информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 NSA выпустило Гидру 
 Неприятная уязвимость во всех WinRAR,... 
 Apple случайно превратила FaceTime... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Первый в Рунете публичный аудит почтовой системы 03.06.02 11:25  Число просмотров: 2201
Автор: Komlin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Привет Влад.
> Добрый день, Александр.

> Я тут видел еще более крутой вариант для параноиков - ввод
> азбукой Морзе через клавишу NumLock :)
:))) Речь идёт о том, чтобы осложнить жизнь снифферу. Многие (я например) ведь работают с
веб-интерфейсов в командировках. По-моему редкая гостиница и интернет кафе не
оборудованна клавиатурным снифером. А вот комплексные мышинно-экранные- экзотика.
Экранная клавиатура-же штука довольно удобная, как Palmовод сужу. По крайней мере
она приемлемое по балансу между удобством и защите решение
> > Влад, работа с ассиметричным шифрованием в Интернет, в
> > принципе, не спасает от адресного внимания спецслужб.

> Александр, при правильном подходе - спасает. Это азбучная
> истина.
Как именно? Если перехвачен канал на уровне провайдера, то все попытки
бессмысленны. Другое дело, что правильное применение ( сертификаты,
разнесение каналов получения ключа и данных и т.п.) осложняют
техническую сторону подмены, но не решают проблему. А если проверка не адресная (
столь популярноое ныне сканирование на ключевые слова), то s-mail - приемлемая защита.

> По определению, единственный канал, которым можно
> передавать открытые ключи (а не сертификаты!) - личная
> встреча. Поэтому в чистом виде это нигде и не применяется.
Угу. Именно это я и хотел сказать ( ну может ещё телефонный
разговор если у Вас хороший слух на голоса).

> Т.е. Вы прилюдно заявляете, что в общем случае "сторонний
> злоумышленник" не имеет возможности изменить маршрут
> прохождения трафика между клиентом и сервером S-MAIL и
> сделать тот самый MitM?
> Я бы не был столь категоричен ;) Со своей стороны, не стану
> утверждать, что каждый школьник, начитавшийся журнала
> "Ксакеп", сможет это сделать. Но задачка эта под силу не
> одним только спецсслужбам ;)
Нет, конечно я этого не заявлял и не заявляю. Это действительно реально, хотя и очень трудно.
Особенно учитывая мобильность s-mail.
Кроме того необходимо вскрывать ssl на связи с сервером (передача тела письма идёт ч/з
htpps). А он защищён уже классически, с применением сертификатов.
Согласитесь, это на порядки сложнее чем снять почту прямо с сервера
(Обычно, это под силу даже мне ).
Именно в этом плане S-Mail вне конкуренции с другими российскими Web-почтами.
Яркий пример того как изначальный учёт безопасности на порядок повышает стойкость сервиса.

> А что, кто-то силком заставлял через веб это делать? ;) Это
> что-то вроде: "Ребята, у вас не очень круто получилось",
> "Так мы, стоя на голове это делали!", "А, ну тогда
> Зачем выбирают веб-интерфейс? Правильно, для обеспечения
> мобильности (читай: удобства). А удобство и безопасность
> всегда в противофазе ;)

Я сам противник веб интерфейса (см. мои статьи), но это грустная реалия
современной почты. Он имеет и свои достоинства- простоту(доступность непрофессионалу),
мобильность, бесплатность.
Сегодня многие его считают и более безопасным (спасибо Outlook Express и другим
интегрированным с браузером почтам). По-моему пытаться переломить ситуацию уже бесполезно.
S-mail лучше чем ничего. Гораздо лучше.

> конечно". Я прошу не обижаться уважаемый S-MAIL, но выбор в
> пользу веб-интерфейса не есть причина, по которой нельзя
> было сделать какое-либо подобие PKI. А схема реализации
> настолько тривиальна, что даже нет желания ее расписывать.
Они делают. Только когда всё этом на общем канале - смысла мало.
А независимые каналы денег попросят.
Конечно стоит предоставить пользователям возможность выбора. Но результат я знаю заранее.

> > Отчасти и потому, что они не меньшие, чем проблемы в
> других
> > решениях (том же PGP).
> Щаз! Попробуйте в PGP нормально поработать без заверения
> ключа. Конечно, можно самому заверить, но это уже на свой
> страх и риск...
> Что в PGP, что в GNUPG сделана распределенная система
> сертифкации ключей. Кстати, при разумном подходе и
> отсутствии общей доверенной точки, можно произвести
> безопасный обмен ключами и без личной встречи. Надежность,
> конечно, уже не 100%, тем не менее...
Надёжность передачи ключей ч/з Интернет бесконечно меньше их заявленной криптостойкости.
Какую схему не реализовывай (кроме временной защиты, но она для профи).

> Среднестатистическому пользователю - вообще по барабану. Вы
> на меня в прошлый раз обиделись за замечание про НИИ
Нет, не обиделся. Просто оно в корне неправильно и вообще лучше не касаться личностей спорящих.
От этого только хуже.
>, а мне
> постоянно приходится общаться с будущими юзерами системы
> конфиденциальной связи. После длительных душевных
> разговоров, в процессе которых на пальцах объясняется что
> такое несимметричная криптография (никакой математики!
> только аналогия с сундуком, замком и ключом!), о пользе и
> необходимости самостоятельной генерации ключа, клиент
> произносит фразу почти как в анекдоте ("ты не
> выпендривайся, а рукой покажи!"), в смысле, дайте мне
> дискетку с "кодом", желательно без пароля. Занавес.
М-да. Это увы так.


>plug-in для Outlook ...который также загружен по non-trusted каналу (ИНтернет)
> ;))
; Как и PGP который в лучшем случае куплен на CD-шном рынке.
C open -source ситуация чуть лучше если вы в состоянии проверить его самостоятельно.
Но в целом - тупик.


> > связан с ними материально, просто высказываю своё
> мнение
> > считая, что любой человек вправе похвалить
> понравившийся
> > ему продукт…
> Угу. Но есть решения проще. Когда возникла надобность в
> конфиденциальной переписке (соавтор статьи в живет другом
> городе), был просто выкачан GNUPG, собран из исходников,
По какому каналу? :)))

> сгенерированы ключи. Обмен ключами, естессно, произошел по
> интернет, но вот fingerprint ключей был сверен по
> нескольким независимым каналам. Пользуемся до сих пор, тем
> более, что однажды появилась оказия пересечься лично, и
> теперь уверенность в достоверности полученных ключей -
> 100%. ;)
> А главное, что характерно ;), мы не приявязаны к
> конкретному сервису и каналу передачи.

Правильно Влад. Но Вы всё же профессионал, а большинство пользователей инета нет.
Для тех же Ваших клиентов PGP - жутко сложная штука (одно название чего стоит).
S-Mail же для них простое и привычное решение, которое действительно будет достаточным
во многих случаях.

Александр
<theory> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach