[паранойа][4я поправка] Какое шифрование считается ныне наиболее Ъ?

файлы надо хранить на публичном ftp. это тру

AES 128 тебе подойдет :]

нене, в торрентах - самое тру =)

AES-Twofihs-Serpent. 768 бит, 768 бит. И так уже 5 тебибайтников, осталось еще 3 закрыть. А 4 поправка, это к Конституции? Или о чем?

И как такая цепь по производительности?

> А 4 поправка, это к Конституции? Или о чем?

http://ru.wikipedia.org/wiki/Четвёртая_поправка_к_Конституции_США

Ъ всегда было, есть, и будет только ГОСТ 28147-89.

Нифига. http://www.securitylab.ru/news/367472.php

> поправки в часть 4-ю Гражданского Кодекса
> 4я поправка

Вроде не одно и то же.

Любое, но учти паяльник уже разогревается. :)

Кстати, да. В университете на первых же лекциях объясняют, что ни один шифр не устоит против метода утюга.

В Советской России запрещено пользоваться нелицензионными криптографическими системами (не шутка ни разу) . Так что твой выбор - ГОСТ 28147—89.

...юридическим лицам.

Только загран паспорт и переезд в Европу спасут тебя... ненадолго

>Нифига. http://www.securitylab.ru/news/367472.php

да это пипец... понасажали спортсменов в депутаты... правильно, что оружием владеть запрещают

Незнай-незнай. Сейчас во многих крупных гос.вузах появились суперкомпьютеры, якобы для научных изысканий.

Известно, что там за "изыскания". Щёлкают шифры, сцуки.

Не знаю, стоит ли верить GnuPG/PGP, - подозреваю наличие закладок. Аудит кода не осилю. :(

Придумай алгоритм сам, это не так сложно, в крайнем случае - на оригинальной комбинации уже разработанных систем кодирования. Оригинальный алгоритм - это очень хорошая защита.

ога. Пусть 4096-битный ключ отбрутфорсят.

>...юридическим лицам.

Наивный. Итак, Указ Президента Российской Федерации от 3 апреля 1995 г. № 334:

В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

Для твёрдолобых которые Ъ: запретить деятельность физических лиц связанную c эксплуатацией шифровальных средств без лицензий, выданных ФАПСИ.

В этом месте многие могут подумать "а не переписать-ли нам Рейзер4 под себя?" ))

> запретить деятельность физических лиц связанную c эксплуатацией шифровальных средств без лицензий, выданных ФАПСИ.

Можно ссылочку на оригинальный текст, для не-Ъ?

>Можно ссылочку на оригинальный текст, для не-Ъ?

В гугле забанили?

http://www.fsb.ru/fsb/npd/single.htm!id%3D10342822@fsbNpa.html

А вот ещё интересное: http://www.fsb.ru/fsb/science/single.htm!id=10434826@fsbResearchart.html

Мы можем обратиться в местное управление ФСБ, и получить какие-то средства шифрования личных данный. Вроде так..

>ога. Пусть 4096-битный ключ отбрутфорсят.

Хорошо допустим сотрудник российского секретного ведомства, завербованный ЦРУ отсылает связному через открытые каналы связи (тырнет), инфу, зашифрованную RSA с 4096-битным ключом. И усё! Доказать что он отослал именно секретную инфу невозможно! Так как расшифровать, пусть даже перехваченную шифровку, также невозможно! Соответственно посадить завербованного чела также не за что!

Как Вы себе это представляете? Как можно давать в руки (т.е. предоставлять в отрытый доступ) такие мощные (якобы) средства шифрования, которые, к тому же, есть в любом дистре. Возникает мысль, а такие ли они мощные, что ими могут пользоваться любые желающие и даже шпионы? Видать не такие они стойкие, а?

очевидно же что данные надо хранить в md5. правда когда встанет вопрос о восстановлении будут некоторые сложности, но они со временем решаются.

> Мы можем обратиться в местное управление ФСБ, и получить какие-то средства шифрования личных данный. Вроде так..

