27 август 2020
Либертариум Либертариум

Комментарии (0)

  • Легальность криптоухода от СОРМ

    Георгий:

    У Вас был интересный комментарий,

    Вы пишете:

    > Конечно, легко уповать на то, что поставив на свой модем какой-нибудь
    > криптор, вы всех обманете и сразу станете всем ненужными из-за большой
    > стоимости взлома кода. Для таких умников давным-давно выпущен указ...

    Немножко мимо кассы. Указ # 334 - отдельный геморрой, но вообще-то, и власти его давно дезавуировали, выпустив ряд ограничивающих положений (см. подробнее комментарии Лебедева [2,3]), и рынок отнесся соответственно, и регуляторы-конкуренты ФАПСИ одернули (см. [1]).

    Я просто полагал эти факты общеизвестными, но, оказывается, фапсисты успели здорово задурить голову публике. При случае попрошу Лебедева еще раз все разжевать и дать еще более развернутый комментарий со ссылками на все бумажки и с разбором прецедента попытки ФАПСИ "наехать" на гражданский сектор.

    Вы пишете:

    > ... Так что использование PGP на мой взгляд, будет равносильно сопротивлению
    > законным представителям милиции со всеми вытекающими последствиями ...

    Ну уж... Такой и статьи-то, кажется, уже нету; есть статьи УК 317 и 318, но они связаны с физическим насилием...

    Я имел несколько случаев обсудить крипто с юристами-криминалистами и с сотрудниками прокуратуры, и, вроде бы, единственное, что можно (и то при гипертрофированном юридическом воображении) пришить, это "отказ от дачи показаний" (ст. 308), но, вроде бы, это блокируется известной конституционной оговоркой о запрете на принуждении к даче показаний против себя.

    Впрочем, если менты сильно достали - используйте стего (введение и ссылки на продукты см. в [4]) и не берите в голову.

    Вы пишете:

    > ... и механизм борьбы со слежкой должен быть чисто правовой.

    _Правовой механизм_ реализуется так: конкретное право берется из Конституции, реализующий его протокол - в предмете криптологии, продукт - на рынке (или в домене академического бесплатного софта, если уж на то пошло). Точно так же, как Вы покупаете замок и врезаете в дверь для реализации этого права в физическом пространстве, а не заставляете кого-то караулить свою собстственность в пустой открытой квартире.

    Теоретически есть альтернатива: посадить на АТС представителей нескольких спецслужб, чтобы они друг за другом следили, а для защиты от более мелких жуликов гонять вдоль каждой телефонной линии усиленные наряды милиции, чтоб никто "крокодилами" не подцепился к драной телефонной лапше. Но такая альтернатива остается теоретической, поскольку это жутко дорого. Крипто дешевле и надежнее. Право должно быть экономным, как брежневская экономика, иначе работать не будет.

    И если завтра менты или гэбисты повиснут у Вас на проводе - посредством СОРМ или просто подключившись к коробке - 90% ответственности за это - на Вас. А то, что они подонки, так это давно известно, не обсуждать же этот вопрос серьезно.

    Спасибо,

    Максим <[email protected]>

    ПОЛЕЗНЫЕ ССЫЛКИ

    [1] В.А.Вирковский, С.В.Вихорев "Нормативно-правовое обеспечение проблем лицензирования и сертификации в области защиты информации" (http://www.infotecs.ru/gtc/pravo-3.htm)

    [2] Анатолий Лебедев "Коды и шифры" // "Компьютерра" # 235 (http://www.cterra.com/235/tema_nomera/chapter3.html)

    [3] Анатолий Лебедев "Нужны ли "шифровальные средства"" // "Банковские технологии" # 1, 1997 (http://www.bizcom.ru/win/bt/1997/nr1/18.htm)

    [4] МБ "Стеганография" (http://www.tamos.com/privacy/ru/stegano.htm)

  • Легальность криптоухода от СОРМ

    pavel v protasov, 03.06.1999
    в ответ на: комментарий (Максим Отставнов, 12.07.1998)
    Народы, хватит загоняться. Пункт 4 указа намба 334 отменен законом "О лицензировании отдельных видов деятельности", ибо в нем установлено, что лицензирование может вводиться только изменениями в сам этот закон. А все акты, выпущенные до закона "О лицензировании..." применяются в части, ему не противоречащей. Аминь.
  • Шифрование и СОРМ - частное мнение

    Вообще-то можно от них отвязаться. Но ведь если попал в "разработку", то шифроваться нет особого смысла... Жуков из офиса будешь пачками выгребать и никакие "шумелки" покоя не добавят... Надо в корне решать проблему с этим скотством в ФСБ... Как насиловать провайдеров и портить жизнь интеллектуальному потенциалу страны - так они первые, а как всякую шваль уголовную и чернозадых террористов дрючить - это им сукам закон гуманный сделать не позволяет... Нехрен от них шифроваться... Вышли в Сеть - получите все радости жизни включая взлом и вирусы... А то они на халяву мне нервы портить будут, а я за Инет и повремёнку из своей дохлой зарплаты платить? Хуеньки! Ешё нажрутся со своим СОРМом... Пардон за эмоции... P.S.: А информацию хорошо в порно-картинки пихать... Со всех сторон удобно! 8-)
  • Шифрование и СОРМ - частное мнение

    Левенчук Анатолий, 19.07.1999
    в ответ на: комментарий (анонимный, 18.07.1999)
    >Пардон за эмоции
    Эмоции появляются, когда нет рациональных аргументов. Увы, упрек в наездах на интеллектуалов отбивается очень легко:
    1) "шваль уголовная" и "чернозадые террористы" от интеллектуалов для ФСБ не отличаются, и "закон гуманный" тут ни при чем. Нельзя же предполагать, что ФСБ перед каждым расследованием заранее знает, кто именно расследуемый - интеллектуал, уголовник или террорист (кстати, белозадых террористов, IMHO, не меньше). Поэтому призыв интеллектуалов обрабатывать по "закону гуманному", а всех остальных без этого закона эмоционален, но не выполним, и - безусловно - вреден. Когда автора цитируемой реплики объявят уголовником или террористом, чтобы охладить его эмоциональный пыл, то он это быстро поймет, и быстро начнет вспоминать про "закон гуманный".
    2) Пока у интеллектуала эмоции будут превалировать над трезвым рассудком, зарплата его будет именно такой, как указано - дохлой.
    3) По существу вопроса - в реплике содержательных аргументов против применения криптографии нет. Есть только эмоции :(
    4) Есть гипотеза, что в ФСБ не все дураки. Поэтому эмоции они фильтруют - вероятность воздействия на сотрудников ФСБ страсным и горячим негодованием равна нулю. С другой стороны, многие сотрудники ФСБ смогут узнать от нас про СОРМ что-то новое, чего не сказали им их начальники (или подчиненные). Есть ли что содержательное сказать про СОРМ? Предложить какую-либо новую идею, или подготовить какой-нибудь документ, или дать содержательные (без воплей и соплей) комментарии к опубликованным документам...
  • Шифрование и СОРМ - частное мнение

    аноним, 28.07.1999
    в ответ на: комментарий (Левенчук Анатолий, 19.07.1999)
    Крупную сеть я представляю себе как океанский лайнер. И вот представте себе, что к капитану приходят умники из какой то спецслужбы и предлагают установить подслушку и видеозапись во всех без исключения каютах. Я думаю, что в большинстве стран это было бы воспринято как беспардонная наглость зарвавшихся чиновников. Капитан остается капитаном и оказывает ту поддержку , которая необходима не ставя под угрозу спокойствие и комфорт непричастных к делу пассажиров.
    Но вот в Internet они хотят попробовать по полной программе переламывая обслуживающий сеть персонал. Я с большим интересом буду следить за их успехами. По моему они просто доставят массу неудобств непричастным к терроризму людям и все. В этом и будет состоять весь полезный для них эфект.
  • Шифрование и СОРМ - частное мнение

    аноним, 28.07.1999
    в ответ на: комментарий (анонимный, 28.07.1999)
    Думаю, что эта извечная борьба будет продолжаться до тех пор, пока оба "борца" станут КУЛЬТУРНЕЕ.
    Как этого добиться - вопрос из области другой. А сегодня нужно относиться к попыткам ФСБ и проч право"охранителей" либо как к грабителю, либо как к соседу, заглядывающему в Ваше окно или кастрюлю.
    С уважением,
    Владимир Сидоренко,
    [email protected]
  • Использование виртуальных сетей Майкрософт для ухода от СОРМ

    Виктор!
    Во-первых, прекрати спаммить -- не размножай свой текст в репликах, я все равно буду это вычищать. Каждый у нас высказывается по разу.
    Во-вторых, я завел авторскую страничку Ангелова - неплохо бы регистрироваться перед постингом (пароль тот же - angelov). После этого можно поменять пароль - войти в свой ник на своей авторской страничке, там будет необходимая форма.
  • Шифрование и СОРМ - частное мнение

    Hi everyone!

    If FSB(KGB) makes you seek to death, you can purchase Cisco 1720 Routers to establish a very, very secure connection: PC_1(or LAN_1) - Cisco1720_1 - VPN - Internet - VPN - Cisco1720_2 - PC_2(or LAN_2). 1720 Router has an outstanding security options and you should clarify the export restrictions regarding Russia by mailing to: [email protected].

    To understand the answer from Cisco, it will not so dusty to have an ideas about key terms as they are appeared while configuring the Internet Key Exchange (IKE) and IP Security protocol (IPSec) security on your Virtual Private Network (VPN) connection.

    IKE is used to establish a shared security policy and authenticated keys for services (such as IPSec) that require keys. Before any IPSec traffic can be passed,
    each router/firewall/host must be able to verify the identity of its peer. This can be done by manually entering pre-shared keys into both hosts, by a CA (see below)
    service, or the forthcoming secure DNS (DNSSec). This is the protocol formerly known as ISAKMP/Oakley, and is defined in The Internet Key Exchange (IKE). (CA - Certification Authority, a third-party entity that is responsible for
    issuing and revoking certificates. Each device that has its own certificate and public key of the CA can authenticate every other device within a given CA's domain. This term is also applied to server software that provides these ervices).

    Shared Key

    The public encryption key shared between the devices. This is an arbitrary string of alphanumeric characters.

    Encryption Algorithm

    There are two options for encryption algorithm: 56-bit DES (Data Encryption Standard) and Triple DES (168 bits). Triple DES is more secure than 56-bit DES, but will cause a greater effect on performance.

    Authentication Algorithm

    There are two options for authentication algorithm: MD5 (Message Digest 5) and SHA (Secure Hash Algorithm) hashes. MD5 is smaller and slightly faster, but SHA is more secure (Hash - a one way function that takes an input message of arbitrary length and produces a fixed length digest).

    Key Size

    Choose 768-bit or 1024-bit keys. Longer keys are more secure but affect performance.

    SA (Security Association) Lifetime

    Determine the length of time before the security association expires. SAs that expire quickly are more secure, but a longer expiration period saves time during IPSec setup negotiation. The default value is 24 hours.

    IPSec Transform (AH&ESP) Settings

    Encryption Algorithm

    There are three options for encryption algorithm: 56-bit DES, Triple DES (168 bits), and RFC 1829. 56-bit DES is smaller, and thus faster, but less secure.

    Authentication Algorithm

    There are two options for authentication algorithm: MD5 and SHA. MD5 is smaller and slightly faster, but SHA is more secure (Authentication - one of the functions of the IPSec framework. Authentication establishes the integrity of datastream and ensures that it is not tampered with
    in transit. It also provides confirmation about datastream origin).

    SA Lifetime (hours and minutes)

    Determine the length of time before the security association (SA) expires. SAs that expire quickly are more secure, but a longer expiration period saves time during IPSec setup negotiation. Note that IPSec will renegotiate the SA when either of the SA lifetime values expires.

    SA Lifetime (data sizes)

    Sets the amount of data flow to occur before the current security association (SA) expires. SAs that expire more quickly are more secure, but a longer expiration period saves time during IPSec setup negotiation. Note that IPSec will renegotiate the SA when either of the SA lifetime values expires.

    And do not care much about difficulties - you will receive an excellent tools from Cisco Systems together with hardware that allows you to configure both routers without any problems"

    Regards,

    Victor Angelov.

  • Использование виртуальных приватных сетей

    А зачем Вы пугаете людей PPTP и IPSec-ом? Imho, технически обеспечение конфиденциальности электронной почты проблемы не представляет. И безусловно, для этого не стоит использовать VPN, и тем более приобретать Cisco.
  • Использование виртуальных сетей Майкрософт для ухода от СОРМ

    аноним, 20.08.1999
    в ответ на: комментарий (Левенчук Анатолий, 15.08.1999)
    Hi Anatoli !!!

    Sorry I caused you so much trouble!

    You see, it was heavy to retrain from "spamming" while observing the nonspeeched articles (0 replicas!) which have been published some month (and even years) ago.

    It looks as if all agree that it is quite adequate for SORMing just to collect the traffic filtered across separator:

    <protocol ID> <IP address> <port number>

    where <protocol ID> = 6(TCP)/17(UDP)
    <IP address> = Service Provider's IP addresses
    < port number>=20/21/25/69/80/110/115/119

    And the only way to defend is encryption of Email messages - it is for ordinary people. As to riches - I saw the advice on your pages to employ Programmers for developing software based on IPsec specifications, but - it is for riches, very riches....

    It seems to me, that there is no point to attract the FSB's attention by sending out of encrypted or funny corrupted letters - do not trouble trouble until trouble troubles you. After all, when OGPU-MGB could not read an intricate letter the only path for this letter was to rubbish bin...

    The better way is, for example, just to write to each other the normal Email letters about sport, weather, drinking, girls and computer games. Of course, you can arrange the battle via Internet with your friend. A lot of computer games (Unreal, Quake Team Fortress, Quake 3: Arena, Half Life: Team Fortress Classic, ....) allow to have a dialog with your companion via Internet not worse than the famous ICQ. The more pleasant fact is that any game can use the ports numbered from 1023 and up to 64K as well as the game developers are not restricted by Request For Comments...

    What else.... In general, it is not a great problem to detect a device fitted by FSB in backbone or trunk links, especially if a Service Provider did not want to "have" this one. The next step is to shoose a set of "stupid" methods for Process-to-Process communications. The great thing is only to keep a still tongue in your own head...

    Regards,
    Victor Angelov

  • Использование виртуальных приватных сетей

    Виктор Ангелов, 21.08.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 19.08.1999)
    ДОМОХОЗЯЙКИ - ТОЖЕ ЛЮДИ...
    ==========================

    В информационных технологиях для "разбора полетов" давно используется так называемая DoD reference model. Deparment of Defense справочная модель рассматривает любую компьютерную систему как набор 4-х аппаратно-программных слоев:

    4. Process/Application
    3. Host-to-Host
    2. Internet
    1. Network Access

    Когда пользователь РС1 отправляет Email своему другу РС2 используя средства Провайдеров(Internet Service Providers, ISPs), то послание "проходит" все 4-ре уровня в узлах РС1, ISP, РС2. Проход сообщениями всех 4-х уровней у ISP означает, что у Провайдера на какое-то время хранятся логически цельные и как-бы "осмысленные" данные в виде Email сообщений/писем, FTP-файлов, Web-страниц, ICQ-файлов и прочего добра, создаваемого и передаваемого программами 4-го уровня (Process/Application)- т.н. TCP/IP Приложениями (те же почта, FTP, Telnet, Xwindows,...). Размещение у ISP именно логически законченных, полных структур является привлекательным для спецслужб - нет мороки собирать сообщение из пакетов. Цельное сообщение, "взятое" у ISP с 4-го уровня, наверняка содержит избыточность, столь необходимую для дешифрации как криптованных "по правилам", так и "неправильных", намеренно порченых сообщений.

    Point-to-Point Tunneling Protocol (PPTP) позволяет избежать необходимость прохода сообщений через 4-й слой DoD модели на площадках ISP, "опуская" ISP до так называемых канальных (Data Link) компонент уровня 1 -"Network Access". PPTP как бы строит тоннель через весь Интернет между РС1 и РС2, тоннелируя (tunneling, or encapsulation) "нормальные" данные в криптованные пакеты, что не только делает ненужным сборку и хранение сообщений у ISP, но и весьма затрудняет это - чтобы собрать, скажем, FTP-файл, мало знать IP-адреса Получателя, нужно еще отсортировать пакеты по 21-му порту и выстроить их в правильной последовательности, а вот как раз вся нужная для этого ценная информация и шифруется PPTP, который и создавает Virtual Private Network, VPN, для РС1 и РС2. В этом случае спецслужба вынуждена сбрасывать на свой компьютер ВЕСЬ IP траффик, а уж потом- пытаться классифицировать перехваченные пакеты по портам и соответствующим Приложениям, собирать их в файлы, транзакции и прочие структуры, пригодные для дешифрации. Понятно, что для всего этого нужен серьезный компьютер...

    Конечно, два грамотных спеца всегда найдут способ передать друг другу информацию через Интернет, информацию, понятную ТОЛЬКО ИМ ДВОИМ, и передадут ее, спору нет, вполне конфиденциально. Да, конечно, техническое обеспечение конфиденциальности ПОЧТЫ ДЛЯ ДВОИХ проблемы не представляет. Проблемы возникают, когда тысячи и миллионы людей тоже хотят иметь конфиденциальную почту, и очень далеко не все они имеют тот минимум знаний и умений, который необходим для проделывания "ТРЮКОВ ДЛЯ ДВОИХ".

    А сие означает, что для этих миллионов людей нужны программные средства уровня 4 DoD - простые, единые и унифицированные (что само по себе исключает ту оригинальность, которую могут позволить себе ДВА грамотных спеца).

    Безусловно, для технического обеспечения конфиденциальности почты ребятишек и домохозяек всех стран стоит использовать VPN, и дешевле всего делать это - строя VPN на базе средств предлагаемых Cisco Systems. Тем более, что через Интернет "идет" далеко не только электронная почта, и многие (миллионы !!!) хотели бы секретно общаться через Интернет со всякого рода Серверами Приложений (бизнес-, научных-, учебных-, порнушных, в конце концов). Понятно, что всякого рода трюкачество со стороны РС1 в цепочке РС1 - Интернет -Сервер будет просто не воспринято Сервером, а модернизировать сложнейшие программы по десять раз на дню для обеспечения конфиденциальности просто невозможно. Решение: пока,ну на ближайшие 5-10 лет - только VPN...

    А почему именно VPN solutions от Cisco Systems - да она обещает "опустить" ВСЕ заботы Сервис Провайдера аж до Network Access уровня (Network Access = Physical sublayer + Data Link sublayer). Однако ISP не останется в накладе - используя DSL, Digital Subscriber Line устройства (для Клиентов - PCI-bus cards for PC (internal modem), модемы для Routers и прочее, все нужное уже продается), Провайдер только увеличит свою клиентуру, имея возможность "гнать" Клиенту , вплоть до видео-аудио, по двум скрученным проводам со скоростью до 8 Мегабит и на дальность до 2 км ( или 2 Мегабит в сек. до 5 км). А в случае явки из компетентных органов теперь уже Network Service Provider облегченно скажет - sorry, вся компетенция "уехала" от нас к Клиентам, разбирайтесь с ними сами...

    Что еще... Когда криптованное Email сообщение проходит все 4-ре уровня цепочки РС1 -ISP -PC2, то, чтобы PC2-User раскодировал посланное Пользователем РС1, получатель, РС2, должен знать ключ. Конечно, два спеца могут послать друг другу что-то вроде VC3020, что для них будет означать - ключ есть содержимое 20 байт модуля VC.EXE начиная со смещения 30. Однако все равно здесь будет использоваться "обратимая" (two-way) криптография, и если сообщение скопировали с дисков ISP логически цельным (таким, каким его "видят" отправитель и получатель), то есть большой шанс разрешить эту обратную задачу. Это - к вопросу о целесообразности приобретения реализаций IPsec технологий Фирмы Cisco Systems.

    Виктор Ангелов.
    ========================================================

  • Использование виртуальных приватных сетей

    Maxim E. Smirnoff, 21.08.1999
    в ответ на: комментарий (Виктор Ангелов, 21.08.1999)
    Уважаемый г-н Ангелов. Давайте разберемся по порядку
    Вы пишете
    Когда пользователь РС1 отправляет Email своему другу РС2 используя средства Провайдеров(Internet Service Providers, ISPs), то послание "проходит" все 4-ре уровня в узлах РС1, ISP, РС2.
    Вы преувеличиваете. Уровень приложения существует у провайдера далеко не всегда. Он всегда отсутствует если корреспонденты общаются с использованием нестандартизированного протокола. Так же его нет в том случае если вы не используете почтовые службы своего провайдера и т.д.
    Когда я посылаю свое сообщение на некий хост, ну например на smv14.iname.net никакой (нормальный) провайдер не поднимает его до 4-го уровня.
    Цельное сообщение, "взятое" у ISP с 4-го уровня, наверняка содержит избыточность, столь необходимую для дешифрации как криптованных "по правилам", так и "неправильных", намеренно порченых сообщений.
    Этого я вообще не понял. Избыточность чего по вашему мнению способствует дешифрованию?
    Point-to-Point Tunneling Protocol (PPTP) позволяет .... В этом случае спецслужба вынуждена сбрасывать на свой компьютер ВЕСЬ IP траффик, а уж потом- пытаться классифицировать перехваченные пакеты по портам и соответствующим Приложениям, собирать их в файлы, транзакции и прочие структуры, пригодные для дешифрации.
    А вы что, действительно, знаете спецслужбу которая умеет дешифровывать, ну например RC4 с длиной ключа 128 бит? Что это за служба такая? Покажите пальцем пожалуйста. Имхо, может какие-то марсиане и умеют, а спецслужбы, извините, молоды пока для решения таких задач.
    Далее Вы рассказываете некое свое мнение о том как должно быть в Internet в ближайшие 5-10 лет. Imho, рассказывать как должно быть занятие явно не благодарное, потому что вряд ли сеть будет слушать Ваши или еще чьи-либо советы. Для обеспечения конфиденциальности электронной почты успешно используются технологии типа PGP и S/MIME. Защита TCP соединений, не менее успешно осуществляется SSL протоколом. VPN так же имеет свой сектор. Правда возможности этой технологии, по-моему, ограничены. VPN, установленный на маршрутизаторе, полезен при соединении двух-трех сетей, причем топология такого соединения должна быть достаточно простой, иначе Вы не сможете реализовать нормальную маршрутизацию. Установка программ VPN на рабочую станцию используется крайне редко. Года 2-3 назад мусировалась идея о доступе удаленного клиента к сети своей корпорации с использованием VPN. Но, вероятно потому, что удаленного клиента больше интересует Internet чем сеть его корпорации, она не получила широкого распространения. То что многочисленные разработчики модемов и сетевых плат сумеют договориться о едином протоколе создания VPN - кажется просто невозможным, то что все пользователи Internet вдруг начнут его применять - тем более.
    И еще пару слов про распределение ключей. Существует как минимум два удачных пример решения этой задачи - служба заверения сертификатов открытых ключей в формате X.509 и каталог открытых ключей PGP, доступный через LDAP протокол. Например, когда мне нужен открытый ключ какого-либо Web-сервера я просто запрашиваю его у этого сервера в виде заверенного, какой-либо известной службой, сертификата. Если мне нужен ключ моего почтового корреспондента, я захожу, ну например на http://www.verisign.com и там нахожу его в течении нескольких секунд.
    А Вы предлагаете мне расстаться с $10000 чтоб приобрести Cisco router :-(
  • Использование виртуальных приватных сетей

    Maxim E. Smirnoff, 21.08.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 21.08.1999)
    P.S. Уважаемые господа!
    Возможно я что-то не понимаю, но по-моему, в настоящее время, не существует сколь-либо сереьезных технических проблем для шифрования информации. Сегодня, это не сложнее чем использовать электронную почту или броузер.
    Все проблемы то, как всегда, чисто юридические.
  • Использование виртуальных приватных сетей

    Виктор Ангелов, 22.08.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 21.08.1999)
    ==========================================================

    Здравствуйте, Максим!

