grifin.ru Posted May 22, 2019 Предположим вы - Эдвард Сноуден, который поругался с Путиным. Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Какие решения в примените для организации такого туннеля ? Вы не ограничены программными средствами, можете устанавливать на обеих сторонах аппаратные средства, даже не по одному. (Но чтоб было разумно. Вариант: поставить друг за другом каскад кошек - отлично масштабируемый по степени крутизны, но не профессиональный) Угроза физического доступа нарушителя к этим аппаратным средствам - считаем что неактуальна. ПЭМИН тоже не трогаем. Ключами шифрования вы, если надо, можете обменяться лично. И да, у вас нет времени проводить анализы или писать свое решение. Вы можете собрать только из того что продается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 22, 2019 Я бы всё же написал :) На неграфе это не шибко сложно делается. Но вообще у меня практически для этой цели сделан вебдав с самоподписным сертификатом, куда цепляется венда своим унулым клиентом, а сертификат добавлен в хранилище. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 Не, это несерьезно ) Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted May 23, 2019 4 часа назад, grifin.ru сказал: Теоретически в железках могут быть любые бекдоры... C таким условием задаче нерешаема. 9 часов назад, grifin.ru сказал: Ключами шифрования вы, если надо, можете обменяться лично. Отлично. Если можно лично, то обмениваемся винтами на пару терабайт с шумом для использования в качестве одноразового блокнота. Для фоток хватит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 фотки девушки будут не ? может там и шифровать ничего не надо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted May 23, 2019 В целом не решаемо, если будут знать что и где искать/декодировать. Единственный вариант - подмешиввть полезную секретную инфу к фоткам котиков на каком нибудь пикабу оригинальным никому не известным методом. И надеятся что аномалию никто не заметит. Если же вы путин и сноуден и вас известно где искать и слушать то задача в целом не решаема. На всем готовом и известном можно будет сделать лишь очень временное решение , которое будет расколото за n дней Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 23, 2019 Поскольку задачи утаить передачу данных нет, то одноразовый криптоблокнот - невскрываемо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 Давайте конкретизируем задачу: - сохранить в тайне факт передачи не требуется. - подразумеваем что нарушитель внешний - исключаем сговор нарушителя А(НБ) с нарушителем Ф(СБ) а так же использование ими в своих целей лиц, имеющих доступ в контролируемую зону (уборщицы, любовника, слесаря ЖКХ ли участкового) - исключаем сьем информации методами ПЭМИН - нарушитель не применяет термо-ректальные методы криптоанализа и вообще действует скрытно. Полагаю что для защиты от нарушителя Ф поможет банальная cisco pci-k9 за 500$ Как быть с нарушителем А ? Криптоблокнот чем лучше нормального ДПСЧ и алгоритма DH ? Этот криптоблокнот ведь тоже нужно нагенерить. Даже если один из нарушителей обладает возможностью квантовых вычислений - это ему не очень поможет, если ему неизвестен ни один ключ из пары. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 (edited) опенвпн тунель со своими сертификатами поможет сыновьям русской демократии thread/ Edited May 23, 2019 by paradox_ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 Только что, paradox_ сказал: опенвпн тунель со своими сертификатами поможет сыновьям русской демократии От расшифровки трафика - поможет, верю. От взлома криптошлюза, делающего этот OVPN как защититься ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 23, 2019 10 часов назад, grifin.ru сказал: Не, это несерьезно ) Чо не серьёзно то сразу. В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. 10 часов назад, grifin.ru сказал: Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 правила fw которые блочат все порты кроме нужных впну - гуглятся Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 1 минуту назад, Ivan_83 сказал: В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. Потому, что твое поделие чисто программное. Считаю что оно на том-же уровне надежности что и опенсорс (на очень высоком) :) 2 минуты назад, Ivan_83 сказал: Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. ПЭМИН мы не трогаем. 3 минуты назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 3 минуты назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся А сигнатура пакета, при получении которого шлюз вышлет ответным пакетом все настройки и ключи тоже гуглится ? :))) Вникните в суть вопроса ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 1 минуту назад, paradox_ сказал: с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс "ломают" обычно не циски, а косяки админов. Давайте немного более прфессиональную дискуссию вести. Хотите сказать про какую-то уязвимость - назовите ее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 1 минуту назад, grifin.ru сказал: Вникните в суть вопроса ) я вам советую уволиться из грифин ру а если вы еще и основатель то закрыть контору и уйти в более простые заработки связь и криптография это не ваше вообще Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 1 минуту назад, paradox_ сказал: вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Вы просто не совсем понимаете о чем идет речь. Поэтому вам кажется что все вокруг дебилы ) Не советую вам дальше участвовать в этой дискуссии, это выглядит нелепо ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted May 23, 2019 я рад что вы так мало знаете про циску Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted May 23, 2019 10 минут назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся Каждый, кто научился настраивать FW уже считает себя экспертом в области ИБ ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 23, 2019 15 минут назад, grifin.ru сказал: Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Какойнить старый п3 для шифрования (там интел ме не было и рядом или коредуо на 3х чипсете, с сетевушкой отдельной) и какойнить роутер на медиатеке/атеросе для проксирования. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted May 23, 2019 16 часов назад, grifin.ru сказал: Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Вопрос сформулирован некорректно поскольку не указано время, в течение которого никто не должен получить расшифрованные сообщения (фотки). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted May 23, 2019 4 часа назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 23, 2019 4 минуты назад, LostSoul сказал: вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны И? У него будет тазик который принимает и отправляет пакеты, притом сетевуха отдельная, про которую интел ме не знает, а если меланокс какой то и не умеет :) Дальше можно предположить что возможны только реакции на всякие маджик паттерны в пакетах, со стороны самой сетевухи. Ситуация несколько осложняется тем, что нужно их вставлять в живую тцп сессию и ответы при правильном фаере удастся получить тоже только в рамках этой сессии. Это ИМХО малость выше способностей мозга рылотековой сетевушки, которые обычно даже TSO не умеют. Если тоннель по юдп то несколько легче. Опять же мозга сетевухи на много не хватит, максимум что оно может это читать/писать память, если ОС её через какой нить SRV IOV (или как его) не зарезало в возможностях и если в этом тоже нет никакой волшебной дырки/окна в мир... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...