grifin.ru Опубликовано 22 мая, 2019 · Жалоба Предположим вы - Эдвард Сноуден, который поругался с Путиным. Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Какие решения в примените для организации такого туннеля ? Вы не ограничены программными средствами, можете устанавливать на обеих сторонах аппаратные средства, даже не по одному. (Но чтоб было разумно. Вариант: поставить друг за другом каскад кошек - отлично масштабируемый по степени крутизны, но не профессиональный) Угроза физического доступа нарушителя к этим аппаратным средствам - считаем что неактуальна. ПЭМИН тоже не трогаем. Ключами шифрования вы, если надо, можете обменяться лично. И да, у вас нет времени проводить анализы или писать свое решение. Вы можете собрать только из того что продается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 мая, 2019 · Жалоба Я бы всё же написал :) На неграфе это не шибко сложно делается. Но вообще у меня практически для этой цели сделан вебдав с самоподписным сертификатом, куда цепляется венда своим унулым клиентом, а сертификат добавлен в хранилище. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба Не, это несерьезно ) Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 23 мая, 2019 · Жалоба 4 часа назад, grifin.ru сказал: Теоретически в железках могут быть любые бекдоры... C таким условием задаче нерешаема. 9 часов назад, grifin.ru сказал: Ключами шифрования вы, если надо, можете обменяться лично. Отлично. Если можно лично, то обмениваемся винтами на пару терабайт с шумом для использования в качестве одноразового блокнота. Для фоток хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба фотки девушки будут не ? может там и шифровать ничего не надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 23 мая, 2019 · Жалоба В целом не решаемо, если будут знать что и где искать/декодировать. Единственный вариант - подмешиввть полезную секретную инфу к фоткам котиков на каком нибудь пикабу оригинальным никому не известным методом. И надеятся что аномалию никто не заметит. Если же вы путин и сноуден и вас известно где искать и слушать то задача в целом не решаема. На всем готовом и известном можно будет сделать лишь очень временное решение , которое будет расколото за n дней Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 мая, 2019 · Жалоба Поскольку задачи утаить передачу данных нет, то одноразовый криптоблокнот - невскрываемо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба Давайте конкретизируем задачу: - сохранить в тайне факт передачи не требуется. - подразумеваем что нарушитель внешний - исключаем сговор нарушителя А(НБ) с нарушителем Ф(СБ) а так же использование ими в своих целей лиц, имеющих доступ в контролируемую зону (уборщицы, любовника, слесаря ЖКХ ли участкового) - исключаем сьем информации методами ПЭМИН - нарушитель не применяет термо-ректальные методы криптоанализа и вообще действует скрытно. Полагаю что для защиты от нарушителя Ф поможет банальная cisco pci-k9 за 500$ Как быть с нарушителем А ? Криптоблокнот чем лучше нормального ДПСЧ и алгоритма DH ? Этот криптоблокнот ведь тоже нужно нагенерить. Даже если один из нарушителей обладает возможностью квантовых вычислений - это ему не очень поможет, если ему неизвестен ни один ключ из пары. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 (изменено) · Жалоба опенвпн тунель со своими сертификатами поможет сыновьям русской демократии thread/ Изменено 23 мая, 2019 пользователем paradox_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба Только что, paradox_ сказал: опенвпн тунель со своими сертификатами поможет сыновьям русской демократии От расшифровки трафика - поможет, верю. От взлома криптошлюза, делающего этот OVPN как защититься ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 мая, 2019 · Жалоба 10 часов назад, grifin.ru сказал: Не, это несерьезно ) Чо не серьёзно то сразу. В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. 10 часов назад, grifin.ru сказал: Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9. В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры... Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба правила fw которые блочат все порты кроме нужных впну - гуглятся Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба 1 минуту назад, Ivan_83 сказал: В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания. Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает. Потому, что твое поделие чисто программное. Считаю что оно на том-же уровне надежности что и опенсорс (на очень высоком) :) 2 минуты назад, Ivan_83 сказал: Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает... Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже. ПЭМИН мы не трогаем. 3 минуты назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется. Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба 3 минуты назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся А сигнатура пакета, при получении которого шлюз вышлет ответным пакетом все настройки и ключи тоже гуглится ? :))) Вникните в суть вопроса ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба 1 минуту назад, paradox_ сказал: с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс "ломают" обычно не циски, а косяки админов. Давайте немного более прфессиональную дискуссию вести. Хотите сказать про какую-то уязвимость - назовите ее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба 1 минуту назад, grifin.ru сказал: Вникните в суть вопроса ) я вам советую уволиться из грифин ру а если вы еще и основатель то закрыть контору и уйти в более простые заработки связь и криптография это не ваше вообще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба 1 минуту назад, paradox_ сказал: вообще вы сами себя дискредитируете как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования Вы просто не совсем понимаете о чем идет речь. Поэтому вам кажется что все вокруг дебилы ) Не советую вам дальше участвовать в этой дискуссии, это выглядит нелепо ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paradox_ Опубликовано 23 мая, 2019 · Жалоба я рад что вы так мало знаете про циску Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 23 мая, 2019 · Жалоба 10 минут назад, paradox_ сказал: правила fw которые блочат все порты кроме нужных впну - гуглятся Каждый, кто научился настраивать FW уже считает себя экспертом в области ИБ ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 мая, 2019 · Жалоба 15 минут назад, grifin.ru сказал: Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ? Какойнить старый п3 для шифрования (там интел ме не было и рядом или коредуо на 3х чипсете, с сетевушкой отдельной) и какойнить роутер на медиатеке/атеросе для проксирования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 23 мая, 2019 · Жалоба 16 часов назад, grifin.ru сказал: Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. Вопрос сформулирован некорректно поскольку не указано время, в течение которого никто не должен получить расшифрованные сообщения (фотки). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 23 мая, 2019 · Жалоба 4 часа назад, Ivan_83 сказал: Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 мая, 2019 · Жалоба 4 минуты назад, LostSoul сказал: вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны И? У него будет тазик который принимает и отправляет пакеты, притом сетевуха отдельная, про которую интел ме не знает, а если меланокс какой то и не умеет :) Дальше можно предположить что возможны только реакции на всякие маджик паттерны в пакетах, со стороны самой сетевухи. Ситуация несколько осложняется тем, что нужно их вставлять в живую тцп сессию и ответы при правильном фаере удастся получить тоже только в рамках этой сессии. Это ИМХО малость выше способностей мозга рылотековой сетевушки, которые обычно даже TSO не умеют. Если тоннель по юдп то несколько легче. Опять же мозга сетевухи на много не хватит, максимум что оно может это читать/писать память, если ОС её через какой нить SRV IOV (или как его) не зарезало в возможностях и если в этом тоже нет никакой волшебной дырки/окна в мир... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...