Согласно источникам Reuters, АНБ выплатило компании RSA Security $10 млн в обмен на гарантии использования по умолчанию в своих криптографических продуктах заведомо ненадежного алгоритма генерации псевдослучайных чисел.
Такая сумма может показаться ничтожной, но на самом деле, она составляла более трети доходов соответствующего подразделения компании на тот момент. В 2005 году продажи библиотек BSAFE принесли компании всего $27,5 млн из $310 млн дохода всей RSA Security. А в 2006 году компания была приобретена технологическим гигантом EMC за $2,1 млрд.
Уже 2007 году исследователи из Microsoft (Dan Shumow и Niels Ferguson) заметили, что генератор содержит в себе недостатки, которые могут быть применены как «идеальный черный ход » в любом алгоритме шифрования, использующем Dual_EC_DRBG.
Все подозрения оставались уделом узкого круга экспертов по криптографии, пока в сентябре 2013 года в прессу не просочились секретные документы от Сноудена и сам производитель рекомендовал прекратить использование продуктов, имеющих в своем составе генератор Dual_EC_DRBG.
Данный случай подтверждает информацию из документов Эдварда Сноудена, в которых упоминалась такого рода подрывная деятельность АНБ, направленная на ослабление широко используемых алгоритмов и стандартов шифрования.
С ума сойти! Такая культовая контора и то не смогла пройти мимо своих 30 сребреников. Получается, что авторитет разработчика и прохождение сертификации никак не гарантирует надежность предлагаемых криптографический средств. Тогда по каким критериям отбирать средства шифрования?
Как вариант, использовать не стандартные реализации протокола, а сторонние, желательно опенсорсные.
АНБ может внедрить «бэкдор» в конкретные реализации шифров (будь то кривой RNG или какие-то другие мелочи), но не в собственно стандартизированный алгоритм шифрования.
Ну-ну. Тут на днях нашли дыру в нестандартной Open Source-реализации алгоритма Диффи-Хеллмана.
Нашли. И исправили ;)
Вы же сами говорите, что большее число дыр в браузерах вроде Firefox и Chrome говорит о том, что дыры находят, а следовательно, исправляют. В этом случае такого рода новость — скорее хорошая.
А параноики могут, как вариант, разбить компьютер, а информацией обмениваться через почтовых голубей, используя, естественно, стандартные алгоритмы шифрования и калькулятор. Рандом для шифрования получать броском игральной кости (DnD-шникам проще, у них на костях больше граней).
А откуда такое неуважение к людям, которые всерьез обеспокоены сохранностью своих личных данных? Почему Вы приписываете им психическое расстройство и предлагаете издевательские методы коммуникаций?
Нет, я понимаю, если бы Вы работали в Google или Microsoft. Там есть отделы пропаганды, которые внушают быдлу, что защищать свои данные стыдно и вообще попахивает помешательством. Но этим конторам выгодно наплевательское отношение пользователей к своей приватности, так как на обработке личных данных бизнес и построен. Ну а Вы-то чего? ;)
Рискну предположить, что даже если бы Вы выложили Ваши личные данные в открытый доступ в интернет, то они мало кому были бы нужны и интересны. :)
Ходите по улице голым — чего скрывать-то? ;)
Есть разница между «обеспокоены сохранностью своих личных данных» и «параноики». Если первые ещё могут осознать, что даже у спецслужб есть свои границы, а их возможности зачастую сильно преувеличены журналистами, то вторые — уже нет.
Так сегодня Вы уверены, что журналисты что-то преувеличили, а завтра появится новый разоблачитель типа Сноудена, который сольет новую порцию данных и окажется, что журналисты не преувеличивали, а недооценивали. Где та грань?
И вообще, разве не логично руководствоваться правилом, что безопасности много не бывает? ;)
Умный учится на чужих ошибках, а дурак на своих. Видимо, Вы будете постоянно недооценивать риски, пока проблема не коснется именно Вас. ;)
Мне почему-то кажется, что в стремлении к безопасности пользователь обязательно будет жертвовать чем-то другим. Будь то скорость, удобство или что-то ещё. И тут, ИМХО, нужен баланс.
