Всегда интересовал вопрос насколько существующие аглоритмы ширования и технологии - SSL, HTTPS proxy, Tor, PGP и прочая лабуда - на которых кстати строится безопасность всей электронной коммерции, прозрачна для спецслужб?
Или это всё просто для спокойствия рядовых граждан, а сильные мира сего имеют полный доступ к любой приватной информации через системы типа Carnivore, Эшелон и прочее?
Ведь знать-то им всё хочется, я думаю и способы найдутся при таких возможностях. С другой стороны им же хочется иметь нормальную, "недырявую" защиту от своих прямых оппонентов с такими же возможностями.
Реально ли кстати контролировать траффик всех пользователей, например, в отдельно взятой небольшой стране или регионе? Успевать его анализировать, всё его многообразие, протоколы, видео, звук? И хранить? Какие ж это массивы данных? Или недолго?
Конкретные факты приветствуются лучше, чем математические доказательства криптостойкости от создателей криптоалгоритмов из гос. структур и спецподразделений. :)
В общем, приветсвуются все соображения, но больше опирающиеся не на домыслы, а на ФАКТЫ. :)
P.S. Смеяться не надо - раскрытия военной тайны я от вас не жду. Просто стало интересно - люди вбухивают в безопасность и конфиденциальность туеву кучу денег, а вдруг это просто хорошо замаскированный блеф?
Примечание:
2 Ярость хомячка
Открою Вам страшную военную тайну: есть в мире такие явления как коррупция, злоупотрбление властью и двойные-тройные стандарты! ;)))))
Так что вряд ли кому-то станет спокойнее от того, что написано в конституции РФ.
В США например, благодаря Patriot Act им и на собственную конституцию насрать, не говоря уже про конституции других стран. А сферой своих интересов они, кстати, объявили весь мир.
Примечание:
P.P.S. В России аналог ФБРовского Carnivore это СОРМ-2, кажется.
Насколько она эффективна?
Примечание:
Кажется не все совсем верно поняли суть моего вопроса. Речь не про "анально-ректальный криптоанализ" по mdri и другие более тесные, индивидуальные формы контакта со спецслужбами.
Речь о массовой, автоматизированной слежке, анализе информации и взломе. И их эффективности перед криптоалгоритмами и другими доступными системами защиты. Про тот же СОРМ-2.
2 Ноябрь и AnthonyS
То о чём, пишет Ноябрь, и о чём говорит AnthonyS базируется на доверии к заявлениям разработчиков этих криптоалгоритмов. Тем не менее существуют даже такие системы как Эшелон, где тупо на суперкомпах огромной мощности делают brute перебор. Это не говоря уже о большем - не помню о каком именно алгоритме речь, но которым до сих пор пользуются (RSA с небольшой длиной ключа что-ли?), когда были найдены серьёзные уязвимости, позволявшие серьёзно упростить взлом.
Примечание:
2 Крысёнок
Разработчика PGP Филиппа Циммермана ЦРУ просило видимо очччень настойчиво - аж уголовное дело завели, но он от них отмахался томиком америкосской конституции и говорит, что их доводы сделать закладки в алгоритм до сих пор его не убеждают.
Остайтся только верить! :)
Тут многие говорят про opensource - но ведь дело не в кодах, а в самих алгоритмах, которые базируются на том, что для их взлома нужны супер мощные вычислительные возможности и много много времени. Но если есть хитрая математическая теоремка, которую разработчики знают (а другие нет), которая позволяет упростить задачу.
Циммераман прямо об этом писал - нет невзламываемых алгоритмов, просто они какое-то время невзламываемые. Хорошие, стойкие - довольно долгое время.
Тот же SSL - в нём длину ключа как правило ограничивают 1024 битами, что явно недостаточно. Вообще, как я почитал, ко многим средствам защиты (?) приложили свои ручки американские спецслужбы, в частности АНБ.
Примечание:
Хорошо. Допустим взяв большую длину ключа для проверенных (?) алгоримтов PGP или пропустив информацию через цепочку HTTPS прокси, мы сделали задачу взлома крааайне затруднительной, тем более для нецеленаправленного массового анализа контента.
Но, что мешает просто складировать весь контент на всех (хотя бы на какой-то определённый срок), и при необходимости поднять материал и целеноправленно заняