Пользователь
0,0
рейтинг
28 августа 2012 в 10:08

Разработка → WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети

В последнее время появилось много «разоблачающих» публикаций о взломе какого-либо очередного протокола или технологии, компрометирующего безопасность беспроводных сетей. Так ли это на самом деле, чего стоит бояться, и как сделать, чтобы доступ в вашу сеть был максимально защищен? Слова WEP, WPA, 802.1x, EAP, PKI для вас мало что значат? Этот небольшой обзор поможет свести воедино все применяющиеся технологии шифрования и авторизации радио-доступа. Я попробую показать, что правильно настроенная беспроводная сеть представляет собой непреодолимый барьер для злоумышленника (до известного предела, конечно).



Основы


Любое взаимодействие точки доступа (сети), и беспроводного клиента, построено на:

  • Аутентификации — как клиент и точка доступа представляются друг другу и подтверждают, что у них есть право общаться между собой;
  • Шифровании — какой алгоритм скремблирования передаваемых данных применяется, как генерируется ключ шифрования, и когда он меняется.


Параметры беспроводной сети, в первую очередь ее имя (SSID), регулярно анонсируются точкой доступа в широковещательных beacon пакетах. Помимо ожидаемых настроек безопасности, передаются пожелания по QoS, по параметрам 802.11n, поддерживаемых скорости, сведения о других соседях и прочее. Аутентификация определяет, как клиент представляется точке. Возможные варианты:

  • Open — так называемая открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared — подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP — подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Открытость сети не означает, что любой желающий сможет безнаказанно с ней работать. Чтобы передавать в такой сети данные, необходимо совпадение применяющегося алгоритма шифрования, и соответственно ему корректное установление шифрованного соединения. Алгоритмы шифрования таковы:

  • None — отсутствие шифрования, данные передаются в открытом виде
  • WEP — основанный на алгоритме RC4 шифр с разной длиной статического или динамического ключа (64 или 128 бит)
  • CKIP — проприетарная замена WEP от Cisco, ранний вариант TKIP
  • TKIP — улучшенная замена WEP с дополнительными проверками и защитой
  • AES/CCMP — наиболее совершенный алгоритм, основанный на AES256 с дополнительными проверками и защитой


Комбинация Open Authentication, No Encryption широко используется в системах гостевого доступа вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети. Зачастую такое подключение комбинируется с дополнительной проверкой на Captive Portal путем редиректа пользовательского HTTP-запроса на дополнительную страницу, на которой можно запросить подтверждение (логин-пароль, согласие с правилами и т.п).

Шифрование WEP скомпрометировано, и использовать его нельзя (даже в случае динамических ключей).

Широко встречающиеся термины WPA и WPA2 определяют, фактически, алгоритм шифрования (TKIP либо AES). В силу того, что уже довольно давно клиентские адаптеры поддерживают WPA2 (AES), применять шифрование по алгоритму TKIP нет смысла.

Разница между WPA2 Personal и WPA2 Enterprise состоит в том, откуда берутся ключи шифрования, используемые в механике алгоритма AES. Для частных (домашних, мелких) применений используется статический ключ (пароль, кодовое слово, PSK (Pre-Shared Key)) минимальной длиной 8 символов, которое задается в настройках точки доступа, и у всех клиентов данной беспроводной сети одинаковым. Компрометация такого ключа (проболтались соседу, уволен сотрудник, украден ноутбук) требует немедленной смены пароля у всех оставшихся пользователей, что реалистично только в случае небольшого их числа. Для корпоративных применений, как следует из названия, используется динамический ключ, индивидуальный для каждого работающего клиента в данный момент. Этот ключ может периодический обновляться по ходу работы без разрыва соединения, и за его генерацию отвечает дополнительный компонент — сервер авторизации, и почти всегда это RADIUS-сервер.

