Выпуск #58, 29.08.05

"Автомагическое" шифрование с новыми продуктами PGP // Джон Каллас

Мы основали новую корпорацию PGP, потому что имели своё виденье компьютерной безопасности, информационной безопасности и шифрования. Выразить это виденье относительно просто. Мы считаем, что всё, что вы делаете, должно быть защищено, где бы вы ни находились. Дома ли вы, на работе, в кафе, в аэропорту или на пляже, вас не должно заботить ваше местоположение. Всё, что вы делаете, должно быть защищено "автомагически".

Дальше...

Открыта возможность пожертвований проекту. Платежи принимаются через системы Яндекс.Деньги и WebMoney Transfer на любые по усмотрению отправителя суммы.

Первое за последние полгода обновление сайта. В Новостях, большей частью задним числом, опубликованы некоторые из наиболее интересных случившихся событий. Добавлено несколько документов в раздел законодательства. Опубликован новый опрос. Другие обновления впереди.

Софт // Вышла финальная версия PGP 9

Завершив цикл бета-тестирования, компания PGP Corporation выпустила финальные версии своей обновлённой линейки продуктов: PGP Desktop 9.0 и PGP Universal 2.0. Пакет PGP Desktop претерпел с версии 8.х самые значительные перемены, а код программы был переписал с нуля.

Помимо нововведений в программе, о которых мы уже писали, компания пересмотрела наименования линеек PGP и ценовую политику. Отныне средства PGP будут делиться на:

• PGP Desktop Home 9.0
  Предназначен для домашних пользователей и небольших организаций. Включает все коммерческие компоненты, за исключением Whole Disk. Аналог в предыдущей брендинг-системе – PGP Personal / Workgroup Desktop. Текущая цена за одну постоянную лицензию – $69.
• PGP Desktop Professional 9.0
  Аналог бывшего PGP Corporate Desktop, предназначен для индивидуальных пользователей и организаций, нуждающихся в полной защите своих ПК и переписки от несанкционированного доступа. Программа включает компонент Whole Disk, интегрируется с инфраструктурой PGP Universal, осуществляющей централизованное управление политикой безопасности фирмы. Цена за одну постоянную лицензию с годовой гарантией обновлений на данный момент составляет $199. Подписная лицензия обойдётся в $69.
• PGP Universal Series 100
  Комплекс PGP Universal, функционирующий в режиме шлюза для корпоративного почтового трафика. Самостоятельно формирует и осуществляет политику безопасности на основе заданных критериев, автоматически и прозрачно для пользователей шифруя, расшифровывая и подписывая передаваемые через него письма. Цена за постоянную лицензию на один внутренний почтовый аккаунт (включая годовую гарантию обновлений и базовый пакет поддержки от PGPCorp) составляет $129. Подписная лицензия стоит $49.
• PGP Universal Series 200
  Режим функционирования PGP Universal, аналогичный бывшему PGPadmin – централизованное управление и осуществление политики безопасности (но в автоматическом режиме) в отношении пользовательских средств PGP Desktop и PGP Universal Satellite (включая развёртывание самих клиентских программ). На данный момент цена постоянной лицензии на один почтовый аккаунт составляет $329, стоимость подписной лицензии – $119.
• PGP Universal Series 500
  Комбинация первых двух режимов, включая всю функциональность клиентских PGP Desktop 9.0 и централизованного прокси-шлюза с механизмами управления корпоративной политикой безопасности.

Сохранена возможность загрузки бесплатной версии программы. Теперь это тестовая версия PGP Desktop Professional 9.0, позволяющая оценить все достоинства программы (за исключением Whole Disk), но по завершении 30-дневного испытательного периода сокращающая функциональность до прежней PGP Freeware.

Обсудить

Источник: "PGP в России"

Мир OpenPGP // Инструменты анализа Сети доверия PGP на время вышли из строя

Об этом уведомил администратор системы wotsap Jorgen Cederlof. Как сказано в сообщении, проблема вызвана случившимся некоторое время назад взломом его сервера и необходимостью детального расследования инцидента.

По словам Юргена, он постарается восстановить работу wotsap в течение нескольких ближайших недель. До тех пор использование инструментов анализа Сети доверия в нашем разделе Keyserver также будет невозможно.

Обсудить

Источник: "PGP в России"

Мир OpenPGP // Создатель PGP занялся безопасностью итернет-телефонии

Автор популярного средства шифрования электронной корреспонденции Pretty Good Privacy работает над программой, которая поможет блокировать прослушивание телефонных разговоров, осуществляемых через Интернет.

Прототип своей разработки Фил Циммерман планирует представить на конференции Black Hat в Лас-Вегасе. Актуальность этой программы, по мнению автора, трудно переоценить, поскольку развертывание сервисов интернет-телефонии, особенно в корпоративном секторе, сдерживается именно опасениями за конфиденциальность разговоров. Новое приложение шифрует/дешифрует VoIP-трафик в реальном времени, что существенно затрудняет прослушивание. По заявлению г-на Циммермана, его разработкой уже заинтересовались несколько компаний.

Автор сообщил также, что не будет делать тайны из исходных кодов своего детища. Однако будут ли они формально распространяться по одной из открытых лицензий, как это было с PGP, пока неизвестно.

Обсудить

Источник: SecurityLab
Добавил: Konstantin_

Мир OpenPGP // Новые подробности о разработке Фила Циммермана

Защищённый интернет-телефон zFone будет разрабатываться совместно с PGP Corporation и будет совместим с продуктами PGP Desktop и PGP Universal. Об этом сообщил президент PGPCorp Фил Данкелбергер.

Поскольку zFone - всего лишь рабочее название продукта, Фил Циммерман объявил конкурс на лучшее название для финальной версии. Отправлять свои предложения можно на его адрес prz собака mit точка edu с темой Product name contest. Победителю обещается подпись его OpenPGP-ключа от самого Циммермана, пожизненная лицензия на программу и футболка с тем же названием. Идеи принимаются до 30 сентября.

Обсудить

Источник: "PGP в России"
Добавил: SATtva

Новости отовсюду // "Приватность в российском интернете - 2005"

Чем занимаются российские спецслужбы в интернете? Как провайдеры отслеживают своих клиентов? Об этих проблемах рассказывает аналитический отчет «Приватность в российском интернете — 2005», составленный Межрегиональной группой «Правозащитная сеть» в рамках проекта Human Rights Online. Вообще-то документ был составлен еще в 2002–2003 гг, но в него внесены изменения и дополнения по состоянию на начало 2005 г.

Российские правозащитники не спят в шапку, а пристально наблюдают и анализируют ситуацию с приватностью в российском интернете. Судя по их выводам, сейчас эту ситуацию вполне можно назвать катастрофической. Судите сами. В России нет ни одного (!) общественного объединения, чьим основным профильным направлением являлась бы защита приватности или просветительская деятельность в этой области. Может быть, этой проблемой занимается государство? Ведь в некоторых странах на страже приватности стоят специальные государственные учреждения. Но у нас — ничего подобного. Cпециальные государственные органы или должностные лица, чьей главной «профильной» задачей являлась бы защита персональных данных и приватности, отсутствуют.

Может быть, россияне вовсе не нуждаются ни в какой защите приватности? Возможно, у нас — настоящий цифровой рай, где все надежно зашифровано, никто не может получить доступ к чужой информации и все довольны? Ничего подобного. Ситуация с приватностью в России сложилась угрожающая, и она продолжает ухудшаться с каждым днем.

Во-первых, в Российской Федерации действует СОРМ-2 — система технических средств по обеспечению оперативно-розыскных мероприятий в сетях связи, включая интернет. В рамках этой системы каждый интернет-провайдер обязан установить оборудование, программы и выделенную линию для местного отделения ФСБ. Этот комплекс мер должен предоставить ФСБ возможность дистанционно отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. Сами операторы связи неохотно комментируют эту область своей деятельности, но признают сотрудничество со спецслужбами «в рамках действующего законодательства». Проблемы СОРМ широко обсуждаются операторами связи на различных конференциях и семинарах. При Ассоциации документальной электросвязи действует рабочая группа по вопросам внедрения СОРМ на сетях электросвязи. Так, в документе «Основные направления деятельности АДЭ в 2005 году» пункт 2 так и озаглавлен: «Внедрение СОРМ на сетях электросвязи».

Интернет-провайдеры оказались заложниками в этой ситуации. Они беспрекословно выдают любую информацию о своих клиентах. Большинство договоров между провайдерами и клиентами вообще не содержит упоминаний о конфиденциальности данных клиентов. Только в 22% договоров были обнаружены четкие гарантии приватности, чаще всего с оговоркой «кроме случаев, предусмотренных законодательством». Однако следует отметить, что даже в этих случаях условия конфиденциальности распространяются только на данные, полученные при регистрации, а в отношении прочей информации каких-либо условий нет.

К сожалению, СОРМ-2 — это далеко не единственные уши, которые назойливо суются в частную жизнь российских граждан. Отдельные разделы в аналитическом отчете правозащитников посвящены приватности российских граждан на сайтах интернет-магазинов, на сайтах магазинов мобильной связи, на сайтах книжных магазинов, онлайновых аукционов, а также при использовании сервисов бесплатной электронной почты.

Например, были рассмотрены 57 интернет-магазинов, торгующих компьютерной техникой в Рунете. Оказалось, что на 44 сайтах включение cookies в броузере клиента является обязательным условием (выполнить заказ с отключенными cookies невозможно). Из этих 44 сайтов лишь два предупреждают пользователя об отключенных cookies. Ни один из сайтов не содержит описания условий использования cookies. Условия конфиденциальности информации удалось обнаружить лишь на пяти сайтах. Их владельцы гарантируют сохранность и неразглашение регистрационных данных. Из шести книжных интернет-магазинов отдельной страницы с изложением политики приватности нет ни на одном. Из 12-ти бесплатных почтовых систем гарантии приватности в том или ином виде обнаружены лишь на 8 сайтах. Подробные, исчерпывающие гарантии конфиденциальности данных, включая использование cookies, предоставляют лишь rambler.ru, yandex.ru и s-mail.com. На этих сайтах политика приватности изложена в виде отдельного документа. Так же — на отдельной странице — изложили условия использования данных авторы сайта mail.ru, но менее конкретно. Только у rambler.ru и s-mail.com политика приватности доступна по ссылке с главной страницы сайта. На остальных сайтах гарантии защиты данных придется поискать. Из рассмотренных почтовых систем только четыре предоставляют защиту от несанкционированного доступа на основе SSL-шифрования, а S-mail.com, кроме того, и с использованием алгоритма PGP. В обзоре ситуации с приватностью в российском интернете правозащитники видят только один положительный момент: бесплатные программы для защиты персональной приватности легко доступны для скачивания с российских серверов. Любой желающий может пользоваться файрволами, анонимайзерами и шифровальными средствами, а также читать информацию на эту тему. В частности, многие полезные книги, брошюры, статьи, электронные публикации, законы, судебные дела, компьютерные программы и ссылки на страницы в интернете собраны на сайте «Приватность».

Обсудить

Источник: SecurityLab

Новости отовсюду // Утверждено Положение о защите информации (ПКЗ-2005)

Приказом ФСБ России от 9 февраля 2005 года N 66 утверждено Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), регулирующее отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (информация конфиденциального характера).

Также приводится перечень, которым необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера.

Обсудить

Источник: "PGP в России"

Новости отовсюду // Поисковые сайты обвиняют в тотальной слежке за пользователями

Для большинства пользователей введение запросов на поисковых сайтах стало обыденным делом. А ведь история поисковых запросов конкретного гражданина может многое о нем рассказать.

То, что поисковые сайты отслеживают историю запросов каждого конкретного пользователя и хранят эту информацию долгое время — известный факт. Слежка производится с помощью идентификационных cookies, которые записываются и хранятся на компьютере пользователя.

