grifin.ru Posted May 22 · Report post Предположим вы - Эдвард Сноуден, который поругался с Путиным. Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Какие решения в примените для организации такого туннеля ? Вы не ограничены программными средствами, можете устанавливать на обеих сторонах аппаратные средства, даже не по одному. (Но чтоб было разумно. Вариант: поставить друг за другом каскад кошек - отлично масштабируемый по степени крутизны, но не профессиональный) Угроза физического доступа нарушителя к этим аппаратным средствам - считаем что неактуальна. ПЭМИН тоже не трогаем. Ключами шифрования вы, если надо, можете обменяться лично. И да, у вас нет времени проводить анализы или писать свое решение. Вы можете собрать только из того что продается. Share this post Link to post Share on other sites
Ivan_83 Posted May 22 · Report post Я бы всё же написал :) На неграфе это не шибко сложно делается. Но вообще у меня практически для этой цели сделан вебдав с самоподписным сертификатом, куда цепляется венда своим унулым клиентом, а сертификат добавлен в хранилище. Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post Не, это несерьезно ) Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Share this post Link to post Share on other sites
Sergey Gilfanov Posted May 23 · Report post 4 часа назад, grifin.ru сказал: Теоретически в железках могут быть любые бекдоры... C таким условием задаче нерешаема. 9 часов назад, grifin.ru сказал: Ключами шифрования вы, если надо, можете обменяться лично. Отлично. Если можно лично, то обмениваемся винтами на пару терабайт с шумом для использования в качестве одноразового блокнота. Для фоток хватит. Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post фотки девушки будут не ? может там и шифровать ничего не надо Share this post Link to post Share on other sites
LostSoul Posted May 23 · Report post В целом не решаемо, если будут знать что и где искать/декодировать. Единственный вариант - подмешиввть полезную секретную инфу к фоткам котиков на каком нибудь пикабу оригинальным никому не известным методом. И надеятся что аномалию никто не заметит. Если же вы путин и сноуден и вас известно где искать и слушать то задача в целом не решаема. На всем готовом и известном можно будет сделать лишь очень временное решение , которое будет расколото за n дней Share this post Link to post Share on other sites
alibek Posted May 23 · Report post Поскольку задачи утаить передачу данных нет, то одноразовый криптоблокнот - невскрываемо. Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post Давайте конкретизируем задачу: - сохранить в тайне факт передачи не требуется. - подразумеваем что нарушитель внешний - исключаем сговор нарушителя А(НБ) с нарушителем Ф(СБ) а так же использование ими в своих целей лиц, имеющих доступ в контролируемую зону (уборщицы, любовника, слесаря ЖКХ ли участкового) - исключаем сьем информации методами ПЭМИН - нарушитель не применяет термо-ректальные методы криптоанализа и вообще действует скрытно. Полагаю что для защиты от нарушителя Ф поможет банальная cisco pci-k9 за 500$ Как быть с нарушителем А ? Криптоблокнот чем лучше нормального ДПСЧ и алгоритма DH ? Этот криптоблокнот ведь тоже нужно нагенерить. Даже если один из нарушителей обладает возможностью квантовых вычислений - это ему не очень поможет, если ему неизвестен ни один ключ из пары. Share this post Link to post Share on other sites
paradox_ Posted May 23 (edited) · Report post опенвпн тунель со своими сертификатами поможет сыновьям русской демократии thread/ Edited May 23 by paradox_ Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post Только что, paradox_ сказал: опенвпн тунель со своими сертификатами поможет сыновьям русской демократии От расшифровки трафика - поможет, верю. От взлома криптошлюза, делающего этот OVPN как защититься ? Share this post Link to post Share on other sites
Ivan_83 Posted May 23 · Report post 10 часов назад, grifin.ru сказал: Не, это несерьезно ) Чо не серьёзно то сразу. В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. 10 часов назад, grifin.ru сказал: Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post правила fw которые блочат все порты кроме нужных впну - гуглятся Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post 1 минуту назад, Ivan_83 сказал: В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. Потому, что твое поделие чисто программное. Считаю что оно на том-же уровне надежности что и опенсорс (на очень высоком) :) 2 минуты назад, Ivan_83 сказал: Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. ПЭМИН мы не трогаем. 3 минуты назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post 3 минуты назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся А сигнатура пакета, при получении которого шлюз вышлет ответным пакетом все настройки и ключи тоже гуглится ? :))) Вникните в суть вопроса ) Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post 1 минуту назад, paradox_ сказал: с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс "ломают" обычно не циски, а косяки админов. Давайте немного более прфессиональную дискуссию вести. Хотите сказать про какую-то уязвимость - назовите ее. Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post 1 минуту назад, grifin.ru сказал: Вникните в суть вопроса ) я вам советую уволиться из грифин ру а если вы еще и основатель то закрыть контору и уйти в более простые заработки связь и криптография это не ваше вообще Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post 1 минуту назад, paradox_ сказал: вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Вы просто не совсем понимаете о чем идет речь. Поэтому вам кажется что все вокруг дебилы ) Не советую вам дальше участвовать в этой дискуссии, это выглядит нелепо ) Share this post Link to post Share on other sites
paradox_ Posted May 23 · Report post я рад что вы так мало знаете про циску Share this post Link to post Share on other sites
grifin.ru Posted May 23 · Report post 10 минут назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся Каждый, кто научился настраивать FW уже считает себя экспертом в области ИБ ) Share this post Link to post Share on other sites
Ivan_83 Posted May 23 · Report post 15 минут назад, grifin.ru сказал: Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Какойнить старый п3 для шифрования (там интел ме не было и рядом или коредуо на 3х чипсете, с сетевушкой отдельной) и какойнить роутер на медиатеке/атеросе для проксирования. Share this post Link to post Share on other sites
TheUser Posted May 23 · Report post 16 часов назад, grifin.ru сказал: Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Вопрос сформулирован некорректно поскольку не указано время, в течение которого никто не должен получить расшифрованные сообщения (фотки). Share this post Link to post Share on other sites
LostSoul Posted May 23 · Report post 4 часа назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны Share this post Link to post Share on other sites
Ivan_83 Posted May 23 · Report post 4 минуты назад, LostSoul сказал: вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны И? У него будет тазик который принимает и отправляет пакеты, притом сетевуха отдельная, про которую интел ме не знает, а если меланокс какой то и не умеет :) Дальше можно предположить что возможны только реакции на всякие маджик паттерны в пакетах, со стороны самой сетевухи. Ситуация несколько осложняется тем, что нужно их вставлять в живую тцп сессию и ответы при правильном фаере удастся получить тоже только в рамках этой сессии. Это ИМХО малость выше способностей мозга рылотековой сетевушки, которые обычно даже TSO не умеют. Если тоннель по юдп то несколько легче. Опять же мозга сетевухи на много не хватит, максимум что оно может это читать/писать память, если ОС её через какой нить SRV IOV (или как его) не зарезало в возможностях и если в этом тоже нет никакой волшебной дырки/окна в мир... Share this post Link to post Share on other sites
.png.ab91e50800b6e33188f8e588605101a4.png)