    Что сказать - ну влип я с предыдущим моим ответом, трудно ведь писать ответ на реплику, где меня обвиняют в запугивании народа (читай - враг народа) и используют словечки типа БЕЗУСЛОВНО, когда в нашем деле все очень даже условно:

    1. "КОГДА ... РС1 отправляет Email ... ИСПОЛЬЗУЯ СРЕДСТВА ПРОВАЙДЕРОВ....". Я же вроде ясно конкретизирую событие, а Провайдеры, как правило, предлагают стандартизированные средства для своей МНОГОЧИСЛЕННОЙ клиентуры. Так что, батенька, у меня то преувеличения - НЕМА. И когда посылается сообщение (а речь идет у меня опять же о конкретном типе сообщения - Email) в некий хост smv14.iname.net (и стало быть - по адресу [email protected]), то некий хост - это уже не некий, а конкретно - почтовый сервер smv14 вполне зарегистрированного на Интернете и нормального 4-х уровнего Провайдера...

    2. Избыточность - а в дешифрации вроде бы речь может идти только об одной "чего избыточности", а именно - избыточности текста, например, если только двоим известно что означает отправленное-полученное одно единственное слово "огурец", то его и не надо шифровать, шпарь врукопашную...

    3. А насчет PPTP, RC4 и молодости спецслужб - так ведь у меня совсем про другое, а именно про то, что спецслужбам придется перекачивать из PPTP-трубы ВЕСЬ IP траффик,криптованный крепко и не, а это немного хлопотнее чем выявлять по Email-ящикам пользователей RC4 и посылать к ним участкового лейтенанта для выяснения личности. А насчет молодцов из спецслужб - то очень интересно про них написано в "Cyberspace: Pandora's Mailbox, RC4 a secret no longer" (www.lbbs.org/zmag/articles/chen.htm).

    4. А вот приписывать мне то, что я не говорил - это просто нехорошо. Ну нет у меня такого - "как должно быть в Internet в ближайшие 5-10 лет". А что у меня есть- это просто что можно делать ЧЕРЕЗ ИНТЕРНЕТ как через shared media. Так что - не трогаю я Интернет, вот уж действительно -хватай мешки, вокзал уходит....

    То, что сеть не будет слушать моих советов - это меня не огорчает, во-первых, их у меня нет и не было (я тут как спецслужбы - тоже молодой...), во-вторых, она, сеть, вообще давно, с ARPы, ничьих советов не слушает. А вот послушать что думают спецы Cisco Systems о технологиях VPN прежде чем делиться (хорошо - если только со мной...) своим мнением об ограничености VPN - это, безусловно (я - хороший ученик?), и вправду стоит сделать:

    Reference Guide

    A Primer for Implementing a Cisco Virtual Private
    Network (VPN)

    Executive Summary

    The proliferation of the networked economy has spawned fundamental changes in how corporations conduct business.
    Corporate staff is no longer defined by where they do their jobs as much as how well they perform their job functions.
    Competitive pressures in many industries have spawned alliances and partnerships among enterprises, requiring separate
    corporations to act and function as one when facing customers. While such developments have increased productivity and
    profitability for many corporations, they have also created new demands on the corporate network. A network focused
    solely on connecting fixed corporate sites is no longer feasible for many companies. Remote users, such as telecommuters or
    road warriors, and external business partners now require access to enterprise computing resources. The classic wide-area
    network must be extended to accommodate these users. Consequently, many enterprises are considering virtual private
    networks (VPNs) to complement their existing classic WAN infrastructures.

    According to the Gartner Group, a networking research and consulting firm, by 2003 nearly 100 percent of enterprises will
    supplement their WAN infrastructures with VPNs. From a network architecture perspective, the motivation for this is
    manifest---a VPN can better meet today's diverse connectivity needs. The advantages of a VPN, however, are also visible at
    the bottom line. VPNs are less expensive to operate than private networks from a management, bandwidth, and capital
    perspective. Consequently, the payback period for VPN equipment is generally measured in months instead of years. Perhaps
    the most important benefit of all, however, is that VPNs enable enterprises to focus on their core business objectives instead
    of running the corporate network.

    Cisco VPN solutions encompass all segments of the networking infrastructure---platforms, security, network services,
    network appliances, and management---thus providing the broadest set of VPN service offerings across many different
    network architectures. Cisco's support of existing WAN infrastructures is essential in accommodating hybrid network
    architectures, where users will require access to the VPN from leased line, frame relay, as well as IP and Internet VPN
    connections. Leveraging existing network gear in these deployment scenarios is paramount. A VPN must extend the classic
    WAN and provide a common networking, security, and management environment across the enterprise network. Cisco VPN
    solutions enable corporations to deploy VPNs on their existing Cisco networking gear. Cisco's entire line of router platforms
    is easily VPN-enabled through Cisco IOS" software enhancements, thus providing corporations a smooth migration path to a
    VPN environment. Through Cisco IOS software enhancements, Cisco's installed base of VPN ready ports numbers nearly 10
    million today. Cisco also offers integrated VPN platforms designed for specific needs of VPN-centric environments.

    Network architecture flexibility and ubiquity make Cisco uniquely positioned as the guide to the new world of VPNs.
    Industry-leading Cisco platforms, including routers, WAN switches, access servers, and firewalls---combined with robust
    security and management services afforded by Cisco IOS software---are the foundation for deploying the most secure,
    scalable, and manageable VPN solutions available. Cisco VPN solutions tightly integrate the many facets of VPNs with
    existing Cisco products, ensuring the smooth integration of VPN technology into Cisco enterprise networks. The breadth of
    Cisco solutions, such as voice over the enterprise WAN, are fully compatible with Cisco VPN platforms. Furthermore, the
    ubiquity of Cisco equipment in service provider IP, Frame Relay, and ATM backbones provides the means for a high degree
    of feature integration over the WAN, including common bandwidth management/quality of service (QoS) functions across
    service provider and enterprise networks.

    What is a VPN?

    There is much hype in the industry currently concerning VPNs, their functionality, and how they fit in the enterprise network
    architecture. Simply defined, a VPN is an enterprise network deployed on a shared infrastructure employing the same
    security, management, and throughput policies applied in a private network. VPNs are an alternative WAN infrastructure that
    replace or augment existing private networks that utilize leased-line or enterprise-owned Frame Relay/ATM networks.
    VPNs do not inherently change WAN requirements, such as support for multiple protocols, high reliability, and extensive
    scalability, but instead meet these requirements more cost effectively. A VPN can utilize the most pervasive transport
    technologies available today: the public Internet, service provider IP backbones, as well as service provider Frame Relay
    and ATM networks. The functionality of a VPN, however, is defined primarily by the equipment deployed at the edge of the
    enterprise network and feature integration across the WAN, not by the WAN transport protocol itself.

    VPNs are segmented into three categories: remote access, intranets, and extranets. remote access VPNs connect
    telecommuters, mobile users, or even smaller remote offices with minimal traffic to the enterprise WAN and corporate
    computing resources. An intranet VPN connects fixed locations, branch and home offices, within an enterprise WAN. An
    extranet extends limited access to enterprise computing resources to business partners, such as suppliers or customers,
    enabling access to shared information. Each type of VPN has different security and bandwidth management issues to
    consider.

    Why Enterprises Consider VPNs

    VPNs offer many advantages over traditional, leased-line networks. Some of the primary benefits are:

    Lower cost than private networks; total cost of ownership is reduced through lower cost transport bandwidth, backbone
    equipment, and operations; according to Infonetics, a networking management consulting firm, LAN-to-LAN
    connectivity costs are typically reduced by 20 to 40 percent over domestic leased-line networks; cost reduction for
    remote access is in the 60 to 80 percent range

    Enabling the Internet economy; VPNs are inherently more flexible and scalable network architectures than classic
    WANs, thereby enabling enterprises to easily and cost effectively extend connectivity, facilitating connection or
    disconnection of remote offices, international locations, telecommuters, roaming mobile users, and external business
    partners as business requirements demand

    Reduced management burdens compared to owning and operating a private network infrastructure, enterprises may
    outsource some or all of their WAN functions to a service provider, enabling enterprises to focus on core business
    objectives, instead of managing a WAN or dial-access network

    Simplify network topologies, thus reducing management burdens; utilizing an IP backbone eliminates permanent virtual
    circuits (PVCs) associated with connection oriented protocols such as Frame Relay and ATM, thereby creating a fully
    meshed network topology while actually decreasing network complexity and cost

    Components of the VPN

    VPN solutions are defined by the breadth of features offered. A VPN platform must be secure from intrusion and tampering,
    deliver mission-critical data in a reliable and timely manner, and be manageable across the enterprise. Unless each of these
    requirements is addressed, the VPN solution is incomplete.

    The essential elements of a VPN can be segmented into five broad categories:

    Platform Scalability---Each of these elements must be scalable across VPN platforms ranging from a small office
    configuration through the largest enterprise implementations; the ability to adapt the VPN to meet changing bandwidth
    and connectivity needs is crucial in a VPN solution.

    Security---Tunneling, encryption, packet authentication, user authentication, and access control

    VPN Services---Bandwidth management and quality of service (QoS) functions like queuing, network congestion
    avoidance, traffic shaping, and packet classification, as well as VPN routing services utilizing EIGRP, OSPF, and BGP

    Appliances---Firewalls, intrusion detection, and active security auditing

    Management---Enforcing security and bandwidth management policies across the VPN and monitoring the network

    These five key components of VPN solutions are delivered by Cisco within the context of open standards, scalability, and
    providing end-to-end networking capabilities.

    Satisfying these VPN requirements does not necessarily require replacement of an existing wide-area networking
    infrastructure. Cisco VPN solutions augment existing WAN infrastructures to meet the enhanced security, reliability, and
    management requirements present in a VPN environment. Cisco's existing router portfolio is "VPN-capable," with VPN
    features deployable through Cisco IOS software. In some VPN deployments, depending on encryption performance
    requirements and WAN topology, the Cisco portfolio of "VPN-optimized" routers may be a better alternative.
    VPN-optimized routers offer optional hardware extensibility for enhanced security performance. Implementing VPN
    solutions on either portfolio of VPN routers enables robust VPN deployment using existing Cisco networking gear, thus
    preserving enterprise investments in networking infrastructures.

    Security and Appliances: Protecting the Network

    Deploying WANs on a shared network makes security issues paramount. Enterprises need to be assured that their VPNs are
    secure from perpetrators observing or tampering with confidential data passing over the network and from unauthorized
    users gaining access to network resources and proprietary information. Encryption, authentication, and access control guard
    against these security breaches. Key components of VPN security are as follows:

    Tunnels and encryption

    Packet authentication

    Firewalls and intrusion detection

    User authentication

    These mechanisms complement each other, providing security at different points throughout the network. VPN solutions must
    offer each of these security features to be considered a viable solution for utilizing a public network infrastructure.

    Tunnels and Encryption

    Cisco VPN solutions employ encrypted tunnels to protect data from being intercepted and viewed by unauthorized entities
    and to perform multiprotocol encapsulation, if necessary. Tunnels provide logical, point-to-point connections across a
    connectionless IP network, enabling application of advanced security features in a connectionless environment. Encryption
    is applied to the tunneled connection to scramble data, thus making data legible only to authorized senders and receivers. In
    applications where security is less of a concern, tunnels can be employed without encryption to provide multiprotocol
    support without privacy.

