Сноуден пролил свет на ситуацию со взломом криптографии. Все плохо

    Свежая порция секретных документов от Эдварда Сноудена дает понять, каким образом Агентству Национальной Безопасности США удается обходить криптозащиту Интернет-коммуникаций.

    Сразу в трех изданиях (The Guardian, The New York Times и ProPublica) были выложены выдержки из секретного бюджета АНБ, согласно которым с 2000 года, когда стали массово внедрятся средства шифрования, спецслужбы США потратили миллиарды долларов на взлом криптографии в рамках секретной программы Bullrun (названа в честь первого крупного сражения Американской Гражданской войны, произошедшего 21 июля 1861 года возле Манассаса, штат Виргиния).

    Деятельность Агентства не ограничивалась научными исследованиями алгоритмов и строительством дата-центров для взлома коммуникаций методом перебора ключей. Выяснилось, что Агентство давно и успешно работает с IT-компаниями по вопросу встраивания в их продукты закладок для спецслужб США, а также ведет работу по обнаружению уязвимостей в механизмах шифрования и целенаправленному ослаблению международных алгоритмов защиты данных (сообщается о неназванном международном стандарте шифрования, принятом Международной организацией по стандартизации в 2006 году). На одно только встраивание бэкдоров в популярные коммерческие продукты, в рамках программы SIGINT, ежегодно тратится 250 млн. долларов.

    Согласно документам, наибольшие усилия предпринимаются для взлома протокола SSL, обеспечивающего безопасность большинства коммуникаций в современном Интернете. VPN и технологии защиты 4G также являются одними из приоритетных направлений. АНБ поддерживает внутреннюю базу данных ключей шифрования, позволяющую мгновенно расшифровывать соединения. Если же необходимых ключей не оказывается, то запрос переходит к специальной «Службе восстановления», которая пытается получить его различными способами.

    Несколько опубликованных документов
    image

    image

    image

    Вместе с АНБ в программе участвовал GCHQ (Government Communications Headquarters, Центр правительственной связи) — британская спецслужба, ответственная за радиоэлектронную разведку и защиту информации государственных органов. По информации The Guardian, в течение трех лет она разрабатывала способы взломов зашифрованных данных, проходящих через Hotmail, Google, Yahoo и Facebook. Согласно документам, к 2012 GCHQ разработал «новые возможности доступа» в системы Google.

    Как отмечает The New York Times, полученные от Сноудена документы свидетельствуют о том, что АНБ считает возможность расшифровывать информацию одним из своих приоритетов и «соперничает в этой области со спецслужбами Китая, России и других стран». «В будущем сверхдержавы будут появляться и приходить в упадок в зависимости от того, насколько сильными будут их криптоаналитические программы. Это цена, которую должны заплатить США чтобы удержать неограниченный доступ к использованию киберпространства», — цитирует газета документ АНБ от 2007 года.

    В полной мере возможности АНБ в области дешифровки известны только ограниченному кругу организаций, так называемой «Пятерке Глаз»: АНБ и их коллеги в Великобритании, Канаде, Австралии и Новой Зеландии.

    В последнее время все больше крупных компаний стали переходить на специальные аппаратные решения для организации VPN и криптографии, поэтому на 2013 год АНБ планировало либо встроить аппаратный бэкдор в чипы шифрования через производителя, либо обнаружить и негласно использовать уже имеющиеся уязвимости в реализации. Что именно происходит сейчас неизвестно, т.к. документам Сноудена уже несколько лет.

    Известный специалист по криптографии Брюс Шнайер высказал мнение в The Guardian, что «правительство США предало Интернет» и уже опубликовал свои рекомендации как (попытаться) избежать слежки АНБ.
    Метки:
    Поделиться публикацией
    Комментарии 284
    • +81
      Стратегия безопасности будущих лет: весь буржнет переходит во Вконтакте и аську (им пофиг, если за ними будет следить ФСБ), а мы — в Скайп и Фейсбук (нам пофиг, если за нами будет следить АНБ).
      • +16
        Тогда АНБ начнет следить за вк и аськой, а ФСБ за скайпом и фейсбуком и замкнутый круг.
        • +120
          «Спецслужбы внедрили, в преступные группировки, столько законспирированных агентов, что большая часть преступных групп теперь состоит только из них»
          • –2
            Согласно этой логике Анонимусы состоят почти сплошь из шпиков, поскольку они — несомненная цель для спецслужб. Следовательно, выполняют заказы. Не противоречит ли это фактам?
            • +17
              Совершенно напротив, в реальном мире оперативные мероприятия по поимке «хакера» заключаются в поисках «казачка», предусмотрительно уличенного в мелком преступлении, после чего отпущенного на свободу с формулировкой: «делай, что и всегда на форуме/IRC канале/etc N, когда твои услуги нам понадобятся — тебе позвонят». Этот факт подтверждается перманентными успехами в раскрытии, кардерских, и не только, групп, а вот с одиночками значительно тише.
              • 0
                Это не совсем то, что Вы утверждали.
                Согласно Вашей цитате в группировке (а Анонимусы — группировка), одни агенты. Зачем там кого-то ловить?
                А вот для выполнения заказов такая группировка вполне годится.
                • 0
                  Вполне возможно их особо-то и не ловят, то что какой-нибудь Адоб/МС/кто-то еще потерял несколько сот лямов из-за пиратства шерифа АНБ может не особо и волновать, лишь бы эти анонимусы/лулзы не лезли в более другие места.
                  Так и пару есть куда выйти, и пар этот под контролем. Ну и накрывать их потом проще, когда уж совсем распоясаются.
                  Теория, само собой.
              • +3
                LulzSec-то вроде развалился только потому, что среди них был один из агентов ФБР.
              • +2
                Довольно распространена версия, что они их и создали.
                • 0
                  Bad news, everyone! CIA!
                  www.youtube.com/watch?v=Hlip7jZX9m0
              • +30
                Как раз Skype и Facebook небезопасны даже больше, потому что нет гарантий, что ФСБ не следит за ними прямо сейчас. Думаете, Цукерберг просто так к нам приезжал, поагитировать программистов уехать к нему работать? Думаю, за 2 дня российские спецслужбы обо всём с ним договорились и теперь FB находится на том же уровне, что и VK.

                Про Skype ещё проще — Microsoft давно сотрудничает со спецслужбами РФ и раскрытие методов шифрования в Skype уж точно не должно стать исключением.

                Мораль всего, что рассказал Сноуден, проста — не доверяй массовым бесплатным сервисам. На поддержание их работы требуются огромные затраты, и если не видите явных способов монетизации — значит, как минимум, они торгуют вашей информацией. Или предоставляют удобные сервисы по идентификации человека — FB уже сейчас внедряет систему поиска лиц людей среди всех загруженных фотографий и угадайте, кому эта система больше всего может пригодиться.

                Ну и как общий итог — правительство должно быть под контролем граждан, иначе оно неизбежно начнет делать такие гадости, не жалея ничьей приватности.
                • –41
                  У тебя есть время ходить и контролировать правительство? У меня нет. И желания нет. И далеко от Новосибирска до правительства. И что делать?
                  • +23
                    Если ты не займёшься политикой, политика займётся тобой. ©
                  • +5
                    Но с другой стороны дядечка Брюс Шнаер написал, и это кажется логичным, что не стоит доверять проприетарным системам и опен сорс лучше гарантирует то, что в коде не будет бэкдоров. Хотя бы потому, что их легко увидеть.

                    В итоге получается — платные опенс сорсные сервисы. Что у нас есть такого?
                    • +3
                      А кто мешает на серверной стороне платных опенсорсных сервисов установить закладку?
                      • +6
                        Шифрование на клиентской, очевидно же. Пусть тырят скока влезет
                        • +1
                          А аппаратные закладки, о которых упоминалось в статье? Понятно, что это уже из разряда конспирологии, но Intel — американская компания, что мешает АНБ надавить на них и заставить встроить в свои CPU закладки? Тем более что в процессорных архитектурах уже есть специальные команды для ускорения того же AES, соответственно, в будущем, когда софт будет активнее их использовать, закладка может срабатывать при попытке вызова этой команды и неким образом информировать спецслужбы о параметрах шифрования.
                          • +8
                            Позволю себе оставить здесь ссылку на эту статью: www.xakep.ru/post/58104/
                            • +1
                              Да, статья зачётная. Но насколько всё описанное в статье реально соответствует действительности — до конца не понятно.
                              • +2
                                В каментах к статье есть ссылка на блог автора, (Игорь Коркин (очевидно псевдоним) обнаружевшего это зловред.

                                Мне одному кажется или Джефф Дин действительно нервно пишет макросы под Excel в сторонке?
                              • 0
                                Цитата из статьи:

                                Применение иностранных криптографических средств с длиной ключа более 40 бит запрещено на территории России законодательно <...>

                                Всё что я смог найти по этому поводу — это постановление Правительства РФ от 29 декабря 2007 г. N 957 (его обзор на Гаранте), в котором говорится, что требуется лицензировать определённые криптографические средства с ключом более определённой длины. Согласно этому постановлению, максимально допустимая длина ключа, при которой не требуется лицензирование — 56 бит, а в предшествующей версии постановления было 40.
                                Действие статьи происходит в 2007-м, так что, предположительно, автор имел в виду ещё старое постановление. Но при любом раскладе ни о каком запрете речи не шло.

                                В этом контексте интересно услышать мнение юристов: то что сейчас в домашних условиях доступны без всяких лицензий алгоритмы из той же библиотеки OpenSSL, в которых ключи могут быть куда длиннее — это нарушение закона, или же есть какая-то хитрость, позволяющая для личного и коммерческого использования прибегать к помощи таких библиотек и не заморачиваться с лицензиями?
                                • +2
                                  Не являюсь юристом, но сошлюсь на законодательную базу. См. постановление Правительства №313 от 16 апреля 2012.

                                  Пункт 1:
                                  1. Утвердить прилагаемое Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).


                                  Есть следующий момент:
                                  3. Настоящее Положение не распространяется на деятельность с использованием:

                                  г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
                                  ....


                                  Думаю, что openssl прекрасно подходит под этот пункт. Как, например, стандартные реализации SSL/TLS.

                                  Также в приложении к постановлению есть список работ/услуг для которых необходимо лицензирование.

                                  base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=128739
                        • +1
                          Как антивирус не может гарантировать 100% защиту компьютера, а только (очень) усложнить жизнь хакерам; так теперь и средства шифрования не могут гарантировать полную приватность передаваемых данных, только усложняют жизнь АНБ, ФСБ и другим спец. службам по получению инфы о нас.
                          Но опять же, вряд ли все они следят за каждым моим твитом в режиме реального времени.
                          • +10
                            Я бы поостерёгся на счёт заявлений о том, что опен сорс гарантирует отсутствие бэкдоров. Вы готовы проверить код OpenSSL, что в ГСПЧ или запчастях для криптоалгоритмов нет искусственного снижения стойкости? Гугл на запрос PRNG vulnerability даёт много ссылок.
                            • +22
                              Я бы поостерёгся на счёт заявлений о том, что опен сорс гарантирует отсутствие бэкдоров.


