Перейти к содержимому
Калькуляторы

Самый безопасный криптошлюз.

Предположим вы - Эдвард Сноуден, который поругался с Путиным. Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет.

Какие решения в примените для организации такого туннеля ?

Вы не ограничены программными средствами, можете устанавливать на обеих сторонах аппаратные средства, даже не по одному. (Но чтоб было разумно. Вариант: поставить друг за другом каскад кошек - отлично масштабируемый по степени крутизны, но не профессиональный)

Угроза физического доступа нарушителя к этим аппаратным средствам -  считаем что неактуальна. 

ПЭМИН тоже не трогаем.

Ключами шифрования вы, если надо, можете обменяться лично.

 

 

И да, у вас нет времени проводить анализы или писать свое решение. Вы можете собрать только из того что продается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы всё же написал :)

На неграфе это не шибко сложно делается.

 

Но вообще у меня практически для этой цели сделан вебдав с самоподписным сертификатом, куда цепляется венда своим унулым клиентом, а сертификат добавлен в хранилище.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, это несерьезно )

Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9.

В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, grifin.ru сказал:

Теоретически в железках могут быть любые бекдоры...

C таким условием задаче нерешаема.

9 часов назад, grifin.ru сказал:

Ключами шифрования вы, если надо, можете обменяться лично.

Отлично. Если можно лично, то обмениваемся винтами на пару терабайт с шумом для использования в качестве одноразового блокнота. Для фоток хватит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

фотки девушки будут не ? может там и шифровать ничего не надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В целом не решаемо, если будут знать что и где искать/декодировать.

 

Единственный вариант - подмешиввть полезную секретную инфу к фоткам котиков на каком нибудь пикабу оригинальным никому не известным методом. И надеятся что аномалию никто не заметит.

 

Если же вы путин и сноуден и вас известно где искать и слушать то задача в целом не решаема. На всем готовом и известном можно будет сделать лишь очень временное решение , которое будет расколото за n дней

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поскольку задачи утаить передачу данных нет, то одноразовый криптоблокнот - невскрываемо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давайте конкретизируем задачу:

- сохранить в тайне факт передачи не требуется.

- подразумеваем что нарушитель внешний

- исключаем сговор нарушителя А(НБ) с нарушителем Ф(СБ) а так же использование ими в своих целей лиц, имеющих доступ в контролируемую зону (уборщицы, любовника, слесаря ЖКХ ли участкового)

- исключаем сьем информации методами ПЭМИН

- нарушитель не применяет термо-ректальные методы криптоанализа и вообще действует скрытно.

 

Полагаю что для защиты от нарушителя Ф поможет банальная cisco pci-k9 за 500$

Как быть с нарушителем А ?

 

Криптоблокнот чем лучше нормального ДПСЧ и алгоритма DH ? Этот криптоблокнот ведь тоже нужно нагенерить.

Даже если один из нарушителей обладает возможностью квантовых вычислений - это ему не очень поможет, если ему неизвестен ни один ключ из пары.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

опенвпн тунель со своими сертификатами поможет сыновьям русской демократии

thread/

Изменено пользователем paradox_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, paradox_ сказал:

опенвпн тунель со своими сертификатами поможет сыновьям русской демократии

От расшифровки трафика - поможет, верю. От взлома криптошлюза, делающего этот OVPN как защититься ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, grifin.ru сказал:

Не, это несерьезно )

Чо не серьёзно то сразу.

В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания.

Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает.

 

10 часов назад, grifin.ru сказал:

Я вот подумываю о схеме когда туннель организованный российскими криптошлюзами завернуть в туннель построенный, например, на базе cisco pci-k9.

В этой схеме все хорошо, за исключением того, что российские криптошлюзы построены на базе аппаратных средств иностранного производства. Сертификация до класса КВ2 включительно не декларирует отсутствие НДВ с аппаратных компонентах, а КА Сноудену не купить просто так. Теоретически в железках могут быть любые бекдоры...

Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает...

Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже.

 

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правила fw которые блочат все порты кроме нужных впну - гуглятся

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Ivan_83 сказал:

В отличии от ipsec моё поделие на 1-3к строк коду, легко верифицируемо глазами и легко доступно для понимания.