    Cisco VPNs employ IPSec, Layer 2 Tunneling Protocol (L2TP), Layer 2 Forwarding (L2F), and Generic Routing
    Encapsulation (GRE) for tunnel support, as well as the strongest standard encryption technologies available---DES and
    3DES. Furthermore, Cisco VPN solutions support major certificate authority vendors, like Verisign, Entrust, and Netscape,
    for managing security/encryption administration.

    Packet Authentication

    While interception and viewing of data on a shared network is the primary security concern for enterprises, data integrity is
    also an issue. On an unsecured network, packets can be intercepted by a perpetrator, the contents changed, then forwarded on
    to their destination with erroneous information. For example, an order placed to a supplier over an unsecured network could
    be modified by a perpetrator, changing the order quantity from 1000 to 100. Packet authentication protects against such
    tampering by applying headers to the IP packet to ensure its integrity. Components of IP Security, authentication header (AH)
    and Encapsulation Security Protocol (ESP) are employed in conjunction with industry-standard hashing algorithms such as
    MD-5 and Secure Hash Algorithm (SHA) to ensure data integrity of packets transmitted over a shared IP backbone.

    Firewalls, Intrusion Detection, and Security Auditing

    A critical part of an overall security solution is a network firewall, which monitors traffic crossing network perimeters and
    imposes restrictions according to security policy. In a VPN application, firewalls protect enterprise networks from
    unauthorized access to computing resources and network attacks, such as denial of service. Furthermore, for authorized
    traffic, a VPN firewall verifies the source of the traffic and prescribes what access privileges users are permitted. Cisco
    VPN solutions provide enterprises flexibility in firewall choices, offering Cisco IOS software-based firewalls resident on
    VPN routers, as well as the separate PIX Firewall appliance.

    An added element of insurance in perimeter security is intrusion detection. While firewalls permit or deny traffic based on
    source, destination, port, and other criteria, they do not actually analyze traffic. Intrusion detection systems, such as Cisco
    NetRanger, operate in conjunction with firewalls to extend perimeter security to the packet payload level by analyzing the
    content and context of individual packets to determine if the traffic is authorized. If a network's data stream experiences
    unauthorized activity, NetRanger automatically applies real-time security policy, such as disconnecting the offending
    session, and notifies a network administrator of the incident. The NetRanger products provide automated monitoring and
    response of more robust network security while simultaneously reducing personnel costs associated with perimeter
    monitoring.

    Monitoring traffic and intrusion detection provide strong defense mechanisms against network attacks, but strong security
    begins inside the corporate network by ensuring that security vulnerabilities are minimized. Security auditing systems like,
    Cisco's NetSonar, scan the corporate network identifying potential security risks. NetSonar maps all active systems on a
    network, their operating systems and network services, and their associated potential vulnerabilities. NetSonar also
    proactively and safely probes systems using its comprehensive network security database to confirm vulnerabilities, and
    provides detailed information about security vulnerabilities enabling network managers to better secure the network from
    attacks.

    User Authentication

    A key component of VPN security is making sure authorized users gain access to enterprise computing resources they need,
    while unauthorized users are shut out of the network entirely. Cisco VPN solutions are built around authentication,
    authorization, and accounting (AAA) capabilities that provide the foundation to authenticate users, determine access levels,
    and archive all the necessary audit and accounting data. Such capabilities are paramount in the dial access and extranet
    applications of VPNs. Cisco VPN solutions support Remote Access Dial-In User Service (RADIUS) and Terminal Access
    Controller Access Control System (TACACS+) user authentication platforms.

    VPN Services: Managing Routing and Throughput

    An essential component of VPN solutions is ensuring efficient use of precious WAN bandwidth and reliable throughput of
    important data while performing traditional routing services. The bursty nature of network traffic characteristically makes
    poor use of network bandwidth by sending too many packets into the network at once or congesting network bottlenecks. The
    result is twofold: WAN links are often under utilized, letting expensive bandwidth lie dormant; network congestion during
    peak times constrains throughput of delay-sensitive and mission-critical traffic. It is a lose/lose situation.

    QoS determines the network's ability to assign resources to mission-critical or delay-sensitive applications, while limiting
    resources committed to low-priority traffic. QoS addresses two fundamental requirements for applications run on a VPN:
    predictable performance and policy implementation. Policies are used to assign network resources to specific users,
    applications, project groups, or servers in a prioritized way. Components of bandwidth management/QoS that apply to Layer
    2 and Layer 3 VPNs are as follows:

    Packet classification---assigns packet priority based on enterprise network policy

    Committed access rate (CAR)---provides policing and manages bandwidth based on applications and/or users
    according to enterprise network policy

    Weighted Fair Queuing (WFQ)---allocates packet throughput based on packet priority

    Weighted Random Early Detection (WRED)---complements TCP in predicting and managing network congestion on the
    VPN backbone, ensuring predictable throughput rates

    Generic traffic shaping (GTS)---smooths bursty traffic and "packet trains" to ensure optimal average utilization of VPN
    WAN links

    Border Gateway Protocol (BGP) propagation---enables the bandwidth management policies to extend to traffic in both
    directions of the VPN connection

    These QoS features complement each other, working together in different parts of the VPN to create a comprehensive
    bandwidth management solution. Bandwidth management solutions must be applied at multiple points on the VPN to be
    effective; single point solutions cannot ensure predictable performance. Network performance can be monitored using the
    Cisco Response Time Reporter (RTR), a network monitoring feature embedded on the router in Cisco IOS. Cisco RTR
    measures network uptime, latency, and other service characteristics, enabling corporations to ensure service-level
    agreements with their service providers are being met.

    In addition to the benefits of managing bandwidth, Cisco recognizes the importance of providing VPN routing services that
    complement QoS mechanisms while seamlessly integrating into existing corporate network routing configurations. By
    supporting standard routing protocols, like EIGRP and OSPF, Cisco VPN routing services ensure cost-effective migration to
    VPN infrastructures that provide robust bandwidth management without impacting existing network configurations.

    Network Management: Operating the VPN

    VPNs integrate multiple security and bandwidth management services in addition to the network devices themselves.
    Enterprises need to seamlessly manage these devices and features across the VPN infrastructure, including remote access
    and extranet users. Given these issues, network management becomes a major consideration in a VPN environment. A VPN
    WAN architecture, however, affords network managers the opportunity to outsource many aspects of network management.
    Unlike in a private network architecture, a VPN enables enterprises to define what level of network control they need to
    retain in-house, while outsourcing less sensitive functions to service providers.

    Many companies choose to retain full control over deployment and daily operation of their VPN, and thus require a
    comprehensive, policy-based management system. Such a system extends the existing management framework to encompass
    WAN management functions unique to VPNs. Cisco enterprise network management provides a comprehensive suite of tools
    for managing devices, security policies, and services across any size VPN.

    As the WAN is extended with VPN technology, a strict set of business requirements must be met for the enterprise network
    manager to be successful. These requirements include:

    Minimize risk---moving from a dedicated infrastructure to a shared infrastructure that utilizes WAN transport mediums,
    such as the public Internet, presents the network manager with new security and auditing challenges; network managers
    must be able to extend VPN access to multiple corporate sites, business partners, and remote users, while assuring the
    integrity of the corporate data resources

    Scale---the rapid addition of mobile users and business partners to the VPN requires network managers to expand the
    network, make hardware and software upgrades, manage bandwidth, and maintain security policies with unprecedented
    speed and accuracy

    Cost---to fully realize the cost benefits of a VPN, network managers must be able to implement new VPN technologies
    and provision additional network users without growing the operations staff at a proportional rate

    Cisco enterprise management tools empower network managers to effectively meet these business requirements via a
    three-tiered management strategy: enabling scalable device management, supporting hybrid network architectures, and
    leveraging Cisco Powered Networks.

    Scalable Device Management

    Integrated tools that manage one device at a time will not enable network managers to deploy the vast portfolio of VPN
    solutions and technology required by enterprises. The network must be managed by policy, as a uniform and integrated
    entity, not as discrete segments and devices. This approach enables the network manager to consistently implement security
    policy across the collection of resources that create the VPN.

    Supporting Hybrid Network Architectures

    In a hybrid private/virtual private network environment, VPN management functions must integrate seamlessly into the
    existing private enterprise network management architecture. Private network management tools must be augmented to
    support new VPN management capabilities, providing network managers with end-to-end control and visibility.

    Leveraging Cisco Powered Networks

    Service providers that deploy Cisco technology and services to deliver the VPN infrastructure may utilize the Cisco Service
    Management (CSM) System to achieve their operations and business objectives. As part of the CSM solution set,
    provisioning and service monitoring solutions enable the service provider to deliver the VPN connectivity to the enterprise
    customer. By creating a bridge between enterprise management solutions and CSM solutions, Cisco enables enterprise
    network managers to receive configuration information from the service provider, validate that service levels provided by
    the service provider match the expectations of the enterprise, and deliver bandwidth management policy to the service
    provider to ensure end-to-end QoS for mission-critical applications. Management tools such as the Cisco Internetwork
    Performance Monitor (IPM) and Service Level Agreement Manager (SLAM) operate in conjunction with the Cisco RTR
    enabling network managers to ensure their service level agreements with service providers are being met.

    The Cisco Enterprise Network Management Strategy

    Cisco has developed a phased plan for delivering policy-based management tools for enterprise VPNs that also leverages
    the features of Cisco Powered Networks deployed by service providers. In the initial phases, VPN management features are
    integrated into the CiscoWorks2000 product family, enabling Web-based, end-to-end management of Cisco networks.
    Through CiscoWorks2000 enhancements, network managers can manage security and bandwidth management parameters of
    VPNs. In the final phases, policy-based management of VPN features and security parameters will be added and extended to
    include directory-enabled network (DEN) management and tools for measuring and monitoring service provider
    performance against service-level agreement (SLA) commitments.

    Platform Scalability and Migration Paths: Looking to the Future

    When considering a VPN solution, enterprises should consider how VPN technology will integrate into their existing
    network infrastructure and how it will grow with the dynamic requirements of the enterprise network. VPNs are not an all or
    nothing network decision. A VPN can be phased into existing private network architectures offering a flexible migration path
    for the evolution of private networks. Many organizations will likely deploy VPNs as an augmentation of their existing
    private WAN infrastructures. For such hybrid applications, VPNs can be implemented on existing Cisco VPN-capable
    routers using Cisco IOS software with its extensive array of VPN features. Additionally, existing VPN-optimized routers can
    utilize optional hardware components to increase security performance. Implementing VPNs through Cisco IOS software and
    optional hardware components enables robust VPN functionality without impacting existing network infrastructures, thus
    ensuring flexibility and growth necessary for the future.

    Throughout its VPN portfolio, Cisco employs standards-based solutions. For Layer 3 security, Cisco VPNs use IPSec, a
    standards track proposal in the Internet Engineering Task Force (IETF) for IP security. For Layer 2 tunneling, Cisco supports
    Layer 2 Tunneling Protocol (L2TP), the de facto industry Layer 2 tunneling standard. Furthermore, Cisco VPNs support
    Layer 2 Forwarding (L2F) and Generic Routing Encapsulation (GRE). For encryption, Cisco supports the strongest standard
    algorithms available in the industry---DES and 3DES.

    According to the Gartner Group, the nascence of the VPN equipment market "raises risks of choosing the wrong vendor."
    Cisco equipment comprises more than 80 percent of the Internet backbone and is the cornerstone of enterprise networks.
    These factors make Cisco uniquely positioned as the guide to the new world of VPNs. Industry-leading Cisco platforms,
    including routers, WAN switches, access servers, and firewalls---combined with robust Cisco IOS software---are the
    foundation for deploying the broadest set of VPN service offerings across many different network architectures, enabling
    corporations to preserve their network investments by deploying VPNs on their existing Cisco gear. Furthermore, Cisco
    VPN solutions tightly integrate the many facets of VPNs with existing Cisco products, ensuring the smooth integration of
    VPN technology into Cisco enterprise networks. The breadth of Cisco solutions, such as voice over the enterprise WAN, are
    fully compatible with Cisco VPN platforms. Additionally, the ubiquity of Cisco equipment in service provider IP, Frame
    Relay, and ATM backbones provides the means for a high degree of feature integration over the WAN, including common
    bandwidth management functions across service provider and enterprise networks.