Теоретически, эти cookies являются анонимными, то есть не содержат информации об имени пользователя. Но в последнее время все большее количество поисковых сайтов начинают предоставлять дополнительные сервисы, которые требуют регистрации и введения личных данных: имени пользователя, адреса и т.д. Речь идет о почтовых службах, а также о других персональных сервисах на крупнейших поисковиках — Yahoo, Google, да и на тех же «Яндексе» и «Рамблере». Если вы указали реальные данные о себе, то об анонимности поиска можно забыть. Никаких проблем не составляет узнать всю вашу подноготную, включая историю болезней, список покупок, имена друзей, личные интересы и все остальное, что вы вводили в строку поиска. И если вы интересуетесь формулой гексогена, устройством запала и схемой контактов на часах «Электроника», то не удивляйтесь, если скоро в вашу дверь постучат.

В статье на сайте Wired различные эксперты рассуждают о той опасности, которую несет отслеживание пользователей со стороны поисковых сайтов.

«Я думаю, лучше иметь список поисковых запросов человека за последние 30 дней, чем список книг, которые он прочитал за год», — говорит Дэниел Брандт (Daniel Brandt), ведущий сайта Google Watch, на котором с критической точки зрения отслеживается деятельность Google. Он явно намекает на известные инициативы спецслужб по отслеживанию библиотек и проверке списка людей, которые читают определенные книги, соответствующие составленному психологическому профилю. В Америке недавно был скандал по этому поводу. Библиотекари сопротивлялись как могли, но в итоге предоставили всю информацию ЦРУ и ФБР. Анализ истории поисковых запросов может быть еще более эффективным для слежки за гражданином.

«Вам следует думать о том, что вы вводите в строку поиска, потому что это может быть не таким анонимным, как вы думаете», — говорит Дэнни Салливан, редактор известного сайта SearchEngineWatch.com, посвященного поисковым системам.

По мнению экспертов, политика приватности на крупнейших поисковых сайтах не запрещает «перекрестное» использование cookies для разных сервисов одного и того же портала. Другими словами, тот же Gmail теоретически может внедрить в ваши письма рекламу по ключевому слову, которое вы ввели в строку поиска.

Google не отрицает возможность перекрестного использования cookies, но не сообщает в точности, как они используются на самом деле. А вот компания Yahoo более откровенна: «Как только вы зарегистрировались на Yahoo и подписались на наши сервисы, вы больше не являетесь анонимным для нас», — гласят правила приватности на портале. Известно, что Yahoo показывает целевую рекламу на основании персональных пользовательских данных, а также раскрывает БД пользователей для деловых партнеров.

Недавно проведенное исследование состояния приватности на российских сайтах показало, что у нас тоже не все в порядке. Например, из 12-ти крупнейших бесплатных почтовых систем в Рунете гарантии приватности в том или ином виде обнаружены лишь на 8 сайтах.

Обсудить

Источник: SecurityLab

Криптология // Новые достижения в дифференциальном криптоанализе функций шифрования

Сложение по модулю ADD и побитовые операции (XOR и другие) совместно использовались в дизайне многих шифров. Считалась, что такая комбинация сама по себе обладает настолько хорошими нелинейными свойствами, что может даже заменить S-блоки (Шнайер и Ko и его новый шифр Helix).

Однако новые работы ставят под сомнение стойкость смешения операций. Пока все только на уровне теории. Практических результатов нет, но если они будут, то возможно будут новые прорывы в криптоанализе Blowfish, CAST, Helix, RC5-6, IDEA и в меньшей степени вероятно Twofish и MARS.

Souradyuti Paul, Bart Preneel, "Solving Systems of Differential Equations of Addition", 10th Australasian Conference on Information Security and Privacy, ACISP 2005

Souradyuti Paul, Bart Preneel, "Optimal Lower Bounds on the Number of Queries for Solving Differential Equations of Addition", IACR ePrint Archive, Report 2004/294

Обсудить

Источник: "PGP в России"
Добавил: unknown

Новости отовсюду // Закон об ЭЦП заработает через две недели

В конце апреля в России наконец-то появятся первые три официально зарегистрированных удостоверяющих центра, сообщил в ходе заседания Центра развития информационного общества («РИО-Центр») первый заместитель ФГУП НИИ «Восход» Николай Мухин. Отсутствие удостоверяющих центров является главной причиной, из-за которой закон об ЭЦП все никак не заработает. Впрочем, проблемы в законе все равно остаются.

Закон «Об электронной цифровой подписи» (ЭЦП) предполагает использование ЭЦП с депонированием ключа. При этом авторизация ЭЦП должна обязательно проводиться с помощью единой системы удостоверяющих центров. Хотя закон вступил в силу еще три года назад, удостоверяющие центры так и не заработали, а следовательно, не заработал и сам закон. Более того, некоторые эксперты считают, что закон даже ухудшил положение дел с ЭЦП, и выступают за приостановление его деятельности. «Мы используем ЭЦП еще с 97-го года, — рассказал в ходе одного из обсуждений закона заместитель начальника управления информационной безопасности Сбербанка России Сергей Гундаров. — Если до принятия закона мы руководствовались статьей 162 гражданского кодекса, то после вступления закона в силу все вопросы по регулированию ЭЦП отошли в его компетенцию. Однако, поскольку закон не работает, то фактически перестали существовать и какие-либо правовые основы для применения ЭЦП. В результате нам уже пришлось столкнуться с несколькими судебными исками, в которых истцы требуют признать использование нами ЭЦП не имеющим юридической силы».

Один из разработчиков закона, бывший глава подкомитета Госдумы по энергетике, транспорту и связи Леонид Маевский, пояснил CNews, что «главной проблемой ЭЦП в России является не соответствующий закон, а длительная борьба за право лицензирования удостоверяющих центров, происходившая между Мининформсвязью и Федеральным агентством правительственной связи и информации (ФАПСИ)». Но в 2003 году ФАПСИ было упразднено, а в марте того же года его последний руководитель Владимир Матюхин возглавил созданное при Мининформсвязи Федеральное агентство по информационным технологиям (ФАИТ). Именно это агентство и займется теперь вопросами лицензирования удостоверяющих центров.

