[grifin.ru]

Предположим вы - Эдвард Сноуден, который поругался с Путиным. Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет.

Какие решения в примените для организации такого туннеля ?

Вы не ограничены программными средствами, можете устанавливать на обеих сторонах аппаратные средства, даже не по одному. (Но чтоб было разумно. Вариант: поставить друг за другом каскад кошек - отлично масштабируемый по степени крутизны, но не профессиональный)

Угроза физического доступа нарушителя к этим аппаратным средствам -  считаем что неактуальна. 

ПЭМИН тоже не трогаем.

Ключами шифрования вы, если надо, можете обменяться лично.

 

 

И да, у вас нет времени проводить анализы или писать свое решение. Вы можете собрать только из того что продается.

[Ivan_83]

Я бы всё же написал :)

На неграфе это не шибко сложно делается.

 

Но вообще у меня практически для этой цели сделан вебдав с самоподписным сертификатом, куда цепляется венда своим унулым клиентом, а сертификат добавлен в хранилище.

[grifin.ru]

Не, это несерьезно )

Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9.

В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры...

[Sergey Gilfanov]

4 часа назад, grifin.ru сказал:

Теоретически в железках могут быть любые бекдоры...

C таким условием задаче нерешаема.

9 часов назад, grifin.ru сказал:

Ключами шифрования вы, если надо, можете обменяться лично.

Отлично. Если можно лично, то обмениваемся винтами на пару терабайт с шумом для использования в качестве одноразового блокнота. Для фоток хватит.

[paradox_]

фотки девушки будут не ? может там и шифровать ничего не надо

[LostSoul]

В целом не решаемо, если будут знать что и где искать/декодировать.

 

Единственный вариант - подмешиввть полезную секретную инфу к фоткам котиков на каком нибудь пикабу оригинальным никому не известным методом. И надеятся что аномалию никто не заметит.

 

Если же вы путин и сноуден и вас известно где искать и слушать то задача в целом не решаема. На всем готовом и известном можно будет сделать лишь очень временное решение , которое будет расколото за n дней

[alibek]

Поскольку задачи утаить передачу данных нет, то одноразовый криптоблокнот - невскрываемо.

[grifin.ru]

Давайте конкретизируем задачу:

- сохранить в тайне факт передачи не требуется.

- подразумеваем что нарушитель внешний

- исключаем сговор нарушителя А(НБ) с нарушителем Ф(СБ) а так же использование ими в своих целей лиц, имеющих доступ в контролируемую зону (уборщицы, любовника, слесаря ЖКХ ли участкового)

- исключаем сьем информации методами ПЭМИН

- нарушитель не применяет термо-ректальные методы криптоанализа и вообще действует скрытно.

 

Полагаю что для защиты от нарушителя Ф поможет банальная cisco pci-k9 за 500$

Как быть с нарушителем А ?

 

Криптоблокнот чем лучше нормального ДПСЧ и алгоритма DH ? Этот криптоблокнот ведь тоже нужно нагенерить.

Даже если один из нарушителей обладает возможностью квантовых вычислений - это ему не очень поможет, если ему неизвестен ни один ключ из пары.

[paradox_]

опенвпн тунель со своими сертификатами поможет сыновьям русской демократии

thread/

Edited May 23, 2019 by paradox_

[grifin.ru]

Только что, paradox_ сказал:

опенвпн тунель со своими сертификатами поможет сыновьям русской демократии

От расшифровки трафика - поможет, верю. От взлома криптошлюза, делающего этот OVPN как защититься ?

[Ivan_83]

10 часов назад, grifin.ru сказал:

Не, это несерьезно )

Чо не серьёзно то сразу.

В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания.

Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает.

 

10 часов назад, grifin.ru сказал:

Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9.

В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры...

Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает...

Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже.

 

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется.

[paradox_]

правила fw которые блочат все порты кроме нужных впну - гуглятся

[grifin.ru]

1 минуту назад, Ivan_83 сказал:

В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания.

Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает.

Потому, что твое поделие чисто программное. Считаю что оно на том-же уровне надежности что и опенсорс (на очень высоком) :)

 

2 минуты назад, Ivan_83 сказал:

Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает...

Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже.

ПЭМИН мы не трогаем.

 

3 минуты назад, Ivan_83 сказал:

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется.

Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ?

[paradox_]

с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс

[grifin.ru]

3 минуты назад, paradox_ сказал:

правила fw которые блочат все порты кроме нужных впну - гуглятся

А сигнатура пакета, при получении которого шлюз вышлет ответным пакетом все настройки и ключи тоже гуглится ? :)))

Вникните в суть вопроса )

[paradox_]

вообще вы сами себя дискредитируете

как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования

[grifin.ru]

1 минуту назад, paradox_ сказал:

с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс

"ломают" обычно не циски, а косяки админов. Давайте немного более прфессиональную дискуссию вести. Хотите сказать про какую-то уязвимость - назовите ее.

[paradox_]

1 минуту назад, grifin.ru сказал:

Вникните в суть вопроса )

я вам советую уволиться из грифин ру

а если вы еще и основатель то закрыть контору и уйти в более простые заработки

связь и криптография это не ваше вообще

[grifin.ru]

1 минуту назад, paradox_ сказал:

вообще вы сами себя дискредитируете

как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования

Вы просто не совсем понимаете о чем идет речь. Поэтому вам кажется что все вокруг дебилы ) 

Не советую вам дальше участвовать в этой дискуссии, это выглядит нелепо )

[paradox_]

я рад что вы так мало знаете про циску

[grifin.ru]

 

10 минут назад, paradox_ сказал:

правила fw которые блочат все порты кроме нужных впну - гуглятся

Каждый, кто научился настраивать FW уже считает себя экспертом в области ИБ )

[Ivan_83]

15 минут назад, grifin.ru сказал:

Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ?

Какойнить старый п3 для шифрования (там интел ме не было и рядом или коредуо на 3х чипсете, с сетевушкой отдельной) и какойнить роутер на медиатеке/атеросе для проксирования.

[TheUser]

16 часов назад, grifin.ru сказал:

Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. 

Вопрос сформулирован некорректно поскольку не указано время, в течение которого никто не должен получить расшифрованные сообщения (фотки).

[LostSoul]

4 часа назад, Ivan_83 сказал:

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси,

вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны

 

[Ivan_83]

4 минуты назад, LostSoul сказал:

вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны

И?

У него будет тазик который принимает и отправляет пакеты, притом сетевуха отдельная, про которую интел ме не знает, а если меланокс какой то и не умеет :)

Дальше можно предположить что возможны только реакции на всякие маджик паттерны в пакетах, со стороны самой сетевухи. Ситуация несколько осложняется тем, что нужно их вставлять в живую тцп сессию и ответы при правильном фаере удастся получить тоже только в рамках этой сессии. Это ИМХО малость выше способностей мозга рылотековой сетевушки, которые обычно даже TSO не умеют.

Если тоннель по юдп то несколько легче.

Опять же мозга сетевухи на много не хватит, максимум что оно может это читать/писать память, если ОС её через какой нить SRV IOV (или как его) не зарезало в возможностях и если в этом тоже нет никакой волшебной дырки/окна в мир...