                              Ничто не гарантирует Вам отсутствие бэкдоров. Опенсурс только сильно снижает вероятность их наличия.
                              • +9
                                Есть опубликованная информация о бэкдурах в OpenBSD и вышедших оттуда продуктах, известны имена разработчиков, которые получали деньги за это от ФБР задолго до призм. Даже если вы знаете точно marc.info/?l=openbsd-tech&m=129236621626462&w=2 что кто-то рылся например в openssh, то все равно не так много людей способны порыться там в алгоритмической части и найти закладки.
                                • 0
                                  Очень интересная переписка.
                                  • +18
                                    Нету информации о бэкдорах. Кто-то пишет, что типа закладывал их когда-то давно, но без конкретики. Конкретика так и какие-либо подтверждения так и не были опубликованы. Что крайне странно, так как после опубликование этой переписки, очевидно, что все специалисты на перегонки бросились лопатить этот код. И ничего. Многие разработчики на это высказывались, что даже, если что-то тогда и было, то код с тех пор настолько изменился, что все закладки ушли сами собой. На данный момент более всего похоже на вброс с целью дискредитации открытого ПО.
                                    • +2
                                      Даже если бросились искать, не факт что потом бросились публиковать. Если верить тому же Сноудену, то оч многие 0day не публикуются и АНБ прикладывает усилия, чтобы так было и дальше.
                                  • +7
                                    Снижает за счёт того, что в код можно посмотреть? Так людей, способных в этом коде увидеть проблему, сотни на весь мир, и при этом чаще всего это не программисты, а математики. Абсолютное большинство пользователей (в том числе разработчики) опен-сорс продуктов по-умолчанию считают, что OpenSSL надёжный и не содержит закладок. Можно тут на хабре опрос провести, сколько человек в код смотрели, а сколько используют, но результат предсказуем, мы оба его знаем. Те, кто не доверяет, обычно пишут свои криптовелосипеды, а уж там наверняка дыра на дыре, т.к., опять же, специалистов в области криптографии совсем мало.
                                    • +4
                                      Не только. Еще и за счет наличия независимых совместимых реализаций (Брюс Шнайер об этом писал). Например, в OpenSSL можно заложить только такую закладку, которая не ломает совместимости с YaSSL/CyaSSL, GNUTLS, NSS, и множеством других.

                                      Конечно, это вполне возможно (придумать такую закладку), даже и несложно, пожалуй. Но все-таки сильно ограничивает количество вариантов, и мест, где ее потом будут искать.
                                      • +2
                                        Так не обязательно реализацию портить. Если испортить ГПСЧ, то всё будет отлично совместимым, но при этом стойкость может упасть на много порядков.
                                        • 0
                                          Естественно. Это я и имел в виду, говоря, что закладку придумать несложно. Но все-таки, следить за исходниками ГПСЧ гораздо проще, чем вообще за всей математикой в OpenSSL. И проще отловить закладку.
                                          • 0
                                            Бывают сложные ГПСЧ. Например, такие
                                          • 0
                                            А ведь в случаем необходимости, можно вместо ГПСЧ использовать свою заранее просчитанную последовательность псведо случайных чисел. Например посчитать алгоритмом Вихря Мерсенна последовательность для 48 числа Мерсенна. Период такой последовательности будет равен 2^(57885161)-1 и скорей всего атаку на ГПСЧ совершить тут не получится.
                                            • +1
                                              Вихрь Мерсенна хоть и очень клевый, но не криптостойкий (можно угадать предыдущие\следующие значения). Самое тру — это fortuna
                                        • +4
                                          >Так людей, способных в этом коде увидеть проблему, сотни на весь мир

                                          Ну так и прекрасно. Достаточно одному из ста увидеть и не промолчать, и о бэкдоре узнает весь мир. Вероятность же того, что бэкдор будет найден в закрытом продукте — несравнимо ниже.
                                          • +1
                                            В том и проблема что этот самый один из ста может быть занят какими-то своими делами, а не копанием кода openssl.
                                            У людей вообще-то бывает своя жизнь, с опенсорсом не связанная вообще никак.
                                            Засада именно в низкой вероятности.
                                          • 0
                                            www.opennet.ru/opennews/art.shtml?num=33188
                                            Компания Coverity, развивающая инструментарий для автоматического анализа кода на предмет наличия проблем безопасности и ошибок представила очередной ежегодный
                                            отчёт (PDF, 550 Кб) с результатами изучения 37 млн строк кода из 45 наиболее активно разрабатываемых открытых проектов и 300 млн строк кода из 41 анонимного проприетарного продукта. В среднем, в открытых проектах было выявлено 0.45 дефектов на 1000 строк кода, для проприетарных продуктов данный показатель составляет 0.64, при этом средний показатель качества для всей индустрии разработки ПО составляет 1 ошибка на 1000 строк кода.
                                            • +1
                                              К чему это? Coverity не проверяет правильность алгоритма, только правильность кода.
                                              • –1
                                                Забавно будет, если криворукие АНБ-шники напишут закладку с ошибками, она привлечёт внимание статического анализатора и человек, вычищающий предупреждения, её заметит.
                                                • +1
                                                  Статический анализ ищет более низкоуровневые проблемы. т.е. если АНБ будет встраивать buffer overflow — это заметят. Если будут встраивать предсказуемый ГПСЧ — проблема будет лежать на несколько уровней абстракции кода выше, и проверяющий найденную ошибку с большой вероятностью не сможет в этот момент оценить весь код целиком.
                                        • 0
                                          Ну вообще я про гарантию ничего не говорил. Просто вероятность меньше
                                          • +1
                                            Перечитал свой коммент, говорил про гарантию, виноват, некорректно выразился. Конечно, ничто не может ее гарантировать, бессмысленно спорить. Но вероятность все таки меньше.
                                      • +3
                                        Думаю, за 2 дня российские спецслужбы обо всём с ним договорились

                                        Всегда было интересно, как люди себе это представляют?

                                        Допустим, ФСБ решило встроить закладку в Фэйсбук.
                                        Если они договорятся с Цукербергом, он же не будет встраивать закладку лично. Он поручит это менеджеру, тот — нижестоящему менеджеру, а уже тот — программисту. Это опасно — слишком много осведомлённых людей в цепочке. Любой из них может отказаться (по идеологическим причинам, или из желания стать новым Сноуденом, и т.д.) и/или слить информацию в СМИ. Будет большой скандал, последствия для FB печальны.
                                        Закладку, в конце концов, может найти тестировщик, и, ничего не подозревая, опубликовать её в корпоративном багтрекере. Значит, тестировщика тоже надо ввести в курс дела — чтобы этого не случилось. А это, опять же, лишние уши.