По словам Николая Мухина, один из трех удостоверяющих центров, которые вскоре появятся, будет корневым, то есть обеспечивающим работу всех других центров. Два же других будут региональными и откроются в Северо-Западном и Южном округах.

При этом г-н Мухин добавил, что «появление удостоверяющих центров не означает отказ от внесения изменений в закон об ЭЦП». В частности, необходимо устранить неувязку с новым законом «О лицензировании отдельных видов деятельности», согласно которому деятельность ЭЦП не подлежит лицензированию. Однако Владимир Матюхин полагает, что вносить радикальные изменения в закон об ЭЦП преждевременно: «Необходимые условия для его работы созданы только сейчас. Поэтому давайте сначала посмотрим на то, как закон работает, а потому уже будем решать, что в нем следует менять».

Обсудить

Источник: SecurityLab

Новости отовсюду // Буш не доверяет электронной почте

Джордж Буш сообщил, что принципиально не пользуется электронной компьютерной почтой. «Я не пользуюсь электронной почтой. Причина этого в том, что я не хочу, чтобы кто-то читал мои личные письма», — заявил Буш, выступая в четверг Вашингтоне на ежегодной конференции Ассоциации главных редакторов ежедневных газет США, передает РИА «Новости».

В соответствии с американскими законами все виды президентской корреспонденции, включая все сообщения, оправленные и полученные через компьютер, сохраняются в обязательном порядке в Национальном архиве США и по прошествии определенного времени могут быть переданы в открытый доступ.

«Должно быть какое-то ощущение частной жизни», — сказал Буш, объясняя свой отказ пользоваться компьютером для личной переписки. «Вы имеете право знать о том, как я принимал решения, и имеете право задавать вопросы, на которые я отвечу, но я не думаю, что вы имеете право читать переписку между моими дочерьми и мною», — сказал президент США, обращаясь к американским газетчикам. «Я принял простое решение — я просто этим не пользуюсь, хотя, если об этом подумать, это печально», — констатировал глава Белого дома.

По его словам, причиной отказа от электронной почты является также то, что «в Вашингтоне все подвергается расследованию — так уж здесь все сейчас устроено». По законам США администраторам компьютерных ресурсов Белого дома категорически запрещено стирать какую-либо информацию с жестких дисков и серверов «президентских» компьютеров, которые после окончания четырехлетнего срока каждой администрации опечатываются и передаются на хранение в Национальный архив США.

Обсудить

Источник: SecurityLab

Криптология // Тайминг-атака полностью раскрывает ключ AES

Профессор D.J. Bernstein опубликовал методику полного раскрытия ключа AES в OpenSSL-сервере. Хотя Bernstein давний противник AES и сторонник шифров без S-блоков и, возможно, он не совсем объективен, нет оснований полагать, что результаты и экспериментальные данные в его работе не могут быть воспроизведены на практике.

Обсудить

Источник: "PGP в России"
Добавил: unknown

Новости отовсюду // ФСБ хочет контролировать интернет

Российские спецслужбы нуждаются в расширении полномочий по контролю за коммуникационными системами и интернетом. Об этом в четверг заявил представитель центра информационной безопасности ФСБ РФ Дмитрий Фролов на заседании Круглого стола в Совете Федерации. Круглый стол был посвящен вопросам законодательного обеспечения деятельности в области телекоммуникаций и интернет-технологий. В заседании приняли участие представители Совета Федерации, профильных министерств и ведомств, а также информационных и телекоммуникационных компаний, сообщает РИА "Новости".

Чтобы предотвратить распространение в интернете экстремистских идей, вести учет нелегальной сетевой активности, а также иметь возможность получать базы данных и регистрации телефонных абонентов с указанием их интернет-адресов - как статических, так и динамических, ФСБ предлагает выработать новые требования к компаниям-провайдерам. Спецслужбы видят острую необходимость во введении обязательной регистрации абонентов сотовой связи, учитывая их возможности выхода в Сеть. По словам Фролова, интернет является серьезным инструментом для воздействия на электорат и может использоваться различными политическими группировками для "мобилизации политических сил против властей своего государства". Неурегулированность же правовых отношений в интернете "влечет за собой угрозу распространения недостоверной и тенденциозной информации, разглашение тайн, незаконное копирование конфиденциальной информации, а также нарушение авторских прав".

Все участники Круглого стола выступили за совершенствование правового регулирования в области использования ИТ, а также защиты прав интеллектуальной собственности. Сегодня, по их мнению, российское законодательство в этой сфере необходимым требованиям не отвечает.

Против принятия специального закона по регулированию интернета выступает Министерство информационных технологий и связи РФ. В частности, замминистра Борис Антонюк заявил, что на Сеть должно распространяться уже действующее отраслевое законодательство, но взять под контроль интернет нельзя. Среди проблем, которые могли бы подпадать под уже действующее законодательство, Антонюк назвал предотвращение рассылки спама, вопросы защиты прав потребителей, приобретающих товары в онлайне, определение статуса средств массовой информации, распространяющихся через интернет. В связи с этим потребуется внесение изменений в ряд действующих федеральных законов - в законы "О рекламе", "О защите прав потребителя", в Кодекс об административных правонарушениях.

По словам заместителя руководителя Федерального агентства по техническому регулированию Евгения Петросяна, выступившего на заседании, в России в ближайшее время должны появиться новые технические стандарты по целому ряду направлений и, в первую очередь, в сфере интернет-технологий. Следует также ожидать новых технических стандартов в сфере электронного бизнеса, электронного документооборота и в области безопасности информации для обеспечения обороноспособности России.