Все возможные параметры безопасности сведены в этой табличке:
Свойство Статический WEP Динамический WEP WPA WPA 2 (Enterprise)
Идентификация Пользователь, компьютер, карта WLAN Пользователь, компьютер
Пользователь, компьютер
Пользователь, компьютер
Авторизация
Общий ключ

EAP

EAP или общий ключ

EAP или общий ключ

Целостность

32-bit Integrity Check Value (ICV)

32-bit ICV

64-bit Message Integrity Code (MIC)

CRT/CBC-MAC (Counter mode Cipher Block Chaining Auth Code — CCM) Part of AES

Шифрование

Статический ключ

Сессионный ключ

Попакетный ключ через TKIP

CCMP (AES)

РАспределение ключей

Однократное, вручную

Сегмент Pair-wise Master Key (PMK)

Производное от PMK

Производное от PMK

Вектор инициализации

Текст, 24 бита

Текст, 24 бита

Расширенный вектор, 65 бит

48-бит номер пакета (PN)

Алгоритм

RC4

RC4

RC4

AES

Длина ключа, бит

64/128

64/128

128

до 256

Требуемая инфраструктура

Нет

RADIUS

RADIUS

RADIUS


Если с WPA2 Personal (WPA2 PSK) всё ясно, корпоративное решение требует дополнительного рассмотрения.

WPA2 Enterprise



Здесь мы имеем дело с дополнительным набором различных протоколов. На стороне клиента специальный компонент программного обеспечения, supplicant (обычно часть ОС) взаимодействует с авторизующей частью, AAA сервером. В данном примере отображена работа унифицированной радиосети, построенной на легковесных точках доступа и контроллере. В случае использования точек доступа «с мозгами» всю роль посредника между клиентов и сервером может на себя взять сама точка. При этом данные клиентского суппликанта по радио передаются сформированными в протокол 802.1x (EAPOL), а на стороне контроллера они оборачиваются в RADIUS-пакеты.

Применение механизма авторизации EAP в вашей сети приводит к тому, что после успешной (почти наверняка открытой) аутентификации клиента точкой доступа (совместно с контроллером, если он есть) последняя просит клиента авторизоваться (подтвердить свои полномочия) у инфраструктурного RADIUS-сервера:



Использование WPA2 Enterprise требует наличия в вашей сети RADIUS-сервера. На сегодняшний момент наиболее работоспособными являются следующие продукты:
  • Microsoft Network Policy Server (NPS), бывший IAS — конфигурируется через MMC, бесплатен, но надо купить винду
  • Cisco Secure Access Control Server (ACS) 4.2, 5.3 — конфигурируется через веб-интерфейс, наворочен по функционалу, позволяет создавать распределенные и отказоустойчивые системы, стоит дорого
  • FreeRADIUS — бесплатен, конфигурируется текстовыми конфигами, в управлении и мониторинге не удобен


При этом контроллер внимательно наблюдает за происходящим обменом информацией, и дожидается успешной авторизации, либо отказа в ней. При успехе RADIUS-сервер способен передать точке доступа дополнительные параметры (например, в какой VLAN поместить абонента, какой ему присвоить IP-адрес, QoS профиль и т.п.). В завершении обмена RADIUS-сервер дает возможность клиенту и точке доступа сгенерировать и обменяться ключами шифрования (индивидуальными, валидными только для данной сеcсии):



EAP


Сам протокол EAP является контейнерным, то есть фактический механизм авторизации дается на откуп внутренних протоколов. На настоящий момент сколько-нибудь значимое распространение получили следующие:
  • EAP-FAST (Flexible Authentication via Secure Tunneling) — разработан фирмой Cisco; позволяет проводить авторизацию по логину-паролю, передаваемому внутри TLS туннеля между суппликантом и RADIUS-сервером
  • EAP-TLS (Transport Layer Security). Использует инфраструктуру открытых ключей (PKI) для авторизации клиента и сервера (суппликанта и RADIUS-сервера) через сертификаты, выписанные доверенным удостоверяющим центром (CA). Требует выписывания и установки клиентских сертификатов на каждое беспроводное устройство, поэтому подходит только для управляемой корпоративной среды. Сервер сертификатов Windows имеет средства, позволяющие клиенту самостоятельно генерировать себе сертификат, если клиент — член домена. Блокирование клиента легко производится отзывом его сертификата (либо через учетные записи).
  • EAP-TTLS (Tunneled Transport Layer Security) аналогичен EAP-TLS, но при создании туннеля не требуется клиентский сертификат. В таком туннеле, аналогичном SSL-соединению браузера, производится дополнительная авторизация (по паролю или как-то ещё).
  • PEAP-MSCHAPv2 (Protected EAP) — схож с EAP-TTLS в плане изначального установления шифрованного TLS туннеля между клиентом и сервером, требующего серверного сертификата. В дальнейшем в таком туннеле происходит авторизация по известному протоколу MSCHAPv2
  • PEAP-GTC (Generic Token Card) — аналогично предыдущему, но требует карт одноразовых паролей (и соответствующей инфраструктуры)


Все эти методы (кроме EAP-FAST) требуют наличия сертификата сервера (на RADIUS-сервере), выписанного удостоверяющим центром (CA). При этом сам сертификат CA должен присутствовать на устройстве клиента в группе доверенных (что нетрудно реализовать средствами групповой политики в Windows). Дополнительно, EAP-TLS требует индивидуального клиентского сертификата. Проверка подлинности клиента осуществляется как по цифровой подписи, так (опционально) по сравнению предоставленного клиентом RADIUS-серверу сертификата с тем, что сервер извлек из PKI-инфраструктуры (Active Directory).

Поддержка любого из EAP методов должна обеспечиваться суппликантом на стороне клиента. Стандартный, встроенный в Windows XP/Vista/7, iOS, Android обеспечивает как минимум EAP-TLS, и EAP-MSCHAPv2, что обуславливает популярность этих методов. С клиентскими адаптерами Intel под Windows поставляется утилита ProSet, расширяющая доступный список. Это же делает Cisco AnyConnect Client.





Насколько это надежно


В конце концов, что нужно злоумышленнику, чтобы взломать вашу сеть?

Для Open Authentication, No Encryption — ничего. Подключился к сети, и всё. Поскольку радиосреда открыта, сигнал распространяется в разные стороны, заблокировать его непросто. При наличии соответствующих клиентских адаптеров, позволяющих прослушивать эфир, сетевой трафик виден так же, будто атакующий подключился в провод, в хаб, в SPAN-порт коммутатора.
Для шифрования, основанного на WEP, требуется только время на перебор IV, и одна из многих свободно доступных утилит сканирования.
Для шифрования, основанного на TKIP либо AES прямое дешифрование возможно в теории, но на практике случаи взлома не встречались.

Конечно, можно попробовать подобрать ключ PSK, либо пароль к одному из EAP-методов. Распространенные атаки на данные методы не известны. Можно пробовать применить методы социальной инженерии, либо терморектальный криптоанализ.

Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен). Атаки типа перебора пароля, или направленные на уязвимости в MSCHAP также не возможны либо затруднены из-за того, что EAP-канал «клиент-сервер» защищен шифрованным туннелем.

Доступ к сети, закрытой PEAP-GTC возможен либо при взломе сервера токенов, либо при краже токена вместе с его паролем.

Доступ к сети, закрытой EAP-TLS возможен при краже пользовательского сертификата (вместе с его приватным ключом, конечно), либо при выписывании валидного, но подставного сертификата. Такое возможно только при компрометации удостоверяющего центра, который в нормальных компаниях берегут как самый ценный IT-ресурс.

Поскольку все вышеозначенные методы (кроме PEAP-GTC) допускают сохранение (кэширование) паролей/сертификатов, то при краже мобильного устройства атакующий получает полный доступ без лишних вопросов со стороны сети. В качестве меры предотвращения может служить полное шифрование жесткого диска с запросом пароля при включении устройства.

Запомните: при грамотном проектировании беспроводную сеть можно очень хорошо защитить; средств взлома такой сети не существует (до известного предела)
Антон Винокуров @antonvn
карма
44,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (51)