Я мог бы установить себе Tor, I2P, Freenet, купить пару-тройку VPNов, почтовый ящик на защищённом сервере и так далее. Но это мне обошлось бы в нехилую копеечку, процессор моего нетбука стал бы постоянно нагружаться, а скорость доступа в сеть упала бы ниже плинтуса.
Пользователь в любом случае будет чем-то жертвовать. Либо скоростью и удобством сразу, либо своей анальной невинностью чуть позже, когда жулье попытается использовать собранные персональные данные для извлечения профита.
Если Вы еще не заметили, успех одних всегда основан на том, что другие чем-то жертвуют, вольно или невольно. Есть простые схемы: например, в России миллиардерами становятся просто потому, что воруют, а остальные как бы согласны. Где-то действуют схемы похитрее. Например, Microsoft зарабатывает миллиарды, пользуясь монопольным положением, завышая цены и навязывая ненужные апгрейды и покупки. Есть схемы еще хитрее — например, печатание долларов. Но во всех случаях богатые и сильные нагибают бедных и слабых и никаких других способов перераспределения ценностей человечество не придумало. Обеспечение приватности снижает количество поводов для возможных злоупотреблений, ведь становится не очень понятно кого грабить и как именно. ;)
Не верю, что проплачивали.
Винду с бэкдорами покупают и не возмущаются.
Вот в 8-ке уже изначально стоят модули, облегчающие обзор паролей.
Откуда у вас такие аналогии?
Есть разница между «доступ к секретным данным имеют все» и «доступ к секретным данным имеет какая-то одна спецслужба».
Например, спецслужбам вряд ли будет интересен пароль к моему банковскому счёту, на котором больше 20 тысяч не бывает никогда. Или мои интересы относительно музыки/кино.
Ну ещё можно понять всяких политиков или стремящихся к участию в ней — у них действительно могут быть тайны, которые от публики стоит скрывать. Но обычному пользователю интернета так сильно беспокоиться не стоит.
Аналогия прямая. Лично я не выкладываю приватные данные отчасти по той же причине, по которой не хожу голым по улицам.
Откуда в Вас этот рабский менталитет? Перевожу что сказали: есть разница между «доступ к моему анусу имеют все» и «доступ к моему анусу имеет какая-то одна спецслужба». В чем разница, дорогой мистер Бизон, если в обоих случаях Вас имеют?
Надеетесь, что Вас пригласят в Google обрабатывать этой фразой быдло? ;) Сильно беспокоиться может и не стоит, но не стоит также выкладывать о себе ничего лишнего.
Разница в том, что если у посторонних людей бывают самые разные интересы — нажиться, поиздеваться над человеком или что ещё — то у спецслужб, прослушивающих трафик миллионов людей в разных странах, интерес один — найти террористов и прочих нежелательных элементов и предотвратить их теракты / нежелательные действия. Или, если вам так нравятся теории заговора, ещё может быть интерес в поиске компромата на политиков / журналистов / звёзд, угрожающих режиму.
И да, откуда у вас постоянные отсылки к анальному сексу? Во всём остальном ваш стиль комментирования даёт впечатление о вас как об интеллигентном и начитанном администраторе сайта. Если вам так нравятся эти органы, то привожу аналогию:
Если «доступ к моему анусу имеют все», то я могу легко оказаться изнасилованным или получить какую-нибудь передаваемую половым путём инфекцию.
А у спецслужб интерес к чужим задницам ограничивается поиском наркоты и контрабанды, и то только у кажущихся подозрительными граждан.
Евгений Ваганович, залогиньтесь.
Вы сами и ответили на свой вопрос. Я начитан. В частности, знаком с некоторыми трудами по психологи и психоанализу. Желание выставить свою личную жизнь напоказ и притянуть под это за уши смехотворное обоснование — про неравный бой с террористами — является косвенным свидетельством некоторых психических отклонений, связанных с половой сферой. Другие Ваши выступления про педиков и членство в GLEAM только усиливают мои подозрения на Ваш счет. Вот я и считаю, что для более точного донесения до Вас моей позиции целесообразно использовать принятое Вами субъективное семантическое пространство.