Обсудить

Источник: Компьюлента

Новости отовсюду // Латвия обязала операторов связи шпионить за клиентами

12 мая сейм Латвии в окончательном чтении принял поправки к закону "Об электронной связи", сообщает "Коммерсант Baltic". Нововведения обязывают всех телефонных операторов и поставщиков услуг доступа в интернет шпионить за клиентами, прослушивая разговоры, перехватывая электронные письма и отслеживая перемещения пользователей в Сети. Статья о "прослушке" появилась в латвийском телекоммуникационном законодательстве еще пять лет назад, и по требованию Бюро по защите Сатверсме компании должны были создать пункт перехвата информации и подключить аппаратуру органов госбезопасности. Операторы сотовой связи LMT и Tele2 выполнили требование незамедлительно.

В конце прошлого года был принят новый закон "Об электронной связи", куда перекочевала статья о "прослушке". Но этого законотворцам показалось мало, и теперь коммерсанты обязаны не только обеспечить точку подключения, но и за свой счет покупать и регулярно модернизировать необходимое спецслужбам оборудование. Записанные разговоры должны храниться предприятиями связи в течение трех лет. На это требуются огромные средства, и непредвиденные расходы могут снизить конкурентоспособность маленьких компаний.

В наихудшем положении окажутся интернет-провайдеры, которые в силу технических особенностей не могут централизованно, из одного пункта перехвата информации, контролировать трафик, поэтому аппаратуры потребуется гораздо больше. Самому небольшому субпровайдеру только для хранения информации о клиентах понадобится 60 серверов, а стартовый комплект "шпионской техники" обойдется, как минимум, в 200-300 тысяч евро. Конкретные требования спецслужб к коммерсантам, предоставляющим телекоммуникационные услуги, пока неизвестны, но если будет введен "тотальный контроль", цены на услуги доступа в интернет в Латвии вырастут.

Обсудить

Источник: Компьюлента

Новости отовсюду // Перлюстрация исходящей корпоративной почты станет обычной практикой?

Исследование, проведённое компанией Proofprint, показывает, что около 63% крупных компаний готовы ввести цензуру или уже ввели её в отношении исходящих почтовых сообщений. Проведя опрос 332 руководителей компаний со штатом более 1000 человек, Proofprint опубликовал его результаты на своём сайте (PDF-файл, перед скачиванием необходимо заполнить короткую анкету).

Результаты эти выглядят довольно печально. Уже сейчас (опрос проводился в мае) около 36% коммерческих компаний США со штатом меньше 20 тысяч человек и 40% организаций с большим числом работников, приняли на работу людей, в чью задачу входит вычитывание всей исходящей электронной корреспонденции. Около 25%, т.е. буквально одно из четырёх исходящих сообщений, по оценкам руководителей этих компаний, содержат данные, распространение которых порождает финансовые или юридические риски. Иначе говоря, коммерческие компании боятся утечек щекотливой информации, коммерческих секретов и т.д.

27,1% компаний за последние 12 месяцев увольняли работников за нарушение корпоративной политики в отношении почтовых сообщений, а примерно 50,6% компаний подвергали дисциплинарным взысканиям своих работников - всё за те же нарушения корпоративных правил пользования электронной почтой. Более 30% компаний проводили за последний год внутренние расследования в связи с нарушениями конфиденциальности или правил использования секретной информации.

10,5% компаний получили предписания от суда или регулирующих органов представить архивы почтовых сообщений своих работников. И около 70% компаний проявляют "крайнюю озабоченность" относительно использования работниками таких сервисов, как Hotmail.com или Gmail.com, поскольку эти почтовые службы представляют собой отличный канал для утечек конфиденциальных данных. 60% компаний считают "зонами риска" интернет-пейджеры типа ICQ, AIM и т.д.

Обсудить

Источник: Компьюлента

Новости отовсюду // На каждого россиянина заведут дело

Шансы россиян скрыть свою частную жизнь от бдительного ока государства тают на глазах. Каждого жителя страны учтут и пронумеруют. Правительство РФ одобрило концепцию создания системы персонального учета населения (СПУН), которая объединит уже существующие различные информационные системы учета населения и даст чиновникам возможность с легкостью обмениваться персональными данными граждан. Масштаб системы впечатляет - впервые все и обо всех будет храниться в одной базе.

СПУН россиян пугают с конца прошлого года. Это система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах РФ, иностранных гражданах и лицах без гражданства, временно пребывающих в РФ. В основу системы ляжет государственный регистр населения (ГРН), включающий уникальный для каждого человека идентификатор персональных данных и соответствующие ему идентификационные сведения. Речь идет о биометрических данных - отпечатках пальцев и снимках радужной оболочки глаза.

Эксперименты по внедрению ГРН уже ведутся в Москве, Санкт-Петербурге, Московской, Ярославской и Калининградской областях и Ханты-Мансийском автономном округе. Разработкой ГРН занимается ФГУП НИИ 'Восход', создавшее государственную автоматизированную систему 'Выборы'.

Разрозненные данные
Напомним, сегодня в России существует порядка 18 ведомственных баз данных, которые, как правило, не стыкуются между собой - в момент их создания отсутствовала какая-либо интеграция, не было единой методики их создания. Самая большая база данных, основанная на результатах переписи населения, хранится в статистическом ведомстве. Она содержит информацию о фамилии, имени и отчестве, поле, дате рождения, совместно проживающих родственниках, семейном положении, месте рождения и гражданстве. Статистики имеют также сведения о том, к какой национальности вы себя причисляете и владеете ли вы русским и иностранными языками. Точных данных о доходах у статведомства нет: есть только сведения о том, откуда вы получали средства к существованию.

Базы данных выданных паспортов, которые существуют у МВД, имеют свой недостаток: общероссийской паспортной базы данных пока у этого ведомства просто нет. В каждом регионе этим вопросом занимается паспортно-визовое управление, которому непосредственно подчиняются паспортные столы. Есть база данных и у ФНС: данные паспортов руководителей фирм, перерегистрация которых закончилась в 2002 году. Базы других ведомств, например Минздравсоцразвития, также отличаются неполнотой: в них содержатся данные только по тем категориям граждан, которыми это ведомство занимается. Недавно в рамках ФЦП 'Электронная Россия' Минэкономразвития начало ряд пилотных проектов по объединению государственных информационных ресурсов, в первую очередь паспортных столов, ЗАГСов и ЖКХ для наилучшего учета населения.

