариациями, вплоть до аппаратных).

Я предусмотрел все угрозы?

(Добавить комментарий)

Prosmotr dannyh vozmozhen ne tol'ko na linii, no i na konechnom ustrojstve.
[info]d_ohrenelli@lj
2006-08-24 05:04 (ссылка)
Unichtozhenie dannyh ne javljaetsja chastnym sluchaem ih podmeny.
Mne kaxhetsja chto ponjatie "bezopasnost'" ne opredeleno dostatochno chetko.

Ja by delil jeto tak:

3 glavnyh vida problem:

1 - bezopasnost'linii ot obryva/proslushivanija/podmeny informacii
2 - Bezopasnost' konechnogo ustrojstva ot nesankcionirovannogo dostupa na zamenu/unichtozhenie/chtenie k dannym/linii
3 - Bezopasnost' ot sankcionirovannogo dostupa s nesankcionirovannymi celjami.


(Ответить) (Ветвь дискуссии)

Re: Prosmotr dannyh vozmozhen ne tol'ko na linii, no i na konechnom ustrojstve.
[info]ex_olegmi@lj
2006-08-24 06:07 (ссылка)
Чтение паразитных мзлучений все время за бортом. На меня это нагоняет тоску...

А как это выстроить в линейный список по степени опасности и присвоить какие-то весовые коэфициенты?
Есть стройные идеи _набора_ правил типа "если конечное устройство прошляпили, то нет смысла защищать линию"?
Т.е. надо как-то придти к четким выводам, что нет смысла ставить замок за 10 килобаксов на ворота, если рядом две секции забора давно украли наркоманы...

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Prosmotr dannyh vozmozhen ne tol'ko na linii, no i na konechnom ustrojstve.
[info]d_ohrenelli@lj
2006-08-24 08:38 (ссылка)
Chtenie parazitnyh izluchenij slishkom dorogoe udovol'stvie.
Kak pravilo gorazdo prowe napisat' i postavit' na liniju sniffer.
Strojnyh idej net.
I ne budet, potomu chto ponjatie bezopasnot' tesno zvjazano s predmetom onoj ebzopasnosti.

V chastnosti mozhno pridunat' X raznyh sistem dlja kotoryh odinakovye ataki budut predstavljat' raznuju stepen' opasnosti.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Паразитные излучения и снифер
[info]ex_olegmi@lj
2006-08-24 09:22 (ссылка)
Chtenie parazitnyh izluchenij slishkom dorogoe udovol'stvie.
Kak pravilo gorazdo prowe napisat' i postavit' na liniju sniffer.

Снифер на криптованом канале? А если там одноразовый блокнот?
Излучение ловить может и дорого, но не так сильно как кажется. Монитор сильно фонит. Если устроиться за стенкой, то я бы не поручился за сохранение тайны...
Проблема в том, что излучение может выдавать как секретний трафик, так и ключи. В случае ловли ключей это становится достаточно дешево.

(Ответить) (Уровень выше)

Сфера применения
[info]ex_olegmi@lj
2006-08-24 09:25 (ссылка)
Ок.
Охарактеризую сферу применения.
Я поковырял PGP, и эта система мне не внушает глубокого доверия. Пытаюсь задуматься над альтернативной концепцией. Не исключено, что с аппаратной поддержкой. Не исключено, что вовсе без компьютера.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Сфера применения
[info]ramendik@lj
2006-08-24 16:27 (ссылка)
Без компьютера - это ручками? Или специализированный компьютер с жёсткой прошивкой? Второе - есть.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Сфера применения
[info]ex_olegmi@lj
2006-08-24 17:21 (ссылка)
Я рассматриваю все варианты, включая самые нестандартные.

Руками сегодня реально шифровать только по одноразовому блокноту.

Что за специализированые компьютеры ты имеешь в виду? Я таких не видел. Где посмотреть?