То есть, пиндосы прослушивают телефон Меркель потому, что подозревают ее в контрабанде наркоты? Дорогой друг, иногда, начитавшись Вашего творчества, я начинаю сомневаться — а не балуетесь ли Вы сами веществами?
Я, вообще-то, серьёзно. Какой интерес может у той же АНБ вызвать почтовая переписка среднестатистического пользователя интернета? Они максимум её прогоняют по каким-нибудь ключевым словам.
Ни у одной спецслужбы не найдётся десяток миллионов агентов лишь для того, чтобы читать вручную почту миллиардов людей по всему миру.
Ангела Меркель тут же скорее исключение из правила.
P.S.: Зачем я вообще залогинился? Надо было так и остаться под анонимом.
Какой Вы забавный лопушок, как в сказке живете. А президенты Бразилии и Аргентины — тоже исключение или они в жопе наркоту перевозят?
Почему бы и нет? Особенно, если нравится угадывать каптчи. :) Регистрация на сайте настоятельно рекомендуется, но не является обязательным условием для участия в дебатах.
Прошу, пожалуйста, не заниматься вынесением диагнозов по комментам и ограничиться обсуждением по теме без отсылок к старым оффтопикам.
Вы же первый поставили мне диагноз увлеченности анальной тематикой. Я всего лишь указал на Ваши ошибки и заблуждения при диагностировании.
Чукча и геолог собирают камушки на берегу Ледовитого океана. Вдруг видят, что к ним бежит белый медведь.
Чукча скорее одевает лыжи.
Геолог говорит ему:
– Ты от медведя и на лыжах не убежишь – догонит!
– А мне, однако, не надо бежать быстрее медведя, мне надо бежать быстрее тебя!
Это я к тому, что беспечные люди, которые, абсолютно не беспокоясь, вываливают в открытый доступ всё о себе, и о своих знакомых, подвергают себя и этих знакомых бо́льшему риску подставы и давления со стороны криминального криминала и криминала во власти.
Примеры, сходу, сообразите сами, если затруднитесь подумать в этом направлении((-:
Тут стоит упомянуть, что я не выступаю за полную беспечность в публикации личной информации. Я не делаю посты в контактах, не описываю каждую деталь жизни в твиттерах и не размещаю фотографии еды с точными GPS-координатами в инстаграме.
Проблема скорее с теми, кто считает, что нужно сразу обвешаться проксиками, VPNами и Tor'ами по уши.
Вообще-то это становится актуальным даже не для самых продвинутых слоёв населения((-:
Моя подруга уехала в Италию. А там только что запретили вконтактик (из-за песенок и фильмиков:-). Ой-ой!
Она человек далёкий от компьютерных премудростей, но в течение пары-тройки часов освоила прокси и анонимайзеры. И будет VPN покупать.
Что же Вы подруг по италиям разбазариваете? :) Симпатичная? :)
Симпатичная и обаятельная :))
Решила, что пора остепеняться (т.к., ребёнок, и всякое такое...).
И быстренько мобилизовала какого-то богатенького итальянского старичка(-:
Странно. Обычно от союза со старичками ждут улучшения материального положения, но никак не детей. Она уверена, что старый итальянский кекс еще способен произвести выстрел? :)
Ребёнок уже есть готовый:))
Из-за ребёнка и остепеняется.
Тогда зачем она нужна макароннику с ребенком-то?
Видимо у себя такую качественную не нашёл ((-:
___________________
Как у Высоцкого:
Как-то раз один Колдун —
Врун, болтун и хохотун —
Предложил ей как знаток
бабских струн:
Мол, Русалка, всё пойму
И с дитём тебя возьму...
И пошла она к ёму,
как в тюрьму.
Что значит «обвешаться проксиками» и какое отношение это обвешивание имеет к обеспечению приватности? Очередная попытка заболтать серьезную тему? ;)