Потом вариант с https на своём сертификате и с аутентификацией тебя почему то тоже не устраивает.

Потому, что твое поделие чисто программное. Считаю что оно на том-же уровне надежности что и опенсорс (на очень высоком) :)

 

2 минуты назад, Ivan_83 сказал:

Ты мне напоминаешь чудика который тут ходил и говорил что у него дома враги всю инфу с диска воруют через электрическую сеть, типа вот инфа с диска идёт и создаёт наводки в сеть/эфир а их кто то принимает...

Утух он после того как я ему напомнил что сата кабелей длиной больше полуметра не бывает - потому что не работают они, инфа не ходит уже.

ПЭМИН мы не трогаем.

 

3 минуты назад, Ivan_83 сказал:

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси, хоть на базе того же nginx, на каких нить армах или хоть эльбрусах, они трафик пересоберут, эзернет терминируют и возможностей для встраивания управляющих команд не останется.

Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, paradox_ сказал:

правила fw которые блочат все порты кроме нужных впну - гуглятся

А сигнатура пакета, при получении которого шлюз вышлет ответным пакетом все настройки и ключи тоже гуглится ? :)))

Вникните в суть вопроса )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообще вы сами себя дискредитируете

как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, paradox_ сказал:

с учетом того что циски ломают так же как и любой линух, то лучше уж опенсорс

"ломают" обычно не циски, а косяки админов. Давайте немного более прфессиональную дискуссию вести. Хотите сказать про какую-то уязвимость - назовите ее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, grifin.ru сказал:

Вникните в суть вопроса )

я вам советую уволиться из грифин ру

а если вы еще и основатель то закрыть контору и уйти в более простые заработки

связь и криптография это не ваше вообще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, paradox_ сказал:

вообще вы сами себя дискредитируете

как вы после этого еще можете предоставлять клиентам какие то услуги связи с использованием шифрования

Вы просто не совсем понимаете о чем идет речь. Поэтому вам кажется что все вокруг дебилы ) 

Не советую вам дальше участвовать в этой дискуссии, это выглядит нелепо )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я рад что вы так мало знаете про циску

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

10 минут назад, paradox_ сказал:

правила fw которые блочат все порты кроме нужных впну - гуглятся

Каждый, кто научился настраивать FW уже считает себя экспертом в области ИБ )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, grifin.ru сказал:

Вот это уже ближе к теме. Какие-бы аппаратные средства ты выбрал-бы ?

Какойнить старый п3 для шифрования (там интел ме не было и рядом или коредуо на 3х чипсете, с сетевушкой отдельной) и какойнить роутер на медиатеке/атеросе для проксирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, grifin.ru сказал:

Вам нужно создать максимально защищенный VPN туннель со своей девушкой, чтоб никто не увидел те фотки, которые она вам шлет. 

Вопрос сформулирован некорректно поскольку не указано время, в течение которого никто не должен получить расшифрованные сообщения (фотки).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Ivan_83 сказал:

Если хочешь обезопасится от части аппаратных бэкдоров - ставь свои шифраторы за tcp прокси,

вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, LostSoul сказал:

вот только методы активации всяких закладок в железе и фирвмарях бесконечно разнообразны

И?

У него будет тазик который принимает и отправляет пакеты, притом сетевуха отдельная, про которую интел ме не знает, а если меланокс какой то и не умеет :)

Дальше можно предположить что возможны только реакции на всякие маджик паттерны в пакетах, со стороны самой сетевухи. Ситуация несколько осложняется тем, что нужно их вставлять в живую тцп сессию и ответы при правильном фаере удастся получить тоже только в рамках этой сессии. Это ИМХО малость выше способностей мозга рылотековой сетевушки, которые обычно даже TSO не умеют.

Если тоннель по юдп то несколько легче.

Опять же мозга сетевухи на много не хватит, максимум что оно может это читать/писать память, если ОС её через какой нить SRV IOV (или как его) не зарезало в возможностях и если в этом тоже нет никакой волшебной дырки/окна в мир...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.