27 август 2020
Либертариум Либертариум

=========================================================

Х В А Т А Й М Е Ш К И - В О К З А Л У Х О Д И Т !!!

Здравствуйте!

Microsoft вроде бы использует две технологии в своих продуктах для обеспечения безопасности Windows based сетей:

1. TLS (Transport Layer Security), протоколы HTTP-Sec, SSL, SOCK-sec; крипто алгоритмы DES, RC4,...; хэш (hash) алгоритмы MD5, SHA-1, .... Грубо говоря, сие означает, что программы сервера и клиента пишутся исключительно с применением вышеперечисленных крипто средств, а какие сети будут использоваться для общения сервера и клиента - не важно, это может быть и Internet, and Intranet, and Extranet. Важно то, что практически одинаковые крипто - результаты могут быть достигнуты и в среде Windows-95, и в Win-98,Win NT, и наконец -в Windows 2000(W2K). Классический пример - MS Internet Explorer. Получается - запрещать надо было 5 лет назад,начиная с Win-95, и W2K в данном случае не при чем...

2. VPN (Virtual Private Networking), протоколы:

- PPTP
- IPSec
- L2TP/IPSec

Здесь, в общем-то, несколько иная картина - специальные TCP/IP программы писать не надо ни для сервера, ни для клиента,а всю безопасность передачи данных через любую сеть обеспечивают VPN технологии.

2.1. Point-to-Point Tunneling Protocol (PPTP) реализован для Windows 95, 98, NT и Windows 2000 c практически одинаковыми возможностями, разница - в W2K, дополнительно к User_ID+Password authentication, реализована схема public key authentication. Конечно, можно спорить, была ли сильна Microsoft, в смысле сильного крипто, в 1996 году со своим 40-bit RSA RC4, но уже в 1997 году для граждан Канады и США был доступен 128-bit session key Crypto Service Pack...

2.2. Internet Protocol Security (IPSec) и его "попутчик" Internet Key Exchange (IKE, c реализацией 3-х authentication методов в лице Kerberos-5, Public/Private key and Passwords) - это можно найти только в Windows 2000, причем IPSec здесь реализован для работы в 2-х режимах, IPSec transport mode - для Client-to-Client, Client-to-Server и Server-to-Server коммуникаций, и IPSec tunnel mode - для Site-to-Site соединений. Перечисляю это все к тому, что можно было бы запрещать Windows 2000 из-за IPSес, кабы б с PPTP уже "разобрались бы"...

2.3. Тут совсем : "пришла беда - отворяй ворота". Layer 2 Tunneling Protocol (L2TP) упаковывает традиционные PPP frames для передачи их через сети X.25, IP, Frame Relay и потом их "подхватывает" IPSec протокол (IPSec tunnel для Site-to-Site соединений и IPSec transport для Client- Remote Access Server/or Gateway).

...Windows 2000, для целей IPSec encryption, поддерживает 56-bit DES (слабый крипто?) и 3DES (168-bit, сильный крипто?). При чем тут "сильные" и "слабые" длины ключей? Микрософт в своей новой операционке, W2K, первая в мире реализовала защищенные end-to-end соединения ВНУТРИ PRIVATE NETWORK, не говоря уже о соединениях через public network, с применением технологий VPN.... В этом то суть дела....

Виктор Ангелов.

18.02.2000

Комментарии (2)

  • ФАПСИ не будет препятствовать началу продаж Windows 2000

    angelov пишет:
    _W2K в данном случае не при чем..._
    Суета вокруг W2K возникла не потому, что это W2K, и не потому, что в нем крипто реализовано как-то по-другому, нежели в других продуктах, а потому, что в отношении Y2K производитель громогласно заявил о желании поставлять стойкие модули по всему миру. Раньше этот вопрос не возникал, поскольку было другое регулирование экспорта.
    _Windows 2000, для целей IPSec encryption, поддерживает 56-bit DES (слабый крипто?) и 3DES (168-bit, сильный крипто?). При чем тут "сильные" и "слабые" длины ключей?_
    IPSec с 3DES будет работать в Y2K только если поставить Strong CSP. С Base CSP репертуар алгоритмов защиты сетевого уровня (так же, как и всех остальных) ограничен алгоритмами с длиной ключа 56 бит (симметричный) / 512 бит (ассимметричный).
    Там нет "_двух_ групп технологий", о которых вы пишете, там есть масса различных технологий и приложений, и все они работают через механизм CAPI/CSP, и репертуар доступных для конкретной инсталляции алгоритмов/длин ключей ограничен установленным(и) CSP(s).

  • ФАПСИ не будет препятствовать началу продаж Windows 2000

    ======================================================

    Здравствуйте, Максим!