  • –5
    «Терморекальный криптоанализ» это конечно 5. Как дополнительный метод защиты можно прибавить ещё и обои для экранирования сигнала. Тут даже ключ готовый не поможет.
    • +1
      Где бы эти обои купить… Очень бы пригодилось в домах с десятками WiFi-сетей на квадратный метр чтобы для своей каналы расчистить…
      • 0
        Можно купить двухканальный роутер, которого ни у кого почти нет, и буду вам чистые каналы :) Ну, зависит, конечно, от соседей…
        • 0
          Разблокируй 14ый канал @ будь плохим парнем
      • 0
        Покрась обои серебрянкой! ;-P
      • 0
        В прошлом топике про такие обои была куча вариантов — оклеить стены фольгой, покрасить серебрянкой, металлическая сетка под штукатурку, окна теплоизолирующие с металлическим покрытием.
  • –6
    Помимо всего прочего можно вбить исключения по MAC адресу используемых в сети устройств. Веб-интерфейс моего D-link, например, позволяет это сделать. Но это уже для совсем клинических случаев паранои.
    • +7
      mac-адрес почти любого сетевого усройства штатными средствами windows меняется в несколько кликов, под линуксом вообще одной командой скорее всего — не надо было, не тестил
      • –3
        Если злоумышленник знает нужный MAC, то это конечно не имеет смысла.
        • +9
          Если «злоумышленник» на самом деле является злоумышленником, а не гламурной девочкой с айпадом, то будьте уверены, MAC-адрес он знает.
    • +5
      Фильтрация по MAC-адресам это детский сад. Она остановит только тех, кого может остановить и обычное WEP-шифрование. МАК-адрес сетевого интерфейса можно изменить одной строчкой в терминале, предварительно узнав нужный МАК, ещё одной строчкой. И всё. Два клиента с одним адресом без особых напрягов работают в одной сети.
      • +3
        И ещё это не корпоративное решение (как этим управлять, когда абонентов тысячи?)
        • 0
          Насколько я понял, то параметры сети получаются на сетевой интерфейс после авторизации в домене через радиус сервер — соединился, передал зашифрованный логин пароль, в ответ получил параметры сети, по проводному интерфейсу тоже самое, но не уверен в шифровании, я сейчас в компании такое разворачивать собираюсь
        • +1
          Тот же ДОМ.РУ имеет привязку к MAC-адресам. Что, вообще, меня довольно раздражает. Так как «хардварный» адрес не должен передаваться дальше роутера, значит они его передают уже поверх протокола. Да в общем, это всё не суть. Суть в том, что у них привязка клиентов по МАК-у, и таблица эта динамическая. Т.е. я могу добавить туда сколь угодно много адресов. Т.е. управлять этим можно :} Но я, на всякий случай, свой МАК перед первой аутентификацией все же изменил на hex-словечко. Может паранойя, но чем черт не шутит, мне будет спокойней, если моя информация останется при мне.
          • 0
            «Так как «хардварный» адрес не должен передаваться дальше роутера, значит они его передают уже поверх протокола.»

            Разъясните смысл фразы? Какая-то ненаучная фантастика )
            • 0
              Может быть я мысль неправильно выразил.
              Отвечу вопросом: может ли какой-нибудь сайт узнать MAC-адрес клиента? Ну, вообще, я далеко не гуру в построении сетей и сетевых протоколах, но насколько мне известно, MAC-адрес дальше роутера не передается, разве нет?
              • +2
                Так контроль доступа к сети и реализуется на уровне ближайшего свитча (в идеале), или роутера («на крайняк»).
                • +2
                  Ха-ха. Смешно самому стало даже. Ну да, это же очевидно. Прошу прощения за свой недальновидный комментарий. Почему-то я об этом даже не задумывался, нарисовав себе параноидальный план по сбору информации.
                  Спасибо за ликбез!
              • +1
                Отвечу вопросом: может ли какой-нибудь сайт узнать MAC-адрес клиента? Ну, вообще, я далеко не гуру в построении сетей и сетевых протоколах, но насколько мне известно, MAC-адрес дальше роутера не передается, разве нет?

                Не может. Ваш МАК адрес знает только первый же коммутатор к которому вы подключены.
                • +1
                  МАК виден во всей подсети.
                • 0
                  Наверное всё же не коммутатор/свитч, а именно роутер прерывает передачу МАК-адреса. У Домру такое роутер стоит скорее всего перед оптикой, т.е. либо один на весь дом, либо в каждом подъезде. Видя ваш логин провайдер легко может у себя в базе определить к какому роутеру вы подключены и управлять им для смены разрешенного МАК-адреса например.

                  Это теория, на практике хз как :)
                  • 0
                    Ничего роутер не «прерывает», ну что Вы говорите… Просто есть разные уровни адресации. Ethernet-фреймы, IP-адреса, порты и проч.