Нет, средства шифрования никто не даст. Дадут только требования и методички. И дают их только операторам персональных данных. Вы таковым не являетесь.

"операторам персональных данных" в ихний словарик леть не стал - опаздывал. Так что-же они под этим подразумевали?

>очевидно же что данные надо хранить в md5.

Гениально!

Скопировал строчечку md5 из браузера и поехал брутить себе, скажем новую слаку 12.2 :D

Супер! Особенно для тех кто сидит на мопеде и IBM-RoadRunner'e )))

>Так что-же они под этим подразумевали?

Те, кто по долгу службы работают с паспортными данными, например - т.е. опсосы, пенсионный фонд,банки.

Уж не знаю делают ли они это, но по идее должны. Судя по регулярно утекающим базам - ни хрена не делают.

>Как Вы себе это представляете? Как можно давать в руки (т.е. предоставлять в отрытый доступ) такие мощные (якобы) средства шифрования, которые, к тому же, есть в любом дистре. Возникает мысль, а такие ли они мощные, что ими могут пользоваться любые желающие и даже шпионы? Видать не такие они стойкие, а?

Линукс использует очень мало людей - около 40 миллионов. А в России чуть-ли не каждый линуксоид хорошо разбирается в системе(школьников-крикунов не считаю - они ниасилят). А ведь исходники алгоритма можно даже и скачать. А ведь большую часть разработали не у нас... Как же такое допустили? Я к тому, что при желании им воспользоваться _удастся_. А обычные пользователи ничего пересылать и не станут.

>> Наивный. Итак, Указ Президента Российской Федерации от 3 апреля 1995 г. № 334:

>> Для твёрдолобых которые Ъ: запретить деятельность физических лиц связанную c эксплуатацией шифровальных средств без лицензий, выданных ФАПСИ.

Для твердолобых Ъ мог бы так же разъяснить, что есть ФЗ "О лицензировании отдельных видов деятельности", а в нем стстья № 17 с перечнем, подлежащих лицензироваению видов деятельности, касающихся шифрования, раскрытых в ПОСТАНОВЛЕНИЕ Правительства РФ от 29.12.2007 N 957.

Читаем указанные документы и пробуем найти в них лицензировани физ.лиц для эксплуатации криптосредств. Опережая события, скажу, что там таких положений нет, следовательно эксплуатация GPG/PGP физ лицом не подлежит лицензированию в ФАПСИ, а ноне в ФСБ. Усёк?

> ...юридическим лицам.

И то не всем, а только госучреждениям, всем остальным только для работ с охраняемой по закону информацией.

> Придумай алгоритм сам, это не так сложно, в крайнем случае - на оригинальной комбинации уже разработанных систем кодирования. Оригинальный алгоритм - это очень хорошая защита.

Оригинальный алгоритм, если его разработчик не гуру в криптографии - это верный способ сделать очередную поделку, ломаемую в обеденый перерыв.

На грабли "оригинального алгоритма" кто только не наступал вроде GSM

>Как Вы себе это представляете? Как можно давать в руки (т.е. предоставлять в отрытый доступ) такие мощные (якобы) средства шифрования, которые, к тому же, есть в любом дистре. Возникает мысль, а такие ли они мощные, что ими могут пользоваться любые желающие и даже шпионы? Видать не такие они стойкие, а?

Учи матчасть, да. Если защита данных зависит от закрытости алгоритма - то это хреновый алгоритм. Погугли, скажем, дискретное логарифмирование и т.д. Тот же RSA основан на сложности нахождения множителей _больших_ (внимательно смотрим на слово _больших_) чисел.

>Хорошо допустим сотрудник российского секретного ведомства, завербованный ЦРУ отсылает связному через открытые каналы связи (тырнет), инфу, зашифрованную RSA с 4096-битным ключом. И усё! Доказать что он отослал именно секретную инфу невозможно! Так как расшифровать, пусть даже перехваченную шифровку, также невозможно! Соответственно посадить завербованного чела также не за что!

Ты все правильно понял. Более того, даже терморектальный криптоанализ не поможет - по ключу зашифровки ключ расшифровки не восстановить (практически, за вменяемое время).

