29 Октября, 2013

Silent Circle - инфраструктура без гаранта доверия

Игорь Агурьянов
Посетил на прошлой неделе форум " Информационная безопасность, Россия 2013 ". Больше всего хотел посетить, крайне волнующие меня секции, посвященные вопросам контроля и предотвращения утечек, но, если честно, несколько разочарован... Показалось, много воды и очевидных выводов (кто не согласен, можем подискутировать). По MDM, кстати, тоже. Зато, очень понравились "блогер-панель", которую вел Михаил Емельянников , а также общение с Филиппом Циммерманом , касательно его нового проекта Silent Circle , о котором далее и пойдет речь.

Но прежде чем перейдем к обозначенному проекту... наткнулся на видео, посвященное как раз таки той угрозе, с которой призван бороться Silent Circle:



Итак, за 10$ в месяц можно приобрести программу для смартфонов, реализующую шифрование "точка-точка" (как для переговоров, так и для передачи текста). Причем, если программа у второго абонента не будет установлена, то будет шифроваться канал "смартфон - сервер в Канаде", а потом уже по открытому каналу добираться до абонента (что приемлемо, если в модель нарушителя не вписываются спец.службы страны второго абонента).

Тот самый
"человек по середине"
Исходный код клиентской части программы - открыт. Но основное преимущество, конечно, не в этом. Дело в том, что генерация ключей происходит на конечных устройства по алгоритму Диффи-Хеллмана . Таким образом остается только проблема с атакой "человек посередине".

Решается она парадоксально простым образом - вербально. Пользователи диктуют друг-другу части хэша от своего ключа перед началом беседы. Таким образом можно отказаться от структуры PKI, требующей наличия гаранта доверия - удостоверяющего центра. И, с учетом открытого исходного кода, можно с большой степенью убежденности надеяться, что "по пути" никто ничего не расшифрует (что в УЦ не остались резервные копии секретных ключей на такой случай).

Филипп также признался, что американские спец.службы теперь выступают не сколько в роли антагонистов его деятельности (как это было в начале его карьеры), сколько в роли заказчиков. Таким образом, как считает Циммерман, прикрыть его проект будет значительно сложнее.

В общем, вещь заслуживающая внимания... но есть одно большое но. Даже если те, кто реально может перехватить ваши переговоры входят в модель угроз, то у последних есть и куда более действенные методы узнать "о чем там разговор". И речь идет не только о жучках, направленных микрофонах и более эм... примитивных но действенных мерах, но и о программных закладках в самих смартфонах (дыр в том же Android'е хватает).
или введите имя

CAPTCHA
31 Октября, 2013
Брюс Штайнер или всё-таки Брюс Шнайера?
0 |
  • Поделиться
  • Ссылка
31 Октября, 2013
Сергей (я правильно по имени пользователя имя определил?), полагаю речь в видео действительно идет о Шнайере (Bruce Schneier). Правда, не ясно, как автор "так" транслитерировал.
0 |