    Common Architectures for VPNs

    Today's Corporate WAN: The Private Network

    Today's corporate WAN is typically built using private lines or private Frame Relay/ATM. The remote access portion of the
    network is also typically a private solution with corporations deploying and managing their own dial access infrastructure.
    Extranet applications are often not supported, or done so as an expensive and burdensome extension of the WAN cloud.

    A private network architecture limits network extendibility to remote users and partners

  • Использование виртуальных приватных сетей

    Maxim E. Smirnoff, 24.08.1999
    в ответ на: комментарий (Виктор Ангелов, 22.08.1999)
    Здравствуйте Виктор.
    1. Не могли бы Вы использовать вместо полного текста описаний продуктов ссылки на такие описания, а то размер реплик становиться очень большим.
    2. Я стараюсь убедить Вас ровно в следующем:
    существует достаточно развитый и структурированный набор технологий криптозащиты информации, включая шифрование сообщений, шифрования соединений, шифрование IP пакетов и т.д. Использование средств шифрования IP пакетов для обеспечения конфиденциальности сообщений электронной почты - не оправдано. Идеи которые сегодня реализованы Cisco чуть ранее раскручивались Sun и затем Microsoft. Какой то сектор рынка они(идеи) заняли и на этом все закончилось. Не следует думать что какая-либо одна технология способна решить все Ваши проблемы. Конечно, разработчики систем заинтересованы в максимально широком внедрении своих продуктов, вот и рассказывают про молочные реки с киселными берегами, но Вы же не бросаетесь немедленно покупать товар, рекламируемый по TV. Лично мне не известны содержательные примеры организации VPN даже на сотни хостов, и вряд следует ожидать повальное увлечение ими пользователей рунет, для противодействии СОРМ, просто потому что люди не хотят использовать и более простые средства. Повнедряет немного Cisco свое видение VPN, осчастливит определенное количество клиентов, скроее всего корпоративных, и успокоится, вот увидите.
  • Использование виртуальных сетей Майкрософт для ухода от СОРМ

    Hi man,

    Что же Вы все про Win95 да 95 ! Уже почти все на Win98 перешли !!!

    P.S. Эта штука с Winserve похоже не работает.

  • Использование виртуальных приватных сетей

    Виктор Ангелов, 28.08.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 24.08.1999)
    =========================================================

    Здравствуйте, Максим !

    1. Замечание "ссылки вместо текста" - справедливо, крыть нечем. Sorry за задержку с ответами, не получается со временем в рабочие дни недели.

    2. Согласен - набор технологий криптозащиты огромен, большая часть из них разработана за пределами России, равно как и контртехнологии. Криптозащиту можно купить легально, а контрзащиту - разве что украсть (ну еще, возможно, "подкупить"), и чем при таком раскладе руководствовались Заказчики СОРМа - очень было бы любопытно узнать...

    2.1. То,что шифрование IP пакетов для электронной почты не оправдано - полностью согласен, ибо зачем их (IP пакеты ЭЛЕКТРОННОЙ ПОЧТЫ) шифровать для прохождения через все маршрутизаторы сети, если в конечном пункте, у Service Provider'a (а не у Клиента), эти пакеты все равно будут собраны в цельное и шифрованное сообщение (если, конечно, Отправитель позаботился о шифровании). Но, кроме электронной почты, существуют другие Приложения. Например - медицинская компания (Spastic Society - спецы по судорогам), у компании есть NT/Novell LAN на 60 PC в центральном офисе и еще множество маленьких LANs в 75-ти филиалах, разбросанных по штату Victoria. Вполне разумно в этой ситуации использовать Интернет как своего рода кусок коаксиального кабеля, чтобы связать все 76 LANs в единую сеть, используя технологию VPN и все блага ее криптозащиты. К сожалению, затерял WWW-ссылку на обьявление, приглашающее спеца на эту работу:
    -----------------------------------------------
    The Age,
    Saturday May 8, 1999

    COMPUTERS
    PC/Network Support
    The Spastic Society of Victoria requires a confident, customer oriented person to take up a technical support role within the Information Technology Department. We are currently upgrading our enterprise systems and communications infrastructure. The successful applicant for this role will gain exposure to Virtual Private Network technology in an NT environment.
    The Spastic Society currently operates at 75 locations throughout regional and metropolitan Victoria. We have a 60 user NT/Novell based LAN at our main site and various small PC networks at other sites all running Windows 95 or 98 with Microsoft Office/Pro 7 or 97.
    This position involves responding to general enquiries from internal customers, resolving PC/LAN based problems and purchasing computer and telephony equipment. Liaison with suppliers, administration of support agreements and LAN administration are integral parts of this role.
    Experience in configuring, installing and maintaining PC hardware and software is essential as is a good working knowledge of Windows 95 or 98 with MS Office products. Good administrative skills will be highly regarded as will solid all round experience of LT.support issues.
    Salary is negotiable dependant upon skills and experience.
    Mail/Fax resumes (No more than four pages) and covering letter (please include salary expctation range) to Rebecca Conboy, Project Admin Assistant, Spastic Society of Victoria, P.O. Box 381, 135 Inkerman Street, St.Kilda, 3182.
    No later than 5pm Monday 24 May 1999. Telephone (03) 9536 4238 for further information or fax (03) 9525 3274.
    -------------------------------------------------------

    Думается, что судить - закончились ли "эксперименты" с VPN или это уже целая индустрия - можно по спросу на рабсилу соответсвующего профиля, и здесь, дабы не заканчивать реплику огромными списками "Wanted !!!", проще посетить сайт www.vpninsider.com/Jobs/Jobs.shtml, чтобы убедиться - VPN далеко не умерли в экспериментах Microsoft и Sun Microsystem, а у Cisco, равно как у MS и Sun, очень много сильных конкурентов в этом перспективном бизнесе. Там же можно найти и содержательные примеры реализации даже не то что на сотни - на тысячи хостов, с подробными толкованиями, документацией и рекомендациями...

    2.2. Спору нет - не решить ВСЕ проблемы применением одной технологии, однако, например, если в Конторе до сих пор на IBM/S370/S390/AS400 крутятся Cobol и Fortran-IV программы Х0-летней давности с выдачей на АЦПУ или IBM3270/5250 конфиденциальных данных, то вместо дорогостоящих курьеров или строительства своих коммуникаций для доставки данных по PC-based филиалам дешевле организовать VPN нежели перепрограммировать soft-"старье" в, скажем, Web-Приложения.

    В случае с СОРМ - не так уж и дорого стоит оборудование Cisco Systems, если, конечно, есть что защищать:

    Cisco 805 (110 Ethernet, 1 Async, with IP Plus Firewall and IPsec software) стоит $1449;

    Cisco 1720 (with 110/100 Ethernet, T1/E1 DSU/CSU, Firewall and VPN software) стоит $4600 (еще дешевле - с 2*Async/Sync вместо T1/E1).

    2.3. "Люди не хотят использовать и более простые средства" - к Вашим словам, Максим, могу только добавить - "... к тому же и практически бесплатные". Например - тот же Netscape Communicator, у которого список криптографических функций просто вызывает уважение - RSA, RC2, DES, SHA-1, MD2, DSA, MD5, RC5, ... И хотя Разработчики Netscape осторожничают (а скорее всего - знают о чем пишут...) - в NetHelp, "About Security" они дают вводную:

    "...Learn how to make it MORE DIFFICULT for unathorized persons to access your system and correspondences",

    все таки "повальное" использование в России криптованных Email писем было бы неплохим, для начала, ответом на Стратегическую Оборонную Расшиздяйскую Муму...

    With kind regards,
    Victor Angelov

    ===================

  • Использование виртуальных сетей Майкрософт для ухода от СОРМ

    Виктор Ангелов, 29.08.1999
    в ответ на: комментарий (Vadim Ionov, 26.08.1999)
    =========================================================

    Hi, if you are not joking.

    What are you asking about regarding Windows 98? What does it mean "eta shtuka"? Is it question about MS Virtual Private Network, or it is just a complain of MS Peer-to-Peer networking?

    O'key:

    1. Peer-to-Peer.

    This "stupid" scheme should work regardless of Windows version. Any Windows Operating System, be it NT or 95 or 98, supports NetBIOS over TCP (NBT), being configured properly. The only case where Peer-to-Peer does not work is if your Internet Service Provider (ISP) has blocked NBT traffic. The min requirement for NBT is the ability to send and receive over Internet the packets of the next services:

    - NetBIOS Name Service (User Datagram Protocol, UDP, port number 137)
    - NetBIOS Datagram Service (UDP/138)
    - NetBIOS Session Service (TCP/139)

    It might happen that your ISP just filters these packets to prevent Out-Of-Band and other data attacks on its own servers. So, ask to your ISP about UDP/137/138 and TCP/139.

    Strongly speaking, you should not hang on Internet a long period of time while using of Peer-to-Peer scheme, otherwise the hackers can easily detect your PC and PC of your partner. This scheme is not quite good idea in terms of level of security. Many betters are to use a VPN technique.

    2. VPN

    As to Windows 98, there are all you need for VPN at:

    www.microsoft.com/windows98/downloads/corporate.asp

    Please run this way and choose line "Microsoft Virtual Private Networking" out of menu to download the Dial-Up Networking ver 4.0. You can find the Dun40.doc (Windows\System folder) to help yourself to configure VPN after installation.

    Good luck,
    Victor Angelov.

    ----------------------------------------------------

  • Шифрование и СОРМ - частное мнение

    Не знаю, возможно Максим Отставнов дает очень хорошие рекомендации, но, пардон, они не юзерского уровня.
    Здесь уже было предложение прятать инфу в картинки (стеганография). Вполне приемлемо. Но лично я решаю проблемы СОРМа более простым способом, доступным всем, даже начинающим юзерам.
    1. В Инете хватает криптопрограмм. Лично я пользуюсь FCCRIPT32. Она поддерживает ВСЕ существующие стандарты, как USA-шные, так и SU-шные. Русский интерфейс. Скачайте себе. Эта система шифрования вполне надежна, но только если пароль для шифрования файлов (ключ) использовать каждый раз новый, и только один раз.
    2. Приготовьте ключи. Для этого можно взять любой текст - лучше будет если этот текст будет несмысловой (нечитаемый), т.е. просто набор каких-нибудь символов. Разбейте его на части от 6 и выше знаков (равные или неравные - как угодно). Каждую часть (группу) пронумеруйте (все это можно сделать в EXEL). Для каждого корреспондента у вас должен быть свой набор ключей (страница в книге EXCEL).
    3. Разошлите вашим корреспондентам программу и "ихнюю" страничку с ключами.
    4. Готовьте ваше письмо или посылку в любой соответствующей программе (Word, Notepad....), шифруем, при этом в качестве пароля используем одну группу из странички (Ctrl+C-->Ctrl+V), и аттачим уже зашифрованный файл к чистому письму. В качестве субъекта указываем номер используемой группы. Не забудьте стереть тот пароль, который вы использовали - вам его использовать дважды нельзя, а "третьим лицам" его знать совсем ни к чему.
    5. Отправляем письмо.
    6. Ваш корреспондент, получив письмо, расшифровывает его на своей копии программы, при этом в качестве пароля использует тот ключ, номер которого указан в субъекте, не забывая удалить эту ячейку из таблицы.
    7. Архив с перепиской можно тоже шифровать и хранить.
    Работает без проблем.
    Будут вопросы - оставляйте на сайте.
  • Шифрование и СОРМ - частное мнение

    Молодец!
    Его, наверное, возьмут служить на лубянку и он будет там большим боссом.
  • Шифрование и СОРМ - частное мнение

    аноним, 21.10.1999
    в ответ на: комментарий (анонимный, 19.09.1999)
    Это всё понятно вот только вы забыли пояснить что ключи отправлять надо голубиной почтой. -)))

    [email protected]

  • Шифрование и СОРМ - частное мнение

    аноним, 22.10.1999
    в ответ на: комментарий (анонимный, 19.09.1999)
    Да, я полагаю что шифрование - это хорошо. Но не в этом случае. Надеюсь все понмают, что некоторые алгоритмы шифрования имеют в наличии back-door. Абсолютно невскрываемые алгоритмы никому не нужны и врядли они пройдут сертификацию. А раз так, то зная систему back-door алгоритма шифрованиия и сообщение нетак уж много ресурсов понадобится для вскрытия сообщения.
  • Шифрование и СОРМ - частное мнение

    Maxim E. Smirnoff, 30.10.1999
    в ответ на: комментарий (анонимный, 22.10.1999)
    Уважаемый аноним!
    А чем все же Вам не угодили криптографические технологии? Я больше заинтересован Вашим личным мнением, а не той аргументацией, которую Вы выдвигаете, т.к. она не достаточно убедительна и обсуждать ее, мне как-то даже, и не хочется. В большинстве информационных систем для обеспечения конфиденциальности используется именно шифрование, практически все специалисты считают это удобным и дешевым средством. А Вы считает иначе и мне крайне интересно почему. Прошу Вас, потратьте немного времени и постарайтесь объяснить причину Вашего негативного отношения к крипто.