Семь лет спокойного сна, а потом...
На создание концепции СПУН по плану должно уйти лет семь. Но чиновники тянуть не намерены. Чтобы СПУН стала явью, Министерству экономического развития и Министерству информационных технологий и связи поручено представить правительству проекты решений о внесении изменений в федеральную целевую программу 'Электронная Россия (2002-2010 годы)' уже во втором квартале этого года.

Главное, чего стоит опасаться гражданам, - угроза утечки данных из системы. Она может произойти по массе причин, и в нынешних российских реалиях кажется, к сожалению, почти неизбежной. Это понимают, в частности, в Центральной избирательной комиссии (ЦИК), участвующей в разработке концепции СПУН. О многом говорит хотя бы тот факт, что ЦИК сегодня гарантирует защиту информации в ГАС 'Выборы' только на стадии входа, когда данные поступают от глав муниципальных образований, ЗАГСов, милиции. «Во время выборов на нашу систему (ГАС 'Выборы') было совершено несколько атак, но нам удалось их отразить, - пояснила ГАЗЕТЕ член ЦИК Елена Дубровина. - Насколько будет защищена информация в новой системе, мне сказать сложно. Но я как гражданин надеюсь, что доступ к новой системе будет строго ограничен - ведь там содержится информация личного характера, не предназначенная для широкого круга пользователей».

Другие возможные проблемы - коррумпированность чиновников всех уровней (любую информацию о гражданах из уже существующих баз при желании можно купить за вполне приемлемые деньги), безграмотность в сфере высоких технологий и низкий уровень компьютеризации страны. К примеру, все в той же ЦИК отмечают, что получать нужную информацию бывает сложно, поскольку не везде в милиции есть компьютеры.

Обсудить

Источник: ГАЗЕТА

Криптология // Разработана концепция сверхмощного квантового компьютера

Сотрудники исследовательской лаборатории Hewlett-Packard в Бристоле (Великобритания) и японского Национального института информатики разработали концепцию квантового компьютера, в котором отдельные фотоны света будут использоваться для обработки "квантовых битов" (кубитов) информации.

Речь идёт о практическом использовании особенностей квантовой физики, например, принципа суперпозиции. Предполагается, что квантовые компьютеры смогут производить несколько вычислений одновременно, используя то обстоятельство, что квантовые частицы могут пребывать одновременно в нескольких различных состояниях.

Существует множество концепций квантовых компьютеров, и несколько исследовательских объединениё уже преуспели в создании очень простых квантовых вычислительных устройств. Наиболее популярный метод подразумевает управление заряженными атомными частицами посредством электромагнитных полей. Прежние концепции, использующие частицы света, демонстрировали катастрофическую нестабильность.

Разработчики из HP и токийского Института информатики, впрочем, утверждают, что их детище будет и стабильным, и прекрасно масштабируемым. В предлагаемой системе лазерные лучи будут использоваться как средство связи между оптическими кубитами. Информация о квантовом состоянии кубитов будет собираться в луче и обрабатываться путём измерения луча. Таким образом, обработка квантовой информации станет куда проще, поскольку лучи легче контролировать, чем отдельные частицы света.

Исследователи рассчитали, что эта схема может быть использована для построения логических вентилей. Увязывание между собой нескольких вентилей позволит создать и более сложные компоненты. Кроме того, фотоны можно использовать для передачи информации между отдельными компьютерами, так что специалисты полагают, что таким образом удастся увязать квантовые вычисления с коммуникационными системами, построенными на базе световых импульсов.

Обсудить

Источник: Компьюлента

Новости отовсюду // За отказ предоставить ключ к шифру в Великобритании будут сажать в тюрьму

Ассоциация офицеров полиции Великобритании (Association of Chief Police Officers, ACPO) вручила членам парламента перечень рекомендаций по борьбе с терроризмом. В документе предлагается считать преступлением отказ от предоставления властям ключей к шифру и использование интернета для содействия терактам.

На прошлой неделе в заявлении для прессы председатель Комитета по делам терроризма и пособничества ACPO Кен Джоунс сказал: «Нарастающая природа современной угрозы со стороны международного терроризма требует, чтобы те, кто отвечает за противостояние этой угрозе, владели необходимыми для своей работы инструментами. Часто бывает, что с целью защиты общества необходимо вмешаться и пресечь на ранней стадии тех, кто намерен заниматься подрывной деятельностью. Ясно, что наше законодательство должно отражать всю серьезность борьбы с терроризмом».

<...>

Полиция уже поняла, что время, необходимое для взлома шифра, замедляет ход расследования, и правила, запрещающие людям прятать секретные ключи, уже включены в «Закон о следственных мероприятиях» (Regulation of Investigatory Powers Act). Однако этот закон еще не утвержден Министерством внутренних дел, а полиция уже просит новых полномочий.

ACPO заявляет: «Недавние расследования столкнулись со значительными трудностями, когда следователям приходилось выяснять ключи шифра для доступа к компьютерам и т. п. Поправка в третью часть "Закона о следственных мероприятиях" сделает преступлением отказ от предоставления такой информации, позволив применять определенные санкции против подозреваемых, отказывающихся сотрудничать со следствием».

Однако Джейнс из Ibas отмечает, что пароль можно забыть. «Это сработает только в том случае, если сделать наказание (за сокрытие) таким же (суровым), как за то преступление, которое расследуется. Почему я должен передавать ключ к шифру, если я не участвовал в актах терроризма? Ведь может же человек забыть пароль?»

Spy.org.uk оспаривает эту позицию. Представитель пишет: «По-видимому, ACPO как раз и пытается предотвратить возможность защиты типа "я, правда, забыл свой пароль PGP", что просто нечестно. Тем не менее это не исключает слабость третьей части закона по отношению к обманным ключам шифра».

Обсудить

Источник: SecurityLab

Софт // Новое ПО защитит пароли пользователей от фишеров

Новая технология PwdHash должна уберечь посетителей банковских и других сайтов, на которых приходится вводить персональные данные, от кражи паролей фишерами. PwdHash предполагает хэширование пароля пользователя с доменным именем сайта.