                                        Гораздо эффективнее договориваться о таких вещах не на уровне высшего руководства, а непосредственно с программистами (на худой конец, с менеджерами низшего звена).
                                        • +1
                                          Я себе это представляю так: программистам сообщается что разрабатывается, например, новый движок по оптимизации рекламы и этому движку для работы нужен доступ ко всем данным. Разрабатывается протокол передачи данных, он отправляется разработчикам для реальной разработки движка, копия — в ФСБ. Когда все готово администраторам говорят установить движок там-то и там-то. Другим администраторам говорится что надо соединить «вон те» сервера с «этими». Среди «тех» случайно оказывается сервер ФСБ который проводит работу по «оптимизации». В итоге реальную цель в FB может очень мало людей (вплоть до одного).
                                          • +1
                                            Я работал в одной компании, где внедрялся СОРМ в функионал сервиса электронной почты, предоставляемого компанией. В случаях, когда требовалось вмешательство программиста, использовались специально доверенные и лояльные компании программисты, которых было всего двое из довольно большого штата, а задачи при этом отдавались непосредственно техническим директором компании. Сам код лежал в отдельном репозитории на отдельном сервере, которым так же рулил технический директор лично, а внедрялся на уровне дистрибутивов устанавливаемой на сервера ОС отдельно от обычных релизов системы и никак с ними связан не был.
                                            • 0
                                              СОРМ — это официальная закладка. Как бы фича, а не баг.
                                              Кстати, остальных сотрудников не допускали или они сами не хотели пачкаться о СОРМ?
                                              • +2
                                                Остальных сотрудников не допускали, и вообще сам факт наличия СОРМ не то, чтобы прям отрицался и держался в секрете, но около того. Типа «суслик? какой-такой суслик?»
                                        • –8
                                          Даже если с территории США пользоваться VK, у АНБ есть две вещи: ваш трафик и SSL private key чтобы расшифровать его.
                                          Им даже не нужен доступ к БД VK.
                                          • +9
                                            А откуда, Вы говорите, у АНБ есть «SSL private key»? Если его нет даже у конторы, выдающей SSL сертификат? И вообще он с сервера никогда не уходит?
                                            • 0
                                              Да, там не было сказано, что они могут. Сказано, что они пытаются и умеют с ключом.
                                              • 0
                                                При чем тут «там»? Я отвечаю на конкретный коммент.
                                              • –3
                                                У многих CA есть «удобная панель генерации сертификатов». И приватные ключи там хранятся, а значит и в базе NSA уже.
                                                • +4
                                                  Еще раз. Приватные ключи сервер, на котором они используются, НЕ ПОКИДАЮТ. В CA передаются certificate signing request, а хранятся там сертификаты, которые вообще-то являются не приватной информацией.
                                                  • +15
                                                    Да никому не нужен ваш секретный ключ. У АНБ есть доступ к ключам CA, соответственно они могут подписать свой сертификат для любого домена и провертеть mitm.
                                                    • 0
                                                      Спасибо я знаю как делается mitm. Я отвечал на конкретный коммент. 1000 и один недостаток идеи пользоваться VK американцам, как и общий недостаток идеи «пользоваться VK» я не рассматриваю в контексте данной ветки комментов.
                                                      • +3
                                                        От подмены ключа существует довольно простая защита — проверка по отпечатку. Правда это не защита «по умолчанию».
                                                      • +1
                                                        «Удобная панель» StartSSL генерирует всё на сервере. Если полениться и воспользоваться ей, то у них будет и секретный ключ.
                                                        • 0
                                                          В реальном ленивом мире приватные ключи лежат на сайте CA. Можно и CSR посылать, конечно, но далеко не все таким озабочены.
                                                          • +2
                                                            Приведите, пример CA, пожалуйста, которому нужно заливать private key И заодно хоть одну мысль на предмет того зачем посылать private key в CA. Это же даже разные файлы.
                                                            • +12
                                                              Любой. В панели генерации сертификата вы можете либо залить CSR, либо сгенерить ПРИВАТНЫЙ ключ прямо в панели, а потом его скачать. Многие говорят, что после скачивания приватный ключ удаляется, но вот стоит ли им верить?
                                                              • +3
                                                                Да? Как все запущенно. cacert меня развратил.

                                                                Верить конечно же нельзя. В корпоративном мире, если кто-то может угнать Ваши данные, сделает это, так как данные стоят денег.
                                                                • 0
                                                                  CAcert тоже генерирует приватный ключ, CSR и сертификат (правда, для S/MIME) на себе и потом отдает одним pem'ом.
                                                                  • 0
                                                                    Не знаю за S/MIME. Я использую и изначально речь шла про SSL сертификаты.
                                                                    • 0
                                                                      То, что у них называется client certificate (и используется, например, для логина) по умолчанию генерится на сервере. А потом pem с приватным ключом и сертификатом отдается браузеру.
                                                                      • +1
                                                                        Отлично. То есть ужасно. То есть пофигу, к теме не относится, так как изначально тут habrahabr.ru/post/192722/?reply_to=6696012#comment_6693876 речь шла про serverside ssl сертификат. В любом случае, насколько я понял, все предоставляют возможность использовать csr. Так что те, кто ею не пользуются ССЗБ.
                                                                        • 0
                                                                          Только часть контор предлагают «для удобства» сгенерировать на их серверах и приватный ключ и CSR.
                                                        • +4
                                                          У нормальных контор, которыми пользуются большинство — типа godaddy, есть лишь поле для вставки CSR и они в принципе не могут получить ваш ключ.
                                                          • +3
                                                            Как раз GoDaddy, если мне не изменяет память, ловили на том, что он выписал левый серт на google.com. Нафиг им ваш закрытый ключ, если они могут сделать свой для нужного кому-то сервера? :)
                                                      • –5
                                                        Зато есть открытые ключи и текст до шифрования. Некоторое время работы вычислительного кластера и закрытый ключ у них в папочке. У них ЕСТЬ на это ресурсы! Очень часто менять закрытый ключ не рационально, но с другой стороны нет уверенности что его на данный момент не взломали.
                                                        И это самый наихудший вариант для спецслужб, ведь иногда применяются более простые методы — например криптоанализ при помощи паяльника…
                                                        • +3
                                                          vk.com использует 2048 битный ключик. Как Вы думаете сколько времени пройдет до появления закрытого ключа «у них в папочке»? Предположим вычислительный кластер у них из совокупной мощности всех компьютеров земли?
                                                          • +17
                                                            Пару недель на утрясание формальностей с крышей вконтакта и пару минут на пересылку ключа?
                                                            • +1
                                                              Или ещё проще — прижать в уютном уголке админа, и завтра он сам передаст ключ даже не поставив в известность своё руководство.
                                                              • –1
                                                                Пару недель на утрясание крыши контакта JDAM'ами, если она рот откроет :(
                                                          • +4
                                                            А разве для АНБ с их деньгами и ресурсами проблема внедрить агента в контору ВКонтакта?
                                                            • +24
                                                              Извините за плебейский юмор в столь серьезной теме, но вспомнился анекдот в тему:

                                                              Американцы много лет готовили резидента для работы в СССР. Его легенда была разработана блестяще. Наконец, его забросили с самолета на советскую территорию, и он вышел из лесу, одетый в ватник и кепку. Зайдя во двор избы, он попросил у бабки напиться.
                                                              — А ты, милок, не шпион ли будешь?
                                                              — С чего ты взяла, бабка?
                                                              — Да мы в наших краях негров отродясь не видали!
                                                              • +2
                                                                Прочитайте статью guardian:

                                                                This GCHQ team was, according to an internal document, «responsible for identifying, recruiting and running covert agents in the global telecommunications industry.»

                                                                меня это пугает даже больше
                                                                • 0
                                                                  ёпт. И что? У нас в каждом прове такой covert agent сидит. Товарищ СОРМ называется. Шифруйтесь на концах ключами от 4096 бит и будет Вам счастье.
                                                                  • +1
                                                                    Это не про железо, а о людях
                                                                    • –2
                                                                      А разница в данном случае какая?
                                                                      • +2
                                                                        Ну, например на многих хостингах админы или даже техники могут без проблем получить приватные ключи https-сайтов, которые хостятся у этого провайдера. Даже если это дедики — долго ли перегрузить линух с init=/bin/sh, скопировать ключик и перегрузится? А если клиент эту перезагрузку и заметит, всегда можно сказать про сбой питания или вообще списать на глюк ОС или железа самого дедика.
                                                                        • 0
                                                                          init=/bin/sh не поможет в случае какого-нибудь трукрипта, например
                                                                          • +5
                                                                            И у многих веб-сайтов на сервере винты зашифрованы? Я о таких даже не слышал.
                                                                            • 0
                                                                              А многим оно надо шифровать?
                                                                              • 0
                                                                                pirate-party.ru/ (я бы дал на pirate-party.ru/ но у меня там ключ подписан «своим» CA, так что ВАШ браузер скорее всего будет ругаться (если не установить pirate-party.ru/ca.crt) :)

                                                                                Ну и пучок других сайтов-соседей :)
                                                                            • +2
                                                                              Уже обсуждалось на хабре. LUKS на раздел с приватными ключами Вам в помощь. Хотя и на это есть ответ. Хотя и на ответ есть свой ответ. Но в итоге мы приходим к тому, что хоститься надо дома под кроватью, при этом доступ только через i2p.

                                                                              А если серьезно, то все зависит от уровня палевности информации и требуемой ее доступности.
                                                                        • 0
                                                                          от греха подальше, думаю, можно совместить (именно совместить, а не заменить, как предлагает АНБ) с ec-криптографией :)
                                                                          • +6
                                                                            И ОБЯЗАТЕЛЬНО застеганографить в котика. Что за секурити без котярити?
                                                                • +2
                                                                  ваш трафик и SSL private key

                                                                  SSL private key и зашифрованного трафика недостаточно, чтобы узнать открытый трафик (точнее, открытый текст). Дело в том, что приватный ключ в SSL используется не для шифрования, а для проверки подлинности сервера (и клиента, если используются клиентские сертификаты, как в WebMoney). А для установления зашифрованного соединения используется алгоритм Диффи — Хеллмана. Следовательно, для расшифровки перехваченной информации нужно атаковать именно его, а не алгоритм RSA.

                                                                  Получается, что при использовании SSL остаются опасности только в виде MITM, которую невозможно скрытно проводить глобально, и баги/закладки, число которых должно только уменьшаться ввиду открутости исходного кода и сообщества, проверяющего изменения кода.
                                                                  • +4
                                                                    Вы никогда не пробовали в Wireshark импортировать приватный ключ, который использовался одной из сторон SSL обмена? Я пробовал. HTTPS превращается в HTTP.

                                                                    Пруф
                                                                    • +1
                                                                      Каюсь, что сказал, не имея достаточно знаний. Я был настроен слишком оптимистично. Если кого-то ввёл в заблуждение, прошу прощения.

                                                                      Для меня новость, что в SSL шифрование может полностью держаться на приватном ключе сервера (то есть, что в SSL может не быть совершенной прямой секретности). Если я правильно понял, по умолчанию алгоритм Диффи — Хеллмана (для выбора сеансового ключа) не используется в HTTPS. Также не все варианты VPN обладают совершенной прямой секретностью. SSH обладает свойством совершенной прямой секретности.

                                                                      Печально, что не все эти протоколы обладают свойством совершенной прямой секретности. По-моему, было бы здорово, если бы был одобренный браузерами вариант HTTPS, в котором есть только обмен ключами, но нет приватного ключа сервера. С одной стороны, такой вариант уязвим к MITM-атакам, зато не нужно было бы платить за сертификат. Мне кажется, с точки зрения клиента, HTTPS с приватным ключом сервера, но без совершенной прямой секретности не лучше, чем наоборот. Думаю, что компрометация приватного ключа сервера в будущем более вероятна, чем MITM в настоящем или компрометация сеансового ключа.