    Спасибо

  • Шифрование и СОРМ - частное мнение

    аноним, 02.11.1999
    в ответ на: комментарий (анонимный, 18.07.1999)
    Ты Абсолютно прав. Нас много но все разрозненны, нужна какая-то связающая правомощная сила.
  • Шифрование и СОРМ - частное мнение

    Виктор Ангелов, 13.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 30.10.1999)
    ====================================================

    Здравствуйте, Максим !

    Можно "встрять"? В порядке попытки понять причину негативного отношения к крипто со стороны Вашего собеседника - уважаемого анонима?

    Далее, можно я начну с 7-ми уровневой модели OSI? Для предметности.

    По-крупному, из семи уровней за безопасность компьютерных сетей "отвечают" три уровня:

    - Application
    - ...........
    - Network
    - Data Link
    - ........

    Теперь попробуем спроецировать эти три уровня на те возможности, которыми располагает СОРМ&ФСБ.

    Application.

    КГБ/ФСБ не позаботилось в свое время о разработке российских, сертифицированных ими же, интернетовских программных средств, таких как Netscape, Explorer, Internet Mail, ICQ, FTP, ... "Сертифицированных" в том смысле, чтобы ониработали только с "сертифицированными" же серверами с заложенными в них возможностями автоматом слать в компетентные органы копии нужных\интересных сообщений. По типу перлюстрации обыкновенных писем-телеграмм. Разумеется, крипто было бы тоже от ФСБ/КГБ. Замаскировали бы все это под продукцию НИИ рыбоводства.
    В общем - здесь поезд ушел...

    Network.

    Здесь КГБ времен СССР имело бы неограниченную возможность по контролю IP packets and routing updates. Так бы "отсертифицировали" управляющие config-файлы, что и муха бы не пролетела. Однако - теперь не те времена...

    Data Link.

    Здесь СОРМ'у можно было бы подключиться к trunk, backbone и прочим магистральным линиям, но с 64К link'ом в местное управление ФСБ это выглядит дисбалансно (bandwidth...), а если здесь пакеты/frames еще и криптованы - то PC-шками тут не обойтись. Более того, если на вышестоящем (Network) уровне была закриптована управляющая информация (по типу IPsec) в дополнение к криптованным данным Application уровня, то положение совсем усложняется - трудно будет отделить "писухи" от "порнухи". А если учесть, что многие сетевые устройства могут менять крипто-ключи автоматически после передачи определенной порции данных или по прошествии промежутка времени, то найти концы будет совсем непросто...

    Как говаривал В.В. Высоцкий (да будет земля ему пухом и царствие ему небесное...) - "если верно оно, ну хотя бы на треть, остается одно только, лечь-помереть".

    Получается вроде - для СОРМ выгодно будет, если все абоненты сведут свою коммуникацию к Email почте без всяких там peer-to-peer, PPTP и VPN выкрутасов. И совсем нежелательно для СОРМ - не пользование услугами Сервис-Провайдеров вообще (два Windows 98/NT компа могут спокойно устанавливать рабочие (Workgroup) отношения через телефонную сеть с набором тех же возможностей что они бы имели через коаксиальный кабель, за исключением скорости, конечно. Windows 95 компьютеры нужно довести до ума - см. Либертариум\ВСЕ АВТОРЫ\angelov Виктор Ангелов\РЕПЛИКА (03 октября 1999) к ссылка вовне "Будет ли USB-мышь в сотовом ноутбуке?". Там же можно найти подробную инструкцию, которая годна и для Win98).

    Далее, судя по ФСБ-шному документу "Технические требования ..." создателей СОРМ вполне устраивает наличие в почтовых Email ящиках и криптованных писем. Похоже, главное для них -наличие цельных посланий и отсутствие надобности выбирать-собирать их из могучих потоков в backbones и прочих trunks каналов. На чем основано прямо таки олимпийское спокойствие ФСБ относительно крипто - трудно судить. Однако, чисто интуитивно - что хорошо СОРМ'у, то абоненту капут. Не здесь ли источник негативного отношения к крипто со стороны Вашего оппонента?

    До свиданий. С уважением - Виктор Ангелов.

    ====================================================

  • Шифрование и СОРМ - частное мнение

    Maxim E. Smirnoff, 13.11.1999
    в ответ на: комментарий (Виктор Ангелов, 13.11.1999)
    Здравствуйте, Виктор!

    Думаю зря Вы исключили из рассмотрения транспортный (Transport) уровень семиуровневой модели, imho для него существуют наиболее цельные средства обеспечения безопасности, впрочем суть даже не в этом.
    Вы верно уловили одно из довольно распространенных мнений о крипто, как о технологии не являющейся серьезным препятствием для спецслужб. Сказки о "засекреченых физиках", вернее криптоаналитиках которые умеют ломать любой шифр, появляются с завидным постоянством. Я сталкиваюсь с ними не реже одного раза в месяц.
    Иногда мне даже хочется учредить ежемесячный приз за лучшую сказку о крипто. Если, я соберусь это сделать, то на текущий месяц у меня уже есть один претендент http://www.computerra.ru/hot/123.html

    С уважением,
    --
    Maxim E. Smirnoff

  • Шифрование и СОРМ - частное мнение

    Виктор Ангелов, 21.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 13.11.1999)
    ========================================================

    Здравствуйте, Максим !

    Замечание по поводу Transport Layer-справедливо, действительно зря исключил из рассмотрения любимое детище Netscape Communications Corp. - Secure Socket Layer Handshake Protocol, он действительно поддерживает секретность и целостность транспортного канала при end-to-end connections для самых массовых - WWW,FTP and Telnet - сервисов. Я его, SSL, как то машинально включил в первый(Application, Client-Server Applications)"пункт", прохлопанный СОРМ\ФСБ, хотя, конечно, он вполне заслуживает отдельного и уважительного рассмотрения. Промашка вышла!!!

    Удивительно, но мне тоже доводилось слышать bed-time stories про физиков, но только покруче - про "секретных физиков-ядерщиков", которые "колют" one-way функции public-key криптосистем с такой же легкостью, как и ядра, безо всяких там private key(trap door). Дело, может быть, в том, что НА ПРАКТИКЕ все public-key криптосистемы (в том числе и реализуемая корпорацией Netscape) используют функции, которые являются one-way функциями как бы под честное слово, что-ли...На веру как-бы приходится это принимать, т.к. НИ ОДНА ФУНКЦИЯ НЕ БЫЛА ДОКАЗАНА ЧТО ОНА - СТРОГО ONE-WAY FUNCTION. Сие означает, что ТЕОРЕТИЧЕСКИ возможно изобрести алгоритм быстрого вычисления "назад" без знания trap-door для НЕКОТОРЫХ one-way functions. Может быть, именно поэтому даже Netscape Communications как бы осторожничает, что-ли: я не нашел в NetHelp по Security (в Netscape Communicator ver 4.7) никаких хвастливых обещаний и заверений в 100%-ой надежности, равно как и предупреждений об обратном. Все сделано по-деловому скромно - дескать, используйте что есть, лучшего то все равно еще не придумали....

    А статья из computerra, претендент на лучшую сказку о крипто - откровенно слаба как соискатель. "Запрятать" ключевой вопрос про шифры в середину списка из пяти строчек, поставив впереди пару "бантиков" про дискетту и клавиатуру конкретного хакера, а позади парочку из ненадежно удаленной информации и сканирование - это СЛАБОВАТО БУДЕТ!

    Конечно, в public-key криптосистемах сам private key всегда математически связан с public key, и всегда есть соблазн попытаться получить-вычислить private из public да еще и убедить профинансировать эти проекты - богатые американцы финансировали и не такое! Да если даже чьи-либо секретные физики-ядерщики и взломают какую one-way функцию, то это будет огромная государственная тайна и результаты будут использоваться втихаря и для расшифровки самого что ни на есть архиважного, иначе ведь быстро "запеленгуют" и сменят систему...

    With the best wishes,
    Victor Angelov

    =====================================================

  • Шифрование и СОРМ - частное мнение

    Maxim E. Smirnoff, 23.11.1999
    в ответ на: комментарий (Виктор Ангелов, 21.11.1999)
    Здравствуйте, Виктор !
    Дело, может быть, в том, что НА ПРАКТИКЕ все public-key криптосистемы (в том числе и реализуемая корпорацией Netscape) используют функции, которые являются one-way функциями как бы под честное слово, что-ли...
    Ну и что? Стойкость симметричных шифров тоже воспринимается нами "под честное слово". Мы не знаем оценок минимальной трудоемкости взлома шифра, но тем не менее используем их в жизни. Думаю если даже будет доказано существование односторонних функций, или обратное утверждение, то это не сильно повлияет на практику использования криптографии с открытом ключом. по крайней мере, пока не будет предложен пример действительно односторонней функции, которую можно использовать на практике.
  • Шифрование и СОРМ - частное мнение

    аноним, 25.11.1999
    в ответ на: комментарий (анонимный, 18.07.1999)
    И вообще все это несусветные семиуровневые глупости вместре с трансгрессионным анализом - просто когда ВАС посадят в подвал ФСБ и будут долго бить - до тех порка ВЫ САМИ не расскажие о паролях - шифрах и прочих ваших уловках - вот это и есть в ихней терминологии "простые средства противоборства шифрованию"
  • Шифрование и СОРМ - частное мнение

    аноним, 08.12.1999
    в ответ на: комментарий (анонимный, 18.07.1999)
    Чесно говоря вообще не вижу проблему с этим СОРМом, Если Вам и вправду необходимо передеть конфиденциальную информацию - напишите свой шифратор :)(да, конецно прийдется немного ознакомится с технологиями шифрования, но вы можете представить сколько усилий потребуется спецслужбам что-бы ломать бесчисленнные вариации на тему алгоритмов шифрования? Должны же они отрабатывать свои зарплаты :)). Да и вот еще нет необходимости рассылать только полезную информацию, надеюсь у всех найдутся генераторы случайных чисел - так вперед - пусть спецслужбы разбираются, что было передено - это их проблемы :). Не так давно проходила акция по борьбе с мифическим "Эшелоном" - но она то была однодневная, а вот возьмете себе за правило - встал с утра, почистил зубы и отправил в десяток мест всякую чюшь - как говорится сделал доброе дело и с приподнятым настроением начал следующий рабочий день. Так-же на следует забывать о ключевых словах например "Вчерашнее пиво - просто "динамит" - так наклюкался, что чють не "взорвало"". Думаю люди на службе будут с интересом читать столь информативные сообщения от хронических трезвеников :) Да забыл, сори за орфографию - проверять облом :)
  • Шифрование и СОРМ - частное мнение

