Сквозное шифрование становится проще благодаря расширению End-to-End

Google
Google End-To-EndВ последнее время репутация компании из Маунтин-Вью была изрядно подмочена. Шпионский скандал с АНБ, где Google числилась одним из основных поставщиков информации и свои довольно спорные инициативы. В частности, повсеместное внедрение элементов социальной сети Google+, которое было воспринято с явным недовольством. Тем не менее, Google всегда была одним из инноваторов в внедрении новых средств безопасности – Gmail поддерживал шифрованный протокол передачи данных HTTPS с самого его появления и первым внедрил двухуровневую авторизацию, Chrome регулярно возглавляет списки самых безопасных браузеров (не в последнюю очередь благодаря щедрым наградам, которые Google раздает хакерам, находящим ошибки в коде браузера). Недавно компания сообщила, что внедрила шифрование для потоков данных которые передаются между ее собственными дата-центрами – как раз чтобы помешать разного рода «трехбуквенным агентствам» считывать эту информацию.

Читать дальше →

BitMessage как прототип нового стандарта защищенных коммуникаций?

Криптография
BitMessageТема личной безопасности и защиты информации уже неоднократно поднималась мной на страницах этого блога. Я рассказывал о разного рода решениях, призванных обезопасить переписку от посторонних глаз, будь то государства, конкурента или кого-то еще. У каждого есть свои индивидуальные плюсы и минусы, но один минус является общим для всех средств стойкой криптографии на основе PGP (т.е. де-факто стандарта для защищенной электронной почты) – даже если вы умеете пользоваться средствами шифрования PGP и храните ключи в защищенном месте, и пользуетесь «чистым» железом…

То может оказаться, что вам просто некому писать. Просто потому, что почти никто из ваших знакомых не знает о том что такое PGP, не говоря уже о том, как им пользоваться. В 1991 году, когда PGP был разработан, многие считали что в ближайшие годы он станет стандартным инструментом в шифровании, но прошло больше 20 лет, а «воз и ныне там». Кое-кто считает, что дело в коммерческом интересе – когда вся почта хранится на серверах нешифрованной и провайдер может ее беспрепятственно читать, то это открывает массу возможностей для коммерциализации – в первую очередь это касается рекламы. Но все же эта причина не основная.

Читать дальше →

Жизнь под колпаком PRISM: как новые условия работы повлияют на знакомые программы и сервисы

Безопасность
Правила «игры в безопасность» изменились. Собственно говоря, для большинства разработчиков, новость о слежении с помощью PRISM была не очень-то и новостью. О том что данные их клиентов собираются, все знали и так – не было только весомых доказательств этого факта. Теперь же они появились.

Эта область довольно давно оставалась морально – и легально – серой для многих крупных сервис-провайдеров. Они были обязаны предоставлять данные о своих клиентах по запросу правоохранительных органов, но это требовало ордера суда и данные предоставлялись только в каком-то диапазоне (временном, конкретные адресаты переписки, и т.д.). Сейчас стремительно распространяется практика «харвестинга» данных, при которой правоохранительными органами, без ведома пользователей, добываются целые «пласты» данных. Это опасно тем, что в архиве переписки за несколько лет с очень большой вероятностью можно найти хоть что-то, дискридитирующее человека, если не по одной статье, то по другой. Принцип «был бы человек, а статья найдется» верен даже в самых демократических странах, если вы достаточно насолили власть предержащим.

Что это меняет? Прежде всего, правила взаимодействия с интернетом и сервисами. То, что ранее не шифровалось, будет шифроваться, и сами методы шифрования изменятся. Критически важные данные необходимо будет держать на собственных аппаратных мощностях (любопытно наблюдать как парадигма облачных вычислений переворачивается вверх дном буквально через считанные годы после ее принятия) или, если выигрыш от использования облаков существенен, в облачных, но полностью зашифрованным. В идеале, облачный сервис должен располагать минимумом информации (за пределами чисто технических характеристик), которая касается клиента.