                                                                      Радует, что гугл использует HTTPS с совершенной прямой секретностью. Ещё подобный вариант я нашел только на GitHub.
                                                                      • +2
                                                                        Читая ваш коммент, складывается ощущение что вы СЕО-шник, который продаёт совершенную прямую секретность :)

                                                                        Но с содержанием согласен на все 100%
                                                                      • +1
                                                                        Зависит от того, какое распределение ключей используется. Например ECDHE и DHE обеспечивают perfect forward secrecy.
                                                                      • +2
                                                                        Алгоритм Диффи — Хеллмана (DHE, ECDHE) в большинстве случаев не используется, см news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
                                                                        Кратко — По подсчетам netcraft от лета 2013 года — 97-99 % https-сайтов не используют Диффи-Хеллмана при соединении с IE или Safari; и 66% сайтов для Chrome, Opera и Firefox. IIS использует DH в 0.5% соединений; среди сайтов, участвующих в PRISM и нескольких популярных порталов, только google и cloudflare применяют ECDHE. Есть кстати экспресс-проверка www.ssllabs.com/ssltest/index.html которая сообщает режим работы (флаги «FS» и «no FS») для большинства комбинаций браузер/ОС.

                                                                        Закладки нужно искать не только в софте (серверном), но и в ускорителях и терминаторах SSL (кстати, интересно, насколько широко они нынче используются наиболее популярными сайтами, к примеру wikipedia работает через nginx в качестве ssl termination proxy).

                                                                        Если используется SSL без Perfect forward secrecy, то основной вопрос в приватном ключе. Если есть Perfect forward secrecy, то реализация с закладкой должна сохранять и/или пересылать третьей стороне сеансовые ключи (о чем напоминает ssllabs.com в своем блоге: «It's also sometimes called perfect forward secrecy, but, because it is possible to decrypt the communication by breaking the session keys, it's clearly not perfect.»).
                                                                    • 0
                                                                      Не боитесь спровоцировать войну ашкеназов с сефардами?
                                                                    • 0
                                                                      Опять нелогично: зачем ломать google, hotmail и fb если они на крючке и согласны работать?
                                                                      • +3
                                                                        Они и не ломают, а только пишут об этом. Чтобы те кто еще не на крючке не волновались.
                                                                        • 0
                                                                          Все логично: если поверх (hot|g)mail вы используете средства шифрования(даже опенсорс, не говоря о проприетарных), то вероятно, что в них уже есть закладки на случай, если вы захотите угнать самолет и врезаться на нем в небоскреб
                                                                          • +7
                                                                            Пример возможности таких бэкдоров:
                                                                            bugs.debian.org/cgi-bin/bugreport.cgi?bug=527640
                                                                            безобидное github.com/OpenSC/OpenSC/commit/5b5a7d3c58fc0ac85c3b33dcf4148eb57a6c0aff
                                                                            • +7
                                                                              Красивое внедрение в https://github.com/OpenSC/OpenSC/commit/5b5a7d3c58fc0ac85c3b33dcf4148eb57a6c0aff. Может и неумышленное.

                                                                              -  CK_BYTE publicExponent[] = { 3 };
                                                                              +  CK_BYTE publicExponent[] = { 65537 };
                                                                              


                                                                              Последняя строчка эквивалентна экспоненте 1. Со всеми вытекающими.

                                                                              И не посмотрев внимательно даже не сообразишь, что именно произошло. Хотя warning от компилятора должен быть.
                                                                              • –1
                                                                                Ничего себе. Как так вообще может быть? Не очень просто неумышненно сделать такое.
                                                                                CK_BYTE publicExponent[] = { 0x01, 0x00, 0x01 }; /* 65537 in bytes */
                                                                                Хотя с другой стороны, если целью было убить алгоритм втихаря, проще было бы оставить модуль 768, а базу сделать чем-то в роде 10573.
                                                                                • 0
                                                                                  CK_BYTE определён как unsigned char. Значит, подошло бы любое простое число, дающее при делении на 256 в остатке 1. Чтобы сложнее было найти закладку, изменили ещё один параметр. Часть проверяющих коммит увидит, что битность увеличена, и подсознательно будет считать изменения соответствующими заголовку коммита «Upgrade to safe and sane values of late 2008».
                                                                          • +4
                                                                            пффф, конечно, и не закладки\0дэй там какие-нибудь и прочее, а нормальный интерфейс с хорошим суппортом. Сотрудничество на официальном уровне с государством. норм бизнес группы(подразделения компании) есть, которые работают, так сказать предоставляют полный сервис за $ (разумеется в определенных рамках). все цивильно. после норд-оста у нас всю сотовую разблокировали и норм. а в 2010 фсб выродила нотификацию на обязательное сертифицирование криптоустройств. есть криптоустройство — стоишь в списке. если есть и не стоишь — сядешь.
                                                                            все официально все спокойно. закон против терроризма вообще апогей — официально без суда и следствия можно применять любые меры, достаточно лишь подозрений в терроризме. а какие-то уебаны орут, что чиновники с мигалками на дороге охерели — пи#$ц — ложь пиз#$еж и промо акция и быдло стадами пасется.
                                                                          • +27
                                                                            А я то думал, чего это звук в скайпе постоянно с задержками идет! А оно то оказалось!
                                                                            • +22
                                                                              Наоборот. Когда Вас прослушивают, качество связи изумительное.
                                                                              • +36
                                                                                Т.е. чтобы улучшить качество связи в скайпе достаточно сказать во время разговора «kill Obama»?
                                                                                • +35
                                                                                  Можно вскользь поинтересоваться стоимостью скороварок в Бостоне…
                                                                                  • +93
                                                                                    О, вроде хабр стал загружаться быстрее.
                                                                                    • +1
                                                                                      Путин, бомба, террористы, навальный.
                                                                                • +2
                                                                                  А разве Сноуден не пообещал больше не выкладывать компромат, пока заперт в России? Или это раннее переданные документы, только сейчас опубликованные?
                                                                                  • 0
                                                                                    Он, кажется, обещал не работать против наших партнеров (США). Это условия для его проживания в России и политического убежища.
                                                                                    • +33
                                                                                      Это он перед тем как в бега податься зарядил по крону публикацию свежатинки раз в месяц.
                                                                                      • +1
                                                                                        «Если со мной что-нибудь случится, твои грязные делишки выплывут наружу!» (с) 30% американских боевиков.
                                                                                      • +36
                                                                                        Мне кажется, что Сноуден это уже бренд, под которым сливают информацию, которую раньше нельзя было выдавать, чтобы не засветить источник.
                                                                                        • +4
                                                                                          Мне кажется, два года назад для этого же самого создали Викиликс… Сноуденом продублировали для надёжности;-)
                                                                                      • +4
                                                                                        Джон Нэш возвращается…
                                                                                        • +6
                                                                                          Интересно, информация о сотрудничестве АНБ с ИТ компаниями приведёт наконец к прикрытию Сколково и передачу денег отечественным учёным и промышленности? Или Путину как бывшему разведчику (интересно чьему и бывшему ли) интересней сливать российскую науку?
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                            • +14
                                                                                              1) Hide in the network. (TOR etc.)
                                                                                              2) Encrypt your communications. (TLS, IPSec, ...)
                                                                                              3) Assume that while your computer can be compromised, it would take work and risk on the part of the NSA – so it probably isn't.
                                                                                              4) Be suspicious of commercial encryption software, especially from large vendors.
                                                                                              5) Try to use public-domain encryption that has to be compatible with other implementations.
                                                                                              • +7
                                                                                                А еще он рассказал, что у него есть компьютер, который ни разу не выходил в Интернет. И это супербезопасно. Мне очень понравилось в конце