(Ответить) (Уровень выше) (Ветвь дискуссии)

"Ручки" и "жесткая прошивка"
[info]tozhe_igor@lj
2006-08-29 09:55 (ссылка)
Ручками можно шифровать по разному.
См. работы Ади Шамира и Мони Наор по визуальному шифрованию

Типичный пример "жёсткой прошивки" - VIA PadLock

Кстати, а что вас смущает в PGP?
keylog?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: "Ручки" и "жесткая прошивка"
[info]ex_olegmi@lj
2006-08-29 15:41 (ссылка)
> "Ручки" и "жесткая прошивка"
> Ручками можно шифровать по разному.
> См. работы Ади Шамира и Мони Наор по визуальному шифрованию
Это будет или реализация разового блокнота, или это на ура расколят криптоаналитики. Сегодня неттретьего варианта, если нет желания руками крутить DES много раз руками в извращенных комбинациях.

> Типичный пример "жёсткой прошивки" - VIA PadLock
Чип на материнке?
Меня он не волнует. Концепция неприемлима. Я именно боюсь того, что украдут из компьютера...

> Кстати, а что вас смущает в PGP?
Там есть дыры.

> keylog?
И это то же и куча других уязвимостей.

(Ответить) (Уровень выше)

Re: Prosmotr dannyh vozmozhen ne tol'ko na linii, no i na konechnom ustrojstve.
[info]ex_olegmi@lj
2006-08-24 06:15 (ссылка)
Как разделить в класификации тайные и явные нарушегия безопасности?
Тайные часто бывают опаснее...

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Prosmotr dannyh vozmozhen ne tol'ko na linii, no i na konechnom ustrojstve.
[info]d_ohrenelli@lj
2006-08-24 08:36 (ссылка)
Tajnye vsegda opasnee.
Vprochem audirovanie dostupa k dannym pomozhet blagorodnomu donu.

(Ответить) (Уровень выше) (Ветвь дискуссии)

тайное нарушение безопасности
[info]ex_olegmi@lj
2006-08-24 08:55 (ссылка)
Тайные всегда опаснее в оперативном смысле. Но я имею в виду только техническую составляющую вопроса. Если, например, на линии происходят замены, но крипто система написана грамотно и фиксит проблему, то это "тайное" можно считать явным, и не причиняющим дополнительного ущерба. Хотя формально замена была "тайной", т.к. система не получала информации о замене, но сама обнаружила замену. То же самое можно было бы сказать о подмене устройства, если подмена будет обнаружена техническими методами.

(Ответить) (Уровень выше)


[info]ramendik@lj
2006-08-24 09:26 (ссылка)
7а. Сознательное предательство пользователя.
7б. Сознательное предательство инженера шифровательных решений.

(Ответить) (Ветвь дискуссии)


[info]ex_olegmi@lj
2006-08-24 09:43 (ссылка)
7a. Борьба против сознательного предательства пользователя - оперативная задача, а не техническая. Техническая задача ограничивается методом переноса информации в мозг пользователя. А что он сделает с ней дальше - другая сфера безопасности.

7б. Против этого уже давно есть надежный ответ: открытый код и мнения всех экспертов, которые сподобятся зачитать. Системы с тайной метода идут прямиком в мусорную корзину без рассмотрения вовсе.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ramendik@lj
2006-08-24 18:38 (ссылка)
По 7б. Проблема в том, что про открытый код знает сам этот инженер. Он конечно заявит что ставит всё открытое и настраивает правильно - а что он сделает на самом деле? Фиг его проконтролируешь без квалификации.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ex_olegmi@lj
2006-08-24 18:50 (ссылка)
Код должен поддаваться компилированию у тебя дома.

Для чтения сырцов можешь пригласить независимых экспертов.

ПЖП клепала целая бригада, но это не помешало мне почувствовать запах гари...

(Ответить) (Уровень выше)


[info]ramendik@lj
2006-08-24 16:33 (ссылка)
10. Тайный контроль оконечного устройства ("трояны" с вариациями, вплоть до аппаратных). Тут не разовая, а постоянна утечка информации, включая ключевую, и возможно - иногда "левые" действия от имени пользователя, но самому пользователю злоумышленники не дают понять что устройство контролируется.

(Ответить) (Ветвь дискуссии)


[info]ex_olegmi@lj
2006-08-24 17:41 (ссылка)
Есть такая буква!
Большое спасибо, что напомнил. Я сам об этом регулярно страдаю, но в списке упомянуть забыл...

(Ответить) (Уровень выше)