                    Иногда хабр приводит в отчаяние.
              • 0
                А как вы думаете это работает?
                www.samy.pl/mapxss/?mac=
                Статья на хабре была, где подробно описывалось как мас-адреса клиентов и их роутеров собирались гуглом и было это гораздо раньше чем проехала знаменитая гугломашина и отсканировала все вайфай точки.

                • 0
                  Явно не так. Там более чем простой способ описанный на этом же сайте
                  1. You visit a malicious web site (why are people so mean?)
                  2. The web site has a hidden XSS against your router (in this example, I'm using an XSS I discovered in the Verizon FiOS router)
                  3. The XSS obtains the MAC address of the router via AJAX.
                  • 0
                    Вопрос bosha был: может ли какой-нибудь сайт узнать MAC-адрес клиента?
                    Ссылка была дана и даже вами процитирован пример сбора данных. Что не так? Google и вовсе не заморачивался, а при установке ПО собирал эти данные.
              • +1
                Если не брать в расчет странно-экстремальные случаи, когда сайт сажает трояна клиенту — НЕТ, сайт MAC-адрес узнать не может.

                Ну если даже не приводить в пример модель OSI… ok, предположим, я сижу в баре и звоню Вам по телефону, что стоит на стойке у бармена. Вы видите исходящий телефонный номер, знаете, где я, и мы болтаем, но Вы принципиально не сможете определить, за каким столиком я сижу. Номер столика — это и есть MAC-адрес. Он по телефону не передается (если официантка не проболтается).
                • 0
                  Фраза «Отвечу вопросом», подразумевает, что вопрошающий таки знает ответ :3
      • 0
        Не являюсь специалистом в области сетей, но всё же интересно.
        Как можно узнать mac устройства не находясь с ним в одной сети? И как 2 устройства с одинаковым mac работают одновременно? В домашней сети случайно так делал и у меня вываливались какие-то ошибки)
        • 0
          #airmon-ng start wlan0
          #airodump-ng mon0
          так мы смотрим клиентов.

          Клиент после аутентификации на точке доступа, а учитывая подмененный мак, валидацию он проходит, ну и получает ip-адрес. Сетевые протоколы, подразумевают работу именно с ip-адресом, а не с mac. Поэтому никаких серьезных(а может и вообще) конфликтов не возникает.
          Мнение с дивана.
          • +1
            Расскажите это такому классному сетевому протоколу как arp.
            Как раз чем ниже к физическому уровню — тем страшнее проблемы.
        • 0
          маки передаются в открытом виде в заголовках пакетов. Ловить пакеты вам никто не может запретить.
        • 0
          «И как 2 устройства с одинаковым mac работают одновременно?»

          Вы не поверите, но два устройства с одним mac-адресом одновременно работать не могут.

          Это как в баре купить пиво и сказать громко — «Иннокентий, угощаю!».
          Если Иннокентиев больше одного, то возникает неразрешимый конфликт.
          (конечно, кто-то может попытаться ухватить пиво раньше… но эта путаница быстро приведет к кризису)
          • 0
            Аналогия некорректна. До тех пор, пока два устройства находятся в одном домене коллизий, одинаковые маки не будут проблемой.
            • 0
              «не» находятся в одном домене коллизий? :)
              • +1
                Наоборот, пока находятся. В пределах домена коллизий все кадры рассылаются сразу всем устройствам, и проблемы, кому из двух одинаковых MACов отправлять, нет. Фактически, два хоста с одинаковыми маками в одном домене коллизий выглядят так же, как один хост с двумя ip-адресами.

                Но стоит между хостами поставить хотя бы неуправляемый коммутатор второго уровня (разбить домен коллизий) — и этот коммутатор не сможет определить, на какой порт пересылать кадр.
                • 0
                  А ведь верно. :) Хоть и, всё равно, вредно.
      • 0
        МАК-адрес сетевого интерфейса можно изменить одной строчкой в терминале, предварительно узнав нужный МАК, ещё одной строчкой.