    Бог с ними, с обещаниями Микрософт - каждая домохозяйка с детства знает, что без разрешения Госдепа США американский производитель серьезно-секретных вещей экспортировать их не может. Мне лично были бы понятны опасения ФАПСИ в отношении сильного крипто, если бы слабое крипто уже было бы прозрачно для этой организации. Неужели там уже свободно "крякают" DES-56? И прочих слабаков?

    Так, читаем дальше... Максим, в русском языке для выражения какой-либо мысли-идеи-бреда с помощью нескольких предложений принято группировать эти предложения в один абзац, дабы не было соблазна выдергивать одно предложение из общего контекста с дальнейшей целью проанализировать это предложение как самостоятельную единицу. Что входит в мой абзац:

    "...Windows 2000, для целей IPSec encryption,....(и т.д. см по тексту).При чем тут "сильные" и "слабые" длины ключей? Микрософт в своей новой операционке .... реализовала защищенные end-to-end соединения .... с применением технологий VPN...В этом то суть дела..."

    Из моего абзаца выдернуто не то что предложение, а два словосочетания - "сильный крипто" и "слабый крипто", и поехали обьяснять, что для поимения сильного нужно устанавливать сильный Service Pack. "Волга впадает в Каспийское море", "Лошади любят овес"...

    Попробую пояснить свой последний абзац моей реплики. Представьте, для примера, что в некоем городе Турунтаево обьявился Добрый человек, который обещает рассказать секрет вечной жизни 10-ти человекам с правильной бумагой-пропуском. Пусть Добрый человек будет аналогом Web-server, 10 человек- это Клиенты, разбросанные волей Господней по всей России и им же наделенные правильными пропусками (пусть это будет аналог крипто), а роль Интернета играют российские авиалинии. Далее, плохие люди-Редиски, которых Господь обделил "ксивой", решили сильно затруднить богопомазанным Клиентам получить свой сервис у Доброго человека. Зная, что Добрый человек живет в Турунтаево, Редиски заполонили авиарейсы в этот город своими людьми, их же наемники образовали громадные очереди на такси\автобусы из аэропорта "Турунтаево" в город, и к самому Доброму человеку-Web server стоит фальшивая километровая очередь. И посему законным 10 Клиентам получить сервис вряд ли удастся, как и реальным Web-клиентам реального Интернета - жертвам атак DoS (Denial of Service, - flooding computer with bogus threats, killing of user threads, filling up HDD or/and memory). Другое дело было бы, если бы да кабы было бы правило - при продаже билета в Турунтаево требовать оформленный с применением крипто пропуск, и при отсутствии оного - никаких продаж билетов и тем более полетов, а при наличии оного, даже у одного человек - отправлять рейс... Есть основания полагать, что в данном случае степень сильности крипто не играет существенной роли, ибо владелец счастливого пропуска никак не заинтересован демонстрировать его кому-либо, а сам механизм транспортировки пассажира (а-ля Virtual Private Networking) обеспечивает контакт с Добрым человеком только для имеющих на это право, и Редискам - Хакерам надо изобретать что-то эдакое...

    Идем далее... Далее в ответе на мою реплику идет:

    "Там нет "_двух _групп технологий" про которую мы, то есть я, пишем, то есть пишу. Кстати, Максим, сколько нас, как Вы думаете? Ведь в русском языке "вы" означает множественное число, в отличие от "Вы"...

    По теме конкретно - где "там нет"? Что подразумевается под "там"? Если речь идет об icons для домохозяек "Please, select Transport Layer Security, or VPN" в Windows 2000, то в этом "там" этих технологий действительно нет, но нет именно в таком заманчивом виде, сиречь в кнопочном варианте "вали кулем - потом разберем". Вообще-то самый простой способ узнать, что "там" есть и чего нет - это сделать простой запрос, например, "VPN+definition" к элементарной www.altavista.com, и сей сервер вывалит про VPN - начиная от словаря Интернет Сервис-Провайдера (ISP Glossary,
    http://isp.webopedia.com/TERM/V/VPN.html) кончая историями типа той, как Микрософт комбинировала технологию Layer 2 Forwarding, created by Cisco Systems, с технологией PPP для получения собственной технологии L2TP, но в конце концов реализовав в Win 2000 стандарт L2TP, утвержденный IETF, Internet Engineering Task Force...

    А вопрос можно? Что это за " масса различных технологий и приложений", которую, по-Вашему, содержит Win 2000? E=mc*2???

    До свиданий,
    и пардон за язык,
    но -
    - с уважением,
    Виктор Ангелов.

[email protected] Московский Либертариум, 1994-2020