                                                                                                Trust the math. Encryption is your friend. Use it well, and do your best to ensure that nothing can compromise it. That's how you can remain secure even in the face of the NSA.
                                                                                                • +2
                                                                                                  Trust the math

                                                                                                  Достаточно почитать статьи на тему «плохих» эллиптических кривых, после них приходит понимание, что даже математике доверять нельзя. Потому что сегодня твоя кривая ещё «хорошая», а завтра уже «плохая». Более того, если эту уязвимость найдёт АНБ, то вы о ней и не узнаете, и будете наивно пользоваться своей «хорошей» кривой, ничего не подозревая. И что самое интересное, про RSA я не встречал описания подобных уязвимостей, и это подозрительно.
                                                                                                  • 0
                                                                                                    Выше в топике был пример плохой реализации RSA: habrahabr.ru/post/192722/#comment_6693842
                                                                                                    • +1
                                                                                                      Это техническая ошибка, а не математическая. Техническую ошибку позже можно устранить, а с математической уже ничего не сделать. Да и в вашем случае код скорее всего просто не будет работать правильно.
                                                                                                      • 0
                                                                                                        В комментарии на который я ссылаюсь есть ссылка, где описывается, как и в каких случаях эта конкретная уязвимость работала. Ключом с e=1 можно шифровать. Только после этого даже расшифровывать не нужно.

                                                                                                        В стандарте прописано, что экспонента > 1. И рекомендуется, чтобы экспонента содержала малое количество 1 в двоичном представлении (чтобы быстрее возводить в степень).
                                                                                                    • 0
                                                                                                      Более того, кто сказал что кривые от SECG хорошие для нас, а не для кого — то ещё за компанию?
                                                                                                  • +1
                                                                                                    Это способы, чтобы попасть в шорт-лист подозреваемых?
                                                                                                    • –1
                                                                                                      вот вот, об этом же подумал, когда читал его.
                                                                                                      • +3
                                                                                                        Если Вы ничего противозаконного не делаете — вреда от попадания в шорт-лист для Вас не будет. Если делаете — попадание в шорт-лист Вас будет волновать меньше, чем передача данных в открытую. Ну и главное — чем меньше обычные люди боятся попасть в шорт-лист и чем больше они используют эти технологии, тем меньше смысла будет вести этот шорт-лист, ибо он будет уже далеко не шорт.
                                                                                                        • 0
                                                                                                          А тут есть интересный момент, так как мы на пороге того, что списки будут делаться автоматически и не людьми, плюс санкции/решения по отношению к лицам в списках могут/будут тоже приниматься алгоритмами, то длина шорт листа не будет иметь значения.
                                                                                                      • +1
                                                                                                        Ещё он упоминает о своей программе для хранения паролей, при этом сорцы лежал на sourceforge, подписанные не Шнайером, а вообще непонятно кем.
                                                                                                        • +1
                                                                                                          Теперь выясняется, что и TOR не так уж безопасен. Статья, в которой исследователи рассказывают, что большинство крипто ключей в сети Tor могут быть взломаны NSA
                                                                                                      • +1
                                                                                                        Сноуден — красавчик! :)
                                                                                                        • +45
                                                                                                          Осень наступила. Новости о Сноудене все желтее и очевиднее. Кто-то когда-то сомневался, что одна из целей работы любой спец. службы является обход способов шифрование доступных подконтрольным элементам? Что-то реально изменилось после выкладывания этих документов?
                                                                                                          Разве раньше не говорили: используйте линукс, шифруйте трафик открытыми программами и не пользуйтесь социалками?
                                                                                                          Или пока жаренный петух в жоне будет псевдоофициальной информации мы никому не верим, что повсюду враги? Зато как нам покажут ОЧЕНЬ-ВАЖНУЮ-ТОПСИКРЕТ-БУМАГУ, у всех сразу +10 к паранойе?
                                                                                                          • +10
                                                                                                            «пока гром не грянет, мужик не перекрестится»
                                                                                                            известная русская поговорка
                                                                                                            • +28
                                                                                                              Одно дело знать, что в машине нужно пристегиваться, а другое дело увидеть, что бывает, когда это не делаешь.
                                                                                                              • 0
                                                                                                                Меня пристегиваться приучили уроки физики в школе. Как не плохо я ее знаю, но механику немного понял. Вот проверять на своем опыте или видеть на чужом что-то не хочется. Лучше теоретические знания!
                                                                                                                • +1
                                                                                                                  В том то и лажа что у большинства не хватает мозгов пристегиваться, потому что не хватает мозгов подумать о возможных последствиях.
                                                                                                                  Как и водители алкоголики, ответственности ноль, что за свою жизнь что за чужую. Получается, что те, кто не пристегивается так же полоумен как и пьяный водитель?