Читать дальше →

Модель «клиентского шифрования» набирает популярность

Криптография
При использовании облачного приложения и хранении данных в облаке, вам приходится доверять сохранность своих данных той компании, которая предоставляет услуги, вместе со всеми вытекающими из этого рисками. Это компромисс, без принятия которого облачный компьютинг не мог бы существовать, и мы уже привыкли рассматривать его, если и не как нечто само собой разумеющееся, то как необходимое и неизбежное зло.

На протяжении некоторого времени эта схема работала без «побочных эффектов», но это время прошло. Череда взломов крупных и хорошо защищенных (по крайней мере, мы так думаем) сервисов продемонстрировала, что непреодолимой защиты не существует. Но это только часть проблемы.

Читать дальше →

Обзор приложений безопасной связи

Криптография
Крипто IMСейчас криптография на слуху. Учитывая все увеличивающееся количество взломов, хаков, случаев утери данных и так далее этого следует ожидать – рано или поздно надоедает ждать, когда же грянет гром и люди начинают принимать превентивные меры. Эти желания можно только поприветствовать, благо уж когда-когда, а сейчас средства коммуникации со встроенной криптографической защитой наконец-то стали одновременно доступными, бесплатными и (относительно) простыми в использовании.

Здесь должно быть ликование и возгласы “наконец-то!!!”, ибо действительно, если не сейчас, то когда? По-хорошему уже поздновато. Но стоит оговориться, что слишком много рекламы криптографии и ее инструментов тоже могут быть злом – в конце концов, идеального невзламываемого шифра не существует (точнее, он существует – это так называемый шифр Вернама, но к реалиям массового применения в интернете он мало пригоден), как и идеально написанных приложений. И непонимание этих истин и несоблюдение простых правил предосторожности могут привести к печальным результатам даже при весьма совершенных технических средствах.

Учитывая что кем-то когда-то криптографические инструменты могут использоваться и для передачи информации действительно важной и опасной, стоит как следует задуматься: готовы ли вы довериться этим инструментами? И если да, то уж наверняка стоит быть весьма придирчивым в выборе.

Именно поэтому я расскажу сегодня о четырех приложениях, которые, похоже, наиболее известны прессе и публике. Я попробую показать их эффективность с таких позиций как Качество кода, Надежность криптографии и Простота использования соответственно, отражая главные требования к приложениям такого рода. Но сначала, небольшое лирическое отступление.

Приложения, о которых я буду говорить, далеко не единственные, обеспечивающие криптографическую защиту. Сейчас практически все сервисы связи (первое что приходит в голову – Skype, BBM, iMessage) рекламируют себя как «защищенные» и, в той или иной степени, соответствуют этим обещаниям. Но «в той или иной степени» нас не интересует. Так в чем проблема с большинством популярных решений?

Все просто – само шифрование может быть неуязвимым, но перед установлением связи абонентам необходимо как-то обменяться криптографическими ключами. Это самое слабое место, так как в угоду простоте и удобству обычно ключи хранятся и/или генерируются серверами сервиса. Соответственно, если сервер сервиса будет взломан злоумышленниками (или будет принужден к раскрытию ключей властями), то никакое шифрование не поможет. И с этого ракурса все популярные сервисы одинаково ненадежны. Все они полагаются на центральный сервер для генерации и распределения ключей шифрования, а в отдельных случаях еще и для их хранения.

Новое поколение систем криптосвязи создавалось уже с учетом этой проблемы. Они не требуют от вас доверия к себе, а некоторые даже включили вероятность утечки информации с их стороны в список потенциальных угроз. Как правило, они используют асинхронные шифры и применяют их на этапе отправки сообщения, то есть через сервер информация идет уже зашифрованной. Таким образом получение информации с сервера злоумышленнику ничего не даст. Для перехвата сообщения ему придется подменить одного из абонентов.

Итак, мы разобрались с проблемами — переходим к нашим претендентам.