    Виктор Агроскин, 27.12.1999
    в ответ на: комментарий (анонимный, 08.12.1999)
    Интересная новость в Интерфаксе 27.12.99

    ГЕНДИРЕКТОР "ЮНИОН КАРД" ЗАЯВЛЯЕТ, ЧТО СКАНДАЛ С EUROPAY ПОШЕЛ НА ПОЛЬЗУ
    РОССИЙСКОЙ КОМПАНИИ

    Москва. 27 декабря. ИНТЕРФАКС-АФИ - Генеральный директор одного из
    крупнейших на российском карточном рынке процессингового центра "Юнион
    Кард" Федор Наумов считает, что скандал в связи с мошенничествами по картам
    международной платежной системы Europay пошел на пользу российской
    компании.
    По его словам, "Юнион Кард" провела "серьезное внутреннее
    расследование, за два месяца был проведен огромный объем работы, и порядка
    с точки зрения управления стало в 10 раз больше".
    Ф.Наумов подчеркнул, что ранее "Юнион Кард" получила "самую широкую
    лицензию ФАПСИ". "С такой лицензией обвинения в том, что из-за ненадежности
    нашей системы кого-то обокрали, просто смешны", - заявил он в интервью
    газете "Известия", которое будет опубликовано во вторник.
    Гендиректор "Юнион Кард" подчеркнул, что у ФАПСИ "гораздо более
    жесткие и серьезные стандарты и требования к защите информации, чем у
    американцев". Глава российской компании заявил о поддержке "политики ФАПСИ,
    которое противодействует проникновению на рынок иностранных
    криптографических систем, поскольку защита информации является делом
    национальной безопасности".

  • Использование виртуальных сетей Майкрософт для ухода от СОРМ

    Hey guys most of encryption methods are quite complicated
    Well they are good enough for a professional users, but
    most of surfing folks are still lamers so what do you think
    about simple http verison of privacy protection.
    Check it out -> http://www.anonymizer.com/3.0/services/index.shtml
    I dont know how they implemented that crap but its seems to
    be quite safe.

    Br Mulder.

  • Легальность криптоухода от СОРМ

    Mulder, 01.03.2000
    в ответ на: комментарий (pavel v protasov, 03.06.1999)
    Hi.
    Kak ja ponial etot zakon rasprostranajetsia na predprijatija
    i organizacii zanimajushiesia kommercheskim ispolizovaniem
    shifrovalinix i krypto sredstv tak li eto?
    Esli eto kasajetsia i grajdanskix lic to eto polni morazm.

    Br Mulder.

  • Легальность криптоухода от СОРМ

    1)Я считаю, что вся информация, находящаяся на моем винте, является моей личной собственностью, которую я волен стирать, записывать и видоизменять как мне угодно (по крайней мере у меня длжно быть такое право!). 2)Человек имеет право на частную жизнь (в том числе и в интернете) и длжен иметь право осуществлять это всеми доступными ему способами.
    P.S. Параноидальное видение РАЗ: Вы скачиваете какой либо файл с крипто программой. Мощные компьютеры СОРМ мнговенно отлавливают запрос к удаленному серверу и подменяют ответ запроса на свою программу, но с тем же именем. В программе имеется BACK DOOR...
    Параноидальное видение ДВА: В целях безопасности, я подпишусь как Anonimous...
  • Легальность криптоухода от СОРМ

    аноним, 21.03.2000
    в ответ на: комментарий (анонимный, 20.03.2000)
    ...
    P.S. Параноидальное видение РАЗ: Вы скачиваете какой либо файл с крипто программой. Мощные компьютеры СОРМ мнговенно отлавливают запрос к удаленному серверу и подменяют ответ запроса на свою программу, но с тем же именем. В программе имеется BACK DOOR

    Так для того программы и подписывают цифровой подписью, чтоб нехорошие ребята их не подменили. В чем проблема?

  • Легальность криптоухода от СОРМ

    Ильин Юрий Анатольевич, 10.05.2000
    в ответ на: комментарий (анонимный, 20.03.2000)
    Ребята! Чего Вы так боитесь?
    Есть старый проверенный временем способ шифровки, который ни один ФСБ не возмет. Берёте фотку, сканируете, меняете цвета по алгоритму ( не сильно) и отсылаете оригинал и крипто.
    А наш диск... Да кому он нужен?
  • Легальность криптоухода от СОРМ

    Keng, 10.05.2000
    в ответ на: комментарий (Ильин Юрий Анатольевич, 10.05.2000)
    В ФСБ прекрасно знают (а если и не знают, то нам такое ФСБ и не нужно; не хватает нам только ослов в спецслужбах) что вскрыть современную шифрацию или, тем более, стегографию, что рекомендуется, -- им "не по зубам". Вот и возникает законный вопрос, а зачем им тогда вообще следить СОРМом за всеми? Ведь с точки зрения дела -- все их потуги будут бессмысленны, если их клиенты будут переписываться исключительно с применение криптосредств (они ж не идиоты!). Остается только отслеживать трафик (само его наличие) и лазить на-халяву по Сетке. Ну и, заодно письма обычные почитывать. То есть наши с вами...
    Да, есть ведь и еще один способ, как там, в "17 мгновениях": "Тетя Эльза гостила в Берне-Лозанне..." :)
  • Легальность криптоухода от СОРМ

    аноним, 14.05.2000
    в ответ на: комментарий (анонимный, 21.03.2000)
    А они и запрос подписи перехватят тоже тогда.
  • Легальность криптоухода от СОРМ

    Вопрос, что мер по привлечению к ответственности за использование нелицензированных криптосистем нет (или я уже отстал?)
    Понятно, что комм-банку ЦБ не даст работать и т.п...
    Но физ лицу? Разве что прокурорское предупреждение
  • Легальность криптоухода от СОРМ

    Keng, 05.09.2000
    в ответ на: комментарий (анонимный, 04.09.2000)
    > что мер по привлечению к ответственности за использование нелицензированных криптосистем нет?
    Законных, то есть основанных на законе -- нет.
    А процитированный Указ Президента 1995 года, IMAO, не более чем безграмотно составленный под диктовку ФАПСИ документ, оставленный без последствий. Хотя и действует сурово, но в России суровость законов... Нет наказания. Не прописано в УК. Наказать могут только по закону и только по решению суда.
    Я уже говорил, что писать громкие приказы-указы это оне еще могут... Но оне совершенно не могут юридически грамотно (я уже про логику не говорю!) обосновать и утвердить свои претензии.
    И, между прочим, без законного наказания нет преступления. Ubi lex, ibi poena.
  • Легальность криптоухода от СОРМ

    Максим Отставнов, 05.09.2000
    в ответ на: комментарий (Keng, 05.09.2000)
    -----BEGIN PGP SIGNED MESSAGE-----

    >Ubi lex, ibi poena.

    По моему, не совсем так. В "Указе" речь идет о "шифровальных средствах". Соответственно, если законом, ведомственным или отраслевым регулированием там-то и там-то предписано использовать шифровальные средства, а ты используешь что-то другое (т.е. не аттестованные алгоритмы, не сертифицированные средства и т.п.), на тебя могут давить по каналам отраслевого регулирования. На сегодня я не знаю таких предписаний.

    Другая возможная ситуация - если я рекламирую какие-то услуги, упоминая "шифровальные средства", а сам использую нечто, не определенное как таковые, тоже можно влететь.

    Т.е. легальные "шифровальные средства" != тому, что обычно называется шифрованием, и надо об этом помнить, вот и все.
    -----BEGIN PGP SIGNATURE-----
    Version: PGP 6.5.2
    Comment: charset: mswindows-cp1251

    iQCVAwUBObRtInGCEHWOiJDhAQE50AP/RO8SZcBb6K6Gu6gWNDoS3tvWoBzBBsQI
    DISY4nXZOBDAE4RuHWH44ZqaN1aMiXcWIQKcfv4pqe7QTL/3jYm+lmU4iSgX4YuH
    N7Gij5xQQHhILg6vmldUKVCVhI+yV15ARk2hGQoDmgHIn4m+kHG+m10Fiy+Ki+sr
    p4F7rtThfmc=
    =ESea
    -----END PGP SIGNATURE-----

  • Легальность криптоухода от СОРМ

    Keng, 06.09.2000
    в ответ на: комментарий (Максим Отставнов, 05.09.2000)
    > В "Указе" речь идет о "шифровальных средствах"
    Угу. А шо це таке? Пока не договоримся о терминах, все можно под это "подгрести". Вот мой обычный компьютер (а, точнее -- какая-нибудь программа) тоже кодирует информацию, записывая ее на диск, может он(она) тоже "средство"? :) А человек прочесть без программы не может, -- значит: "шифрование"... Бред? Согласен. Но пока Законодатель не будет хотя бы четко и односмысленно определять те термины, которые он будет далее использовать, то это не законодательство будет, а бред сивой кобылы, что и имеем в настоящее время...

    > легальные "шифровальные средства" != тому, что обычно называется шифрованием
    Это Вы так определили (не спорьте, я согласен с Вами :), а оне не определили никак, то есть определят как им вздумается и не в Вашу/мою/нашу пользу.

    У меня иногда создается впечатление, что современное российское законодательство намерено пишется так, что бы всех всегда и везде держать "на крючке". Но потом я вспоминаю про квалификацию законодателей и успокаиваюсь. Это они от беспросветного невежества с примесью хамства и вседозволенности. От этого, правда, не легче, но есть надежда, что законодатель/чиновник, как существо социальное и обучаемое... :)

  • Легальность криптоухода от СОРМ

    Максим Отставнов, 06.09.2000
    в ответ на: комментарий (Keng, 06.09.2000)
    -----BEGIN PGP SIGNED MESSAGE-----

    > Угу. А шо це таке?

    Берете БД по законодательству, ищете "шифр". Находите ссылку на 334, на "государственные шифры" и на "средства анализа государственных шифров". Это все.

    В отсутствии законодательного определения будет работать ведомственное, но - в пределах ведомства и его сферы регулирования. Поэтому "шифрами" будут называться алгоритмы, аттестованные в качестве таковых ФАПСИ, а "шифровальными средствами" - сертифицированное им оборудование и ПО.

    Так что продать что-то другое и рекламировать (или описывать в коммерческой документации) это другое как "шифровальное средство" - значит, нарываться на иск со стороны ФАПСИ.

    Это все имеет чисто теоретическое значение, так как на сегодня использование "шифровальных средств" никому не предписано. Легальные акты оперируют термином "защита информации", а Гостехкомиссия сертифицирует в качестве таковых как средства, позволяющие использовать сертифицированные ФАПСИ "шифровальные средства", так и другие (см. текущий список сертифицированных средств защиты информации). Т.е. навязать "шифровальные средства" в качестве единственных шифровальных средств в гражданской сфере ФАПСИ не удается.