        И какой же строчкой узнать «нужный» MAC-адрес в сети к которой ещё не подключился?
        • +1
          Написал же выше. airodump-ng покажет вам список ассоциированных с точкой доступа клиентов.
          У вас просто «проводной» шаблон в голове. Если для того чтобы проснифать проводную сеть, вам надо «врезаться»(образно, конечно) в кабель, то при сетевом аудите беспроводных сетей, вы постоянно «врезаны» — радиоэфир он вокруг вас, вы просто слушаете всё подряд. Пассивный режим.
  • +1
    WPA-PSK, по крайней мере (за остальные варианты не уверене, сам не пробовал) ломается через WPS на тех роутерах, которые не имеют в прошивке защиты от перебора ключа WPS.
    • 0
      Да, но это не клиентский PSK а тот, который точки доступа пользуют между собой при WDS-обмене.
      • 0
        С помощью взломанной WPS тем не менее прекрасно можно зайти в ту самую защищённую сеть.
      • 0
        Не совсем Вас понял. Результатом взлома WPS является тот самый пароль, используемый для WPA(2)-PSK авторизации. Так как весь смысл WPS в том, чтоб при правильном пине выдававать все настройки wifi, в т.ч. пароль.

        Пример:

      • 0
        Картинка не вставилась. Пример по ссылке:
        habrastorage.org/storage2/4ec/f9c/f0f/4ecf9cf0f3653fd212f0f0934afb7fd5.jpg
  • 0
    Если кто-то поделится ссылкой как красиво ассигнить VLAN или назначить отдельный пул DHCP-сервера подключениям RADIUS-клиента в NTP — буду очень благодарен.
    • 0
      Пардон, в NPS конечно же. Сейчас конфигурю никсовый сервер времени =)
      • +1
        technet.microsoft.com/en-us/library/cc754422(v=ws.10).aspx

        Сервер доступа (Ваша точка доступа) должен понимать эти инструкции (стоить дороже 2000 рублей?).
  • 0
    Спасибо за статью :). Как вводная в мир беспроводной безопасности вполне даже.

    Правда учитывая то, что про взаимодействие контроллера с точками практически ничего не сказано, то лучше бы всё это описать на примерах «толстых» точек. А то у непосвященного человека контроллер с LWAPP туннелем до точки вызовет только дезориентацию :). Тем более, что на смену LWAPP уже пришел CAPWAP и картинки т.о. немного устарели:)
  • +1
    Неплохая обзорная статья. Но есть небольшие неточности:
    1. Беспроводная безопасность это не только AAA и шифрование. Многие «непробиваемые» вещи очень даже пробиваются.
    2. Переборщили с контроллерами — все прекрасно работает и без них. Просто надо пользоваться правильным железом. :)
    3. PEAP-MSCHAPv2 работает и без сертификата сервера, но уязвим.

    >>Получить доступ к сети, защищенной EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 можно, только зная логин-пароль пользователя (взлом как таковой невозможен).
    Не все так просто.

    EAP-FAST имеет довольно хорошо известную дырищу: если используется Auto-PAC Provisioning доступ к сети может получить кто угодно (при определенном навыке). :) А если не используется — нафига нужен EAP-FAST?? Пережиток прошлого и еще один способ Cisco замкнуть пользователя на проприетарную технологию.

    PEAP-MSCHAPv2 ломается, но не прямой атакой на крипту. Ставится точка-имперсонатор и «свой» RADIUS-сервер. Клиент коннетится, шлет (шифрованные, конечно) credentials. Которые успешно распаковываются, используя известные уязвимости в MS-CHAP (т.к. EAP-тнелль замыкается на нас). Дальше, просто идем с этими данными на исходную точку :) Спасает установка сертификатов на точки и RADIUS-серверы и тотальная их проверка на клиенте.

    Вычислить PSK и PTK по пакетам собранным «из воздуха» для WPA2-PSK вполне возможно. Особенно, если используется уязвимый PSK, доступный в Rainbow Tables. Дальше можно проводить дешифрацию в реальном времени и делать все, что угодно :)

    Так что, одним шифрованием и аутентификацией Wi-Fi не защитить, хотя в целом с вашим конечным тезисом согласен…
    • 0
      Соглашусь, но все же терморектальный криптоанализ будет попроще всех этих способов.
      • 0
        Многие из этих способов по статьям УК классифицируются как намного менее тяжкие, чем предлагаемый вами :)
        Да и в реализации проще, т.к. спланировать похищение человека не так и просто.
        А вообще — вот habrahabr.ru/post/151126/

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.