Читать дальше →

Wickr: Snapchat для взрослых или «я не знаю что вы делали прошлым летом»

Криптография
WikrДоводилось ли вам слышать о Snapchat? Этот IM-сервис совсем недавно завоевал огромную популярность среди пользователей на Западе, особенно молодежи. Его особенность заключается в том, что сообщения отправляемые с его помощью автоматически удаляются через заданное отправителем время.

За кратчайшее время он завоевал огромную популярность. Как оказывается, надежность средств электронной коммуникации, сохраняющих каждое слово и фотографию, которая проходит через них, плохо сочетаются с человеческой психологией, которая подталкивает нас сначала действовать, а потом думать о последствиях наших действий. Мы склонны выкладывать и пересылать информацию, которую по здравому размышлению оставили бы скрытой под влиянием сиюминутного порыва. Когда же порыв проходит, оказывается уже слишком поздно – как могут поручиться слишком многие, стереть что-либо из интернет полностью невозможно, а попытки сделать это только привлекают еще больше нежелательного внимания.

Временной лимит решает эту проблему (хотя ничто не мешает сделать скриншот, но о такой возможности догадывается меньшинство) и к тому же подталкивает собеседника следить за отправляемыми сообщениями, ведь время истекает даже пока собеседник не просмотрел сообщение, и сообщение может самоуничтожиться непрочтенным. Это заставляет обращать больше внимания на переписку, что особенно важно для подростков с их перманентным дефицитом внимания.

Те же самые причины привлекают и взрослых, но по более серьезным причинам. Такой сервис может использоваться для организации конфиденциальной переписки не оставляющей следов, что может быть весьма полезным для журналистов, диссидентов, бизнесменов, всех кто ежедневно имеет дело с конфиденциальными данными, которые лучше хранить только в памяти, и не компьютерной, но из-за нужды упираются в технические возможности Snapchat, архитектура которого не строилась с расчетом на серьезную конфиденциальности. Есть спрос, но нет предложения. Точнее, не было до недавнего времени.

Wikr – к вашим услугам →

Физическая безопасность облачных сервисов

Безопасность
Когда заходит разговор о информационной безопасности и облачных сервисах, то обычно русло беседы само собой направляется в сторону безопасности подключений, троянцев, систем управления доступом и так далее. Само собой подразумевается что злоумышленник, который захочет получить доступ к данным, будет заниматься своим черным делом с почтительного расстояния, скорее всего, сотен или тысяч километров. В самом деле, не придет же ему в голову просто зайти в дата-центр и украсть диск или считать с него информацию.

Стоп! А почему нет, если таким образом получить доступ к данным будет куда проще?

Читать дальше →

В облаках и под замком: как обезопасить хранимую в облачных сервисах информацию?

Безопасность
Шифрование данных в облакеЯ уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны — удобство и экономия, дающие преимущество над конкурентами. С другой — “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.

Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих — дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты — ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям — для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (Продолжаем про пароли), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны).

А теперь - поподробнее о сегодняшней теме →
  • +1
  • 26 декабря 2012, 13:41
  • Rainbolt

Dropbox и Google Drive получают дополнительную защиту для данных благодаря плагину BoxCryptor

Облачные сервисы
boxcryptorКомпания BoxCryptor выпустила плагин для веб-браузера Google Chrome, который наверняка будет пользоваться популярностью у корпоративных пользователей а также всех, кому не безразлична защищенность их данных. Этот экспериментальный плагин (скачать можно тут) позволяет шифровать и расшифровывать файлы, хранящиеся в таких облачных хранилищах как Google Drive или Dropbox, не прибегая к услугам приложений, которые необходимо устанавливать на компьютер.

Облачные сервисы хранения информации любят упоминать о своей защищенности, но практика показывает, что вы имеете дело с конфиденциальной информацией (и другого выхода кроме как хранение в публичном хранилище нет), то дополнительное шифрование со стороны клиента никогда не помешает. Решения, упрощающие защиту и шифрование информации являются специальностью немецкой компании BoxCryptor, решения которой уже ухватывают практически весь спектр доступных платформ — они доступны на Windows, Windows RT, Mac, Linux, iOS и Android, а с недавних пор и прямо в браузере.

Читать дальше →