                                                                                                                  Судя по лайкам
                                                                                                                  +23 kozzztik, 6 сентября 2013 в 11:18 #

                                                                                                                  большинство считает что для того чтобы начать пристегиваться нужно насмотреться аварий и развороченных тел?
                                                                                                                  Ау, вы чего?

                                                                                                                  kozzztik — ну надо же думать прежде чем такое писать)) или ты действительно считаешь, что одно дело знать, а другое увидеть?
                                                                                                                  Разве это не одно и то же для разумного человека?
                                                                                                                  • +4
                                                                                                                    Для любого вменяемого человека, у которого есть нормальный инстинкт самосохранения — это не одно и тоже. Понимание динамики и механики, цифры, расчеты — это все прекрасно и замечательно понятно. Но вид разорванного на две части тела в луже крови на асфальте впечатляет несколько больше чем расчеты. Впрочем, не знаю — может кого-то от расчетов тошнит также, как от вида трупа?
                                                                                                                    • 0
                                                                                                                      Как раз для вменяемого человека, увидеть и знать это одно и тоже.
                                                                                                                      ПОтому как понимая — осознавая что либо, можно очень явно это представить и увидеть в воображении, и для этого разумному человеку не нужен экшн для глаз и мозга))

                                                                                                                      Инстинкт самосохранения очень легко притупляется в различных состояниях психики, если ты адекватный человек то не полезешь на крышу поезда ради прикола или что бы повторить подвиг друга, так как понимаешь что может за этим следовать, что там тыщщи вольт и станешь жареной курицей за секунду и т.п. А недалекому человеку в период эмоционального всплеска или наоборот депрессии такие мысли в голову не придут и он «спокойно» полезет.

                                                                                                                      Речь о том что не нужно совать палец в розетку что бы понять, что это опасно и нужно перед тем как это делать выключить электричество как минимум)))
                                                                                                                      • +5
                                                                                                                        Вы хотите сказать что вид трупа вас впечатляет также, как мысль о смерти сама по себе? Не слышал что бы кого-то стошнило от размышлений о смерти. А вот от вида трупа такое не редкость. Вы не можете вызвать инстинкт самосохранения своими измышлениями, это все равно что обмануть самого себя. Мозг все равно знает, что реальная опасность не угрожает.
                                                                                                                        Вы можете сколько угодно думать и представлять, делать логические размышления. Это разумно и правильно. Но все это останется только в сознании. Вид трупа же задействует инстинкты отработанные тысячелетиями и проникает в самую глубь человеческого естества. Нет ничего постыдного в том, что это работает лучше. Так и должно быть.
                                                                                                                • +5
                                                                                                                  Теперь, в эпоху Сноудена, это «говорили» приобрело статус практически официальной информации.
                                                                                                                  • 0
                                                                                                                    Так стандартная схема мышления, все, даже самые ужасные и неприятные события забываются через очень короткий промежуток времени.
                                                                                                                    А в направлении личной безопасности и вообще приватности к сожалению большинство вообще не хочет думать, и начинает шевилится когда дело уже аж по телевизору показали… И нескольких крупных медиа компаниях.

                                                                                                                    Тут та же фигня что с НЛО, мол «пока не увижу своими глазами не поверю», пока «АНБ» не напишет мне письмо на почту и не скажет что у них весь бекап моей интернет жизни у них лежит просто так для статистики, никто не поверит.

                                                                                                                    И смешно и грустно.
                                                                                                                    • 0
                                                                                                                      Браво! Полностью с вами согласен. Все с малых лет знают, что телефон могут прослушать, бумажную почту могут прочитать, за человеком могут проследить и т.д., но делают большие глаза и цокают языком, когда оказывается, что и Интернет — это (О боже!) не Страна Чудес и здесь всё обстоит примерно так же, как в реальной жизни. Слушали, читали и подглядывали во все времена.
                                                                                                                      Я не говорю, что мне это нравится, но так обстоят дела, такова жизнь, таковы люди (пожалуйста, не принимайте это на свой счёт). К тому же, в нормальной стране, доказательства добытые с нарушением уголовно-процессуального законодательства нельзя приобщить к делу.
                                                                                                                      Представьте, что Skype — это сотовый, представьте, что e-mail — это бумажное письмо т.д. И всё встанет на свои места. Хотите что-то скрыть — ведите себя осторожней, потому что иначе, обижаться можно будет только на себя.
                                                                                                                    • 0
                                                                                                                      «Пытается», «работает», «потрачено X млн. долларов», «считает возможность расшифровывать информацию одним из своих приоритетов» и т.д. Мне одному показалось, что никакой конкретики и тоже самое можно было написать 5 лет назад? Я о том, что чего-то достичь-то им удалось? Или Сколково-2?
                                                                                                                      • +5
                                                                                                                        Судя по тексту, им так и не удалось взломать SSL/TLS, хотя они и пытаются до сих пор. Так что основные усилия сосредоточены на краже ключей. Это очень хорошая новость — если приватный ключ не отдавать (т.е. формировать сертификат не из коробки, а подписью запроса от своего ключа), то если проверять отпечаток на клиенте — вы получаете полностью надежное соединение. Остается только вопрос компрометации самой операционной системы.
                                                                                                                        • 0
                                                                                                                          А что вообще такое «взломали» SSL/TLS? SSL — три версии, из которых 1-2 уязвимы (возможно только теоретически), TLS тоже вроде три. Над чем бьются доблестные АНБешники не очень понятно.
                                                                                                                          • –1
                                                                                                                            Кража приватных ключей SSL не поможет дешифровать пассивно перехваченные данные. Подробнее выше.
                                                                                                                            • +2
                                                                                                                              Выше написали неправду.
                                                                                                                              • 0
                                                                                                                                Действительно. Отписался выше. Жаль, что это неправда.
                                                                                                                                • 0
                                                                                                                                  Зависит от того, какие алгоритмы распределения ключей используются для получения сеансового ключа. См. выше.
                                                                                                                            • +2
                                                                                                                              У них бюджеты пилят точно также.
                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                              • +8
                                                                                                                                Ситуация исправимая. Учитесь, читайте. Материалы пока еще доступны в интернет.
                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                • +2