    -----BEGIN PGP SIGNATURE-----
    Version: PGP 6.5.2
    Comment: charset: mswindows-cp1251

    iQCVAwUBObVso3GCEHWOiJDhAQH9RwP/VgV1oHzsofxMKO+XXBItxklQGEQQ5AVj
    lWyz2EOPzaORoso8/t9GVyqhX7igc+Iq+D1mwmaUU1urhfv4QxQt0o5IrNzEEzoz
    VNl+F7hMUESG5OIrzuOLal/R13dLYOYs0Rm9XjI/Yb/ph/3GIbeSpQIbAWOiUX5x
    PimpZgVV1Jc=
    =BWDT
    -----END PGP SIGNATURE-----

  • Легальность криптоухода от СОРМ

    Keng, 07.09.2000
    в ответ на: комментарий (Максим Отставнов, 06.09.2000)
    Максим, я больше не о сути вопроса о "шифровальных средствах", а о пагубной привычке ничего точно в законах не определять.
    Вот, в Законе РФ "О федеральных органах правительственной связи и информации" в статье 11 вдруг неожиданно читаем:
    "Федеральные органы правительственной связи и информации имеют право:
    к) определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;"
    Для кого-то может быть все ясно, а для меня -- темный лес. Смотрю начало закона, может там определено, что такое "шифровальные средства"... Нет ничего. Ну, ладно, что такое "шифрование" в словаре можно почитать, на худой конец. Но что такое "шифровальное средство"? Нам что, на суд приводить филологов в качестве экспертов?
    Поймите меня правильно: допустим, что я судья и мое знакомство с "шифрами" ограничивается просмотром "Семнадцати мгновений" и рассказами про тайнописца Ульянова, и я не знаю, что это: железный аппарат с колесиками и лампочками, пузырек с невидимыми чернилами, неприметная книжка, стоящая на полке... :). Я не знаю даже того, что второе из перечисленного к шифрованию вообще не имеет отношения.
    Так что я не о шифровании, я о законотворчестве.
  • Законность Указа Президента N 334

    Предполагается, что Указ Президента " 334 от 3 апреля 1995 года (по крайней мере пункт 4) может быть признан незаконным в Верховном Суде РФ по следующим основаниям:
    Гражданский Кодекс определяя объем гражданской правоспособности юридического лица устанавливает, что на осуществление отдельных видов деятельности необходима лицензия. Это может быть деятельность как предпринимательская (т.е. основной целью которой является извлечение прибыли - п.1 ст.2 ГК РФ), так иная хозяйственная. При этом перечень таких видов деятельности устанавливается Федеральным Законом.( Абз. 3 п.1 ст.49 ГК РФ). Требование данного положения распространяется и на граждан - индивидуальных предпринимателей (п.3 ст.23 ГК РФ). Законом устанавливающим данный перечень является ФЗ " 158-ФЗ от 25.09.1998 "О лицензировании отдельных видов деятельности". Высший Арбитражный Суд и Верховный Суд в своем Постановлении " 6/8 п.19 указали, что данное требование после введения в действие 1-ой части ГК должно соблюдаться неукоснительно. Часть 1 Гражданского Кодекса введена в действие с 1 января 1995 года. Абз.2 ст.4 ФЗ "О введении в действие части первой ГК РФ" гласит, что нормативные акты Президента и Правительства РФ, изданные до введения в действие части первой Кодекса по вопросам, которые согласно части первой Кодекса могут регулироваться только федеральными законами, действуют до введения в действие соответствующих законов. Таким нормативным документом, в частности, является Постановление Правительства "О лицензировании отдельных видов деятельности" от 24 декабря 1994 года. Данным постановлением было установлено, что ФАПСИ лицензируется деятельность связанная с шифровальными средствами, деятельность связанная с предоставлением услуг по шифрованию информации, деятельность по выявлению электронных устройств перехвата информации. Президент, своим указом " 334 (п.4) отнес к такой деятельности - деятельность связанную с разработкой, производством, реализацией и ЭКСПЛУАТАЦИЕЙ шифровальных средств" (п.4). Таким образом, указом ФАКТИЧЕСКИ расширен (конкретизирован) перечень видов деятельности для осуществления которых необходима лицензия. Однако, данный Указ от 3 апреля 1995 года, поэтому, в соответствии с абз. 3 п.1 ст.49 ГК РФ и абз.2 ст.4 Вводного закона, пункт 4 противоречит Закону. Кроме того предполагается, что указ запрещая деятельность физических лиц, имеет ввиду индивидуальных предпринимателей без образования юридического лица. В противном случае он нарушает нормы Гражданского Кодекса и ФЗ " О лицензировании отдельных видов деятельности". (закон не распространяется на граждан - физических лиц). Физическое лицо может использовать системы криптозащиты для своих личных целей. Этим не будет нарушаться текущее законодательство. Единственной зацепкой для ФАПСИ является указ 334. Но его по приведенным выше основаниям можно "заломать" в Верховном Суде.
  • Легальность криптоухода от СОРМ

    Предполагается, что Указ Президента " 334 от 3 апреля 1995 года (по крайней мере пункт 4) может быть признан незаконным в Верховном Суде РФ по следующим основаниям:
    Гражданский Кодекс определяя объем гражданской правоспособности юридического лица устанавливает, что на осуществление отдельных видов деятельности необходима лицензия. Это может быть деятельность как предпринимательская (т.е. основной целью которой является извлечение прибыли - п.1 ст.2 ГК РФ), так иная хозяйственная. При этом перечень таких видов деятельности устанавливается Федеральным Законом.( Абз. 3 п.1 ст.49 ГК РФ). Требование данного положения распространяется и на граждан - индивидуальных предпринимателей (п.3 ст.23 ГК РФ). Законом устанавливающим данный перечень является ФЗ " 158-ФЗ от 25.09.1998 "О лицензировании отдельных видов деятельности". Высший Арбитражный Суд и Верховный Суд в своем Постановлении " 6/8 п.19 указали, что данное требование после введения в действие 1-ой части ГК должно соблюдаться неукоснительно. Часть 1 Гражданского Кодекса введена в действие с 1 января 1995 года. Абз.2 ст.4 ФЗ "О введении в действие части первой ГК РФ" гласит, что нормативные акты Президента и Правительства РФ, изданные до введения в действие части первой Кодекса по вопросам, которые согласно части первой Кодекса могут регулироваться только федеральными законами, действуют до введения в действие соответствующих законов. Таким нормативным документом, в частности, является Постановление Правительства "О лицензировании отдельных видов деятельности" от 24 декабря 1994 года. Данным постановлением было установлено, что ФАПСИ лицензируется деятельность связанная с шифровальными средствами, деятельность связанная с предоставлением услуг по шифрованию информации, деятельность по выявлению электронных устройств перехвата информации. Президент, своим указом " 334 (п.4) отнес к такой деятельности - деятельность связанную с разработкой, производством, реализацией и ЭКСПЛУАТАЦИЕЙ шифровальных средств" (п.4). Таким образом, указом ФАКТИЧЕСКИ расширен (конкретизирован) перечень видов деятельности для осуществления которых необходима лицензия. Однако, данный Указ от 3 апреля 1995 года, поэтому, в соответствии с абз. 3 п.1 ст.49 ГК РФ и абз.2 ст.4 Вводного закона, пункт 4 противоречит Закону. Кроме того предполагается, что указ запрещая деятельность физических лиц, имеет ввиду индивидуальных предпринимателей без образования юридического лица. В противном случае он нарушает нормы Гражданского Кодекса и ФЗ " О лицензировании отдельных видов деятельности". (закон не распространяется на граждан - физических лиц). Физическое лицо может использовать системы криптозащиты для своих личных целей. Этим не будет нарушаться текущее законодательство. Единственной зацепкой для ФАПСИ является указ 334. Но его по приведенным выше основаниям можно "заломать" в Верховном Суде.
  • Легальность криптоухода от СОРМ

    Keng, 15.09.2000
    в ответ на: комментарий (Михаил Рюмин, 15.09.2000)
    Юридические неточности, влекущие за собой большие последствия:
    > Часть 1 Гражданского Кодекса введена в действие с 1 января 1995 года
    Верно. Но интересующая нас Глава 4 ГК введена в действие с 05 декабря 1994 г. (или с 08 декабря по "Российской газете") -- см. Ст.6 ФЗ от 30 ноября 1994 г. N52-ФЗ "О введении в действие части первой Гражданского кодекса Российской Федерации".
    Таким образом, Постановление Правительства "О лицензировании отдельных видов деятельности" от 24 декабря 1994 года вышло после введения в действие 4 главы ГК.
    Обо всем этом я уже писал, кстати.
    (И сделал никем не еще оспоренный вывод, что указанное выше Постановление не является нормативным. Но это к слову...)
    В связи с вышеизложенным, аргументация должна быть другой:
    перечень отдельных видов деятельности, подлежащих лицензированию определен только в Законе и т.д.

    Отдельно отмечу еще раз: институт лицензирования неконституционен!!! См. обоснование неконституционности лицензирования То есть "Закон о лицензировании отдельных видов деятельности" может быть полностью отменен Конституционным судом.

    И вообще, повнимательнее надо...

  • Легальность криптоухода от СОРМ

    Keng, Ваше замечание справедливо. Однако это сути дела не меняет. Указ Президента " 334(равно как и Постановление Правительства от 24.12.94 года в свое время) идет вразрез с требованием установленным Вводным законом и ст.49 ГК, в связи с чем является незаконным.
    P/S: спасибо за навигацию на статьи.
  • Легальность криптоухода от СОРМ

    Keng, 17.09.2000
    в ответ на: комментарий (Михаил Рюмин, 16.09.2000)
    > Указ Президента " 334(равно как и Постановление Правительства от 24.12.94 года в свое время) идет вразрез с требованием установленным Вводным законом и ст.49 ГК, в связи с чем является незаконным.
    Ну, это ладно... А как насчет неконституционности абзаца третьего части 1 статьи 49 ГК?
    Ведь если из ГК Конституционным судом будет удален этот абзац, -- рухнет и все, что с ним связано, включая и Постановление и Указ...
  • Легальность криптоухода от СОРМ

    Михаил Рюмин, 18.09.2000
    в ответ на: комментарий (Keng, 17.09.2000)
    > А как на счет неконституционности абзаца третьего части 1 статьи 49 ГК?
    > То есть "Закон о лицензировании отдельных видов деятельности" может быть полностью отменен Конституционным Судом.

    Обоснование логично, но я очень сомневаюсь, что Конституционный Суд пойдет на отмену целого правового института.
    Дело в том, что законодатель устанавливая обязанность получения лицензии для осуществления той или иной определенной Законом деятельности,прежде всего имел ввиду деятельность юридических лиц.(п.1 ст.49 ГК). Индивидуальный предприниматель , для осуществления такой деятельности так же должен получить лицензию, но здесь имеет место косвенная зависимость - "к предпринимательской деятельности граждан соответственно применяются правила настоящего кодекса, которые регулируют деятельность юридических лиц...", к тому же "... если иное не вытекает из закона, иных НПА или существа правоотношения".(п.3 ст.23 ГК).И действительно, основная масса видов деятельности, перечисленных в Законе "О лицензировании отдельных видов деятельности" осуществляется именно юридическими лицами.
    Статьи 34,35,36,55,56 и др. Конституции относятся к Главе 2 "Права и свободы человека и гражданина". Как отмечал Конституционный Суд в своих постановлениях конституционные права человека и гражданина, закрепленные в Конституции РФ, распространяются на организации (юридических лиц) в той степени, в какой эти права по своей природе могут быть к ним применимы.(к примеру ПОСТАНОВЛЕНИЕ КОНСТИТУЦИОННОГО СУДА РФ No. 20-П от 17.12.1996). Граждане, реализуя конституционное право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом деятельности(п.1 ст.34 Конституции) создают юридическое лицо. С момента государственной регистрации последнее может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, имеет обособленное имущество и отвечает по своим обязательствам именно этим имуществом, а также получает необходимые для своей деятельности лицензии. Другими словами юридическое лицо становится самостоятельным участником гражданских и иных правоотношений. В связи с изложенным, в жалобе следует осторожно ссылаться на п.1 ст.34 и п.3 ст.55 Конституции при проверке конституционности абз.3 п.1 ст.49 ГК РФ.
    Однако, я согласен с Вами, Keng, что наши логические умозаключения и наше трактование Конституции ничего не значат до тех пор, пока Конституционный суд не выскажет своем мнение по этому вопросу.

Первая | Предыдущая | Всего: 62, страница 1 из 2 | | Последняя
01 02
[email protected] Московский Либертариум, 1994-2020