PwdHash представили ученые из Стэндфордского университета. По словам одного из разработчиков, Дэна Бонея (Dan Boneh), в результате фишинг-атаки обманутые пользователи попадают на поддельные сайты фишеров и отсылают на ложный сайт свои пароли. Ситуацию усугубляет тот факт, что пользователи зачастую используют один и тот же пароль на нескольких сайтах, так что фишинг-атака на один из сайтов выявляет пароли и для остальных.

Боней и его коллега Джон Митчелл (John Mitchell) уверяют, что могут изменить ситуацию. Их научно-исследовательская группа разработала расширение к популярным браузерам, которое обеспечивает безопасность паролей, практически не меняя при этом привычного хода работы в Интернете.

Чтобы начать хэширование пароля, пользователям перед его вводом нужно набрать символы "@@" или нажать клавишу F2. Для эффективной защиты с помощью PwdHash, пользователи должны поменять свои пароли на тех сайтах, где у них есть аккаунты.

PwdHash автоматически заменяет пароль, вводимый пользователем: при хэшировании с помощью разработанного алгоритма комбинируется пароль и имя домена сайта, на котором пользователь находится. В результате получается пароль, уникальный для каждого сайта, - даже в тех случаях, когда пользователь вводит одну и ту же последовательность символов на разных сайтах.

Если потенциальная жертва фишинга попадет на поддельный фишерский сайт и введет свой пароль, фишеры получат хэшированый пароль, сгенерированный PwdHash именно для их сайта и не соответствующий паролю для легитимного сайта.

Разработчики предупреждают, что PwdHash не работает с навигатором AOL. Кроме того, технология не сможет защитить пользователей, на компьютерах которых установлены программы, считывающие набираемые на клавиатуре символы. Такие программы могут загружаться, в частности, с некоторых фишерских сайтов.

Помимо PwdHash эта же команда ученых ранее разработала еще одно расширение к браузерам - SpoofGuard. SpoofGuard может распознавать нелегитимные сайты и предупреждает интернет-пользователей о том, что они попали на поддельные веб-страницы. Чтобы избежать ловушек фишеров, пользователям надо просто следить за экраном своих компьютеров.

Обсудить

Источник: Stanford Report

Софт // Новые черновые спецификации безопасности в IM-протоколе Jabber

На рассмотрение организации Jabber Software Foundation, развивающей и продвигающей открытый IM-протокол Jabber, были переданы новые спецификации подсистемы шифрования и аутентификации переписки. Предложенные схемы во многом схожи с протоколом Off-the-Record Messaging, существующем в виде плагина к популярному в Linux-сообществе IM-клиенту GAIM, и обеспечивают следующие свойства:

• шифрование сообщений;
• аутентификацию собеседников;
• защиту от атаки с повторной передачей (replay attack);
• perfect forward secrecy;
• возможность отречения;
• поддержку offline-режима.

Как и в случае с плагином OTR Messaging, свойство отречения (в противовес неотречению, обеспечиваемому цифровыми подписями) достигается благодаря применению MAC-кодов для аутентификации сообщений: завершив переговоры, собеседники могут опубликовать свой общий MAC в интернете, после чего ни одного из них нельзя будет "поймать за язык", если содержание разговора вдруг будет раскрыто.

Учитывая стремительное улучшение атак на традиционные хэш-функции, авторы протокола рекомендуют использовать в его реализации алгоритм хэширования Whirlpool.

Спецификации носят черновой характер и будут дорабатываться. Если впоследствии они будут утверждены рабочей группой JSF, спецификации будут добавлены в расширенную часть протокола Jabber (JEP) и могут быть реализованы в Jabber-совместимых клиентах.

Обсудить

Источник: "PGP в России"

Новости отовсюду // Активизация сетевого прослушивания в Евросоюзе

Режим тотального контроля за всеми видами электронной связи и коммуникаций вообще ужесточается с каждым днем. Достоянием гласности стал проект документа, согласно которому в странах Евросоюза данные обо всех телефонных и других переговорах, а также информация обо всех видах электронной переписки вообще, должна будет храниться до одного года.

В последней версии проекта директивы, текст которой обнародовала Европейская организация по цифровым правам (European Digital Rights organisation), акцент делается на стандартизации количества, типов и периода времени, в течение которого провайдеры коммуникационных сервисов обязаны будут хранить всю информацию о телефонных звонках их клиентов, переданных по электронной почте сообщениях, SMS и сообщениях, переданных с помощью сервисов Instant Messaging, а также о других видах электронной связи и передачи данных. «Новинкой» документа можно считать внедрение в систему шпионажа за простыми гражданами технологии определения местоположения телефонного абонента на базе location-based сервисов.

Документ предписывает провайдерам проводной и мобильной связи хранить информацию на протяжении одного года, провайдерам IP-телефонии — на протяжении шести месяцев. Как сообщает Silicon.com, записи самих телефонных переговоров и текстовых сообщений храниться не будут, однако правоохранительные органы получат доступ к информации об абонентах и их местоположении в момент разговора, времени и продолжительности звонков, и т.д.

По мнению Евросоюза, речь идет об «ограниченном ограничении личных свобод» и «ограниченном воздействии на конкурентоспособность отрасли электронной связи» в связи с тем, что европейский телеком вынужден будет хранить огромные массивы информации. Более того, предусмотрены компенсации провайдерам.

Организации по защите гражданских свобод и прав человека встали стеной против законопроекта. В петиции, направленной ими в Евросоюз с призывом отказаться от принятия законопроекта, говорится: «нигде в Европе не было проведено ни одного исследования, результаты которого подтвердили бы необходимость и важность для целей борьбы с преступностью и терроризмом создания подобной крупномасштабной базы данных, содержащей столь щепетильные сведения».