>Оригинальный алгоритм - это очень, очень, очень плохая защита.

Исправил очевидную опечатку.

>В Советской России запрещено пользоваться нелицензионными криптографическими системами (не шутка ни разу) . Так что твой выбор - ГОСТ 28147—89.

Угу. Вот только не американскими проприетарными поделками - законодательство САСШ запрещает экспорт программ с шифрованием больше <сколькототамбит> ключами. Такие дела.

>Читаем указанные документы и пробуем найти в них лицензировани физ.лиц для эксплуатации криптосредств. Опережая события, скажу, что там таких положений нет, следовательно эксплуатация GPG/PGP физ лицом не подлежит лицензированию в ФАПСИ, а ноне в ФСБ. Усёк?

Ну раз уж мы на "ты" - ты идиот или не выспался? Где написано что нужно лицензировать _эксплуатацию_? Запрещено пользоваться нелицензионными криптосистемами, а не нелицензионно пользовать криптосистемы.

>Угу. Вот только не американскими проприетарными поделками - законодательство САСШ запрещает экспорт программ с шифрованием больше <сколькототамбит> ключами.

Устаревшая информация.

> Хорошо допустим сотрудник российского секретного ведомства, завербованный ЦРУ отсылает связному через открытые каналы связи (тырнет), инфу, зашифрованную RSA с 4096-битным ключом. И усё!

Очнись! сейчас XXI век на дворе, а не время битв дизельных подлодок. Сейчас проблема получить информацию, а не передать её.

TrueCrypt -- наше все. Позволяет криптовать системные разделы (на винде - встроенная фишка, на linux-е - ты че, не линуксоид, через initrd не настроишь?:).

Поддерживает чейны (или как это называется) из крипто-алгоримов, так мой ноут со свистой, системный раздел, сейчас криптуется AES256-Twofish-Serpent-ом.

Помимо прочих радостей, можно отметить, что TrueCrypt нигде в открытом виде не хранит абсолютно никакой информации о томе зашифрованном, т.е. если не знать что это том TC-шный, то выглядит как случайный набор байтиков. При монтировании, TC перебирвает все возможные сочетания алгоритмов и методов криптования, пробуя введенный юзером ключ. Понятное дело, что перебрать несколько десятков крипто-алгоритмов и их параметров так не составит труда, а вот брутфорс "с нуля" это заметно замедлит.

Так-же помимо прочего, в TC есть защита и от горячего утюга: hidden volume (см мануалы, че как, мне лень уже обьяснять :).

> Запрещено пользоваться нелицензионными криптосистемами, а не нелицензионно пользовать криптосистемы.

Тебе непонятно что лицензия даётся на действия? Если речь не идёт о лицензии, значит речь идёт о предоставлении услуг. И да, что бы услуги предоставлять - ты должен иметь на это лицензию. А на тех.средства выдаётся сертификат и про него в твоём тексте тоже есть - госконторы не имеют права пользоваться несертифицированными средствами. Всё.

> Субж. Просто из чистого любопытства (с).

Ксорка паролем и плавающими счётчиками, чтобы пароль не палился на сплошных нулях во всяких графических и звуковых файлах. Плюс никаких чексумм - корректность рашифровки проверяется только по факту открытия или неоткрытия получившегося файла, что автоматически отправляет брутфорсеров пососать.

Двойная радость - помимо пароля для разгадки нужно знать ещё и алгоритм. Он очень простой, но знаешь его только ты! Т.е. удаляется бинарник расшифровщика и гудбай, а если нужно он кодится заново за пару минут.

И прежде чем орать по поводу "слабости" такого алгоритма - местные "эксперты" на спор такой шифр вскрыть не смогли, за дне недели кажется.

AiFiLTr0, а что ты там такое хранить собрался? :)

Ну я туда систему поставлю... А чего, секурно..)

> AiFiLTr0, а что ты там такое хранить собрался? :)

Чертяжи ядреной бомбы.

> Чертяжи ядреной бомбы.

Это в школе на физике проходят, не?