Днес слушах един подкаст, със Стивън Гибсън, собственик и основател на Gibson Research Corporation - http://www.grc.com и Лео Лапорте, собственик и основател на This Week In Tech TV - http://www.twit.tv казва се Security Now! - http://twit.tv/sn, http://www.grc.com/securitynow.htm.
В днешния епизод говориха за услугата Cloud Storage и ми стана интересно, какво ще се появи като услуги и доставчици, и като условия за употреба. Оказва се че услугите са доста посредствени, и общо взето защитата на теория е добра, данните ви са силно шифровани. Обаче има още един момент, всички услуги, не бяха толкова различни, и като слушах не останах обнадежден. Общо взето данните се съхраняват в криптирана форма, което е добре, някои избират по-силни, други по-слаби, алгоритми, с прилично дълги ключове - 128 бита или много силни 256, 384, 448 бита. Проблемът който остава, е че те имат пълен контрол над, криптографския алгоритъм, и на криптографския ключ за него, така, че колкото и оптимистични приказки да си говорят: уу ама ние гарантираме че нашите слушители няма да гледат данните ви.... ....въпреки че контролираме криптоключа и и криптиращият алгоритъм, и още куп бла-бла-бла-бла лъскави приказки, на следващият ред пишат ние работим в сътрудничество с властите, и всички служби на властие, и, когато, която и да е власт или която и да е служба поиска достъп до данните ви, ние ще се подчиним и ще декриптираме данните ви и ще ги предадем на съответната власт или служба, без да сме длъжни да ви уведомяваме и предупреждаваме за това действие от наша страна. Аз не бих се доверил на този доставчик, да ми съхранява данните, и да ми управлява акаунта, и криптоключа и криптоалгоритъма.
За това смятам сам да поема контрол над криптоключа, и над криптоалгоритъма си, и да си криптирам аз сам данните преди да ги кача където и да било. Не искам да съм зависим от някого, и да съм зависим само и единствено на неговата милост и морални и етични задръжки, докато той се разпорежда с мойта информация и докато се разпорежда с криптоключа и криптоалгоритъма които трябва да защитават мойта информация. Има безплатни програми, които се справят с това и работят със силни алгоритми, а с повече изобретателност, можете да си създадете сами убииствено силен криптоключ, и да пратите всики любопитни погледи в зоната на здрача, и да ги оставите там безпомощни.
Например прекрасна програмка, за генериране на хешове е базплатна по лиценз програма HashGenerator която прави хешове на всички масови хеш алгоритми, включително и SHA 512, който общо взето е дълъг 128 символа, ето за пример:
SHA 512 хеш, на файла notepad.exe на хард диска ми:
2f37a2e503cffbd7c05c7d8a125b55368ce11aad5b62f17aaac7aaf3391a6886fa6a0fd73223e9f30072419bf5762a8af7958e805a52d788ba41f61eb084bfe8
Не си мислете че използвам този хеш някъде, то е повече от очевидно, че щом съм го публикувал открито, не го използвам никъде за нищо. Представете си този хеш да играе ролята на криптоключ.
Сега след като изаснихме как да си правим силни криптоключове, нека изасним и един силен криптографски алгоритъм - например AES 256 - Advanced Encryption Standard 256 bit. това е най-силният алгоритъм за симетрично криптиране, дава страхотни резултати, единствената позната атака срещу него е brute force атака на криптоключа, ама как си представяте, атака, с отгатване, да отгатне тази 128 символна ужасия, в рамките на някакво разумно време. Имате 128 символа дълъг ключ, това са 95 възможни символа на позиция, това са 1.42 x 10253 възможни комбинации, тоест това е броят възможни криптоключове, които
трябва да се изпробват за да бъде отгатнат и налучкан вашият криптоключ. Изводите си остават за вас.
Програмка която криптира и декриптира файлове, използвайки AES 256 бита е AESCRYPT която също е безплатна по лиценз. След като изяснихме и криптографския алгоритъм, посто събирате важните ви файлове в един WinRAR Архив, и си правите SHA 512 хеш от някой друг файл, с HashGenerator и използватйте този хеш като криптоключ, за AESCRYPT с който да криптирате WinRAR архива.
Полученият криптиран WinRAR рахив, Можете да си го качвате навсякъде, независимо от съществуващата или липсващата сигурност, дори да ви пробият акаунта, и да получат достъп до данните ви, пак сте защитени и пак няма как да изтекат и да бъдат прочетени, или хора от доставчика коойто ви предлага услугата която ползвате да се опитват, да правят хитрини, или да предават на властите по тяхно нареждане, или да изтекат копия на файловете, нека си излизат, нека си изтичат, няма как да ги отворят за да ги прочетат или редактират или да ги използват за злоупотреби. Вие си оставате защитени, защото само и единствено вие си конролирате криптографския алгоритъм и криптографския ключ.
На всичко това се казва Pre-Internet Encryption - PIE. Защо съм нарекъл мателиала PIE-in-the-sky? от една страна за благозвучие, от друга страна, защото само идиот би си качил данните в интернет без да ги защити с достатъчно силна и адекватна форма на защита. Ако някой друг има контрол, над криптоключа ви и над криптоалгоритъма, значи, вие, нямате защита, и нямате контрол над ставащото, а този който има, той се разпорежда със ставащото и той контролира вашата защита. до колко можете да сте сигурни в защитата? не можете, да сте сигурни, защото зависите само и единствено на неговата милост и морални и етични задръжки.
А когато вие контролирате нещата не сте зависими от никого за нищо, и само вие си контролирате нещата, и никой не ви ги контролира вместо вас.
Успех и умната!
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.