Аналогичный вердикт вынес в минувшем месяце и Европейский парламент, заключивший, что необходимо рассмотреть альтернативные предложения по контролю за обменом информацией, предложенные четырьмя другими странами Евросоюза. В отчете Европарламента говорится, что имеются «серьезные сомнения в законности и адекватности предложенных мер», а также подчеркивается, что принятие этого документа «тяжким бременем» ляжет на провайдеров — объем первоначальных вложений, необходимых для реализации подобного рода мер, в расчете на одного оператора составит в среднем €180 млн., а ежегодные затраты — около €50 млн.

Обсудить

Источник: CNews
Добавил: unknown

Криптология // CRYPTO-2005 и "Onion Routing"

В эти дни в американском городе Санта-Барбара проходит крупнейшая ежегодная конференция CRYPTO-2005, в которой участвуют ученые криптографы со всего мира. Так же, как и в прошлом году, будет организована web-трансляция некоторых мероприятий.

Помимо обсуждения проблем с хэш-функциями SHA, одной из интересных тем будет презентация формального анализа протокола анонимной передачи данных "Onion Routing", используемого, в том числе, и в сети TOR: "A Formal Treatment of Onion Routing", Jan Camenisch (IBM Research. Zurich research LAB) and Anna Lysyanskaya (Computer Science Department. Brown University) with respect of Ron Rivest.

Широкие исследования криптографов мирового уровня свидетельствуют о все большей потребности развитых обществ в системах анонимных коммуникаций, о чем и говориться в предисловии к этой работе. Однако формальный анализ протоколов, оценка рисков и угроз, планирование такого рода сетей все еще остаются малоисследованными областями криптографической науки.

Обсудить

Источник: "PGP в России"
Добавил: unknown

Криптология // Дальнейшее снижение стойкости SHA-1 по материалам CRYPTO-2005

На конференции CRYPTO-2005, проходящей при поддержке IACR (Международной Организации Криптологических Исследований) Adi Shamir в ходе так называемой "Rump session" представил и прокомментировал результаты исследований Xiaoyun Wang, Andrew Wao и Frances Wao. (У криптографов из-за пределов Америки снова проблемы с визами).

Новая атака на поиск коллизий хэш-функции SHA-1 имеет комплексность от 2⁶³ до 2⁶⁹, и, по мнению Шамира, может быть практически реализована путем распределенных вычислений через Интернет.

Вот еще один забавный блог рядового участника конференции: http://cipherboy.blogspot.com/

Обсудить

Источник: "PGP в России"
Добавил: unknown

Криптология // PQCrypto-2006 и постквантовая криптография

Если в будущем будут построены квантовые компьютеры, то все ныне существующие алгоритмы с открытым ключем (RSA, DSA, ECDSA) в худшем случае будут уничтожены, а все шифрованные ими сообщения прочитаны.

И хотя вероятность этого мала, криптографическое сообщество разрабатывает подходы к построению мира постквантовой криптографии. Первая конференция PQCrypto состоится в 2006 году. Организовывать проведение конференции будет европейская криптологическая организация ECRYPT.

Обсудить

Источник: "PGP в России"
Добавил: unknown

Криптология // Обход ограничений доступа к ключу за счет новых тайминг-атак

Новые достижения в тайминг-атаках на примере шифрования AES (Dag Arne Osvik, Adi Shamir, Eran Tromer, "Cache attacks and Countermeasures: the Case of AES") ставят под угрозу безопасность многих систем, делая бесполезным разделение контроля доступа к ключу. В тестовых примерах на OpenSSL и Linux dm-crypt/cryptoloop ключ раскрывался за несколько сотен или тысяч попыток в считанные секунды. Любой пользователь или процесс системы, какими бы ограниченными правами он ни обладал, может проделать эту операцию, например, если у него есть право на запись хотя бы одного файла в шифрованном разделе (контейнере).

Атаки основаны на измерении скорости работы кэш-памяти процессора при проведении пробных шифрований. Они также могут быть использованы удаленно. Например, посылая пакеты через VPN, пользователь может вычислить ключ VPN, который используется и другими пользователями, а затем расшифровать данные из их потоков. Нечто аналогичное было использовано против сети tor.

Актуальна такая атака должна быть для операционных систем, находящихся на полностью шифрованном диске: любое, самое незначительное приложение сможет выполнить быструю серию пробных шифрований и вычислить ключ, хотя для прямого доступа к ключу у него нет прав. Для однопользовательских систем, подключенных к Интернету, эту работу могут выполнить ActiveX-компоненты, Java-апплеты и JavaScript, которые, казалось бы, должны быть изолированы от прямого доступа к ключам шифрования. Небезопасен в этом плане и запуск программ в изолированном окружении – виртуальных машинах, "песочницах" (sandbox), chroot-jail environment. Также от таких атак могут пострадать системы управления цифровыми правами – DRM.

Помимо шифрования AES могут быть уязвимы DES-подобные шифры, RSA, ECC и др. В меньшей мере – криптопримитивы без S-блоков или времязависимых операций (Serpent, SHA).

Частичное решение проблемы тайминг-атак, по мнению исследователей, может быть достигнуто, к примеру, в Linux-системах, за счет того, что криптографические примитивы включены в ядро ОС, и к ним можно ограничить доступ "недоверенных" процессов. Альтернативный вариант – поддержка операционной системой специальных режимов для "чувствительных" участков кода.

По этому поводу вспоминаются слова Шнайера, который утверждал, что криптография в ненадежных операционных системах бесполезна, а безопасных ОС, специально рассчитанных на использование криптографических протоколов, еще не создано и не появится в ближайшее время.

Обсудить

Источник: "PGP в России"
Добавил: unknown

Ведущий рассылки SATtva, ID 0x4D8BB49E

subscribe@pgpru.com

Ключ заверения рассылки: ID 0x3F132D3B

http://www.pgpru.com/contacts/

© 2001-2002 Double Star, © 2003-2005 Владислав "SATtva" Миллер. Все права защищены. PGP и логотип PGP являются зарегистрированными торговыми марками PGP Corporation. Воспроизведение эементов дизайна и материалов рассылки в любом виде в Интернет, печатных изданиях и иных источниках без письменного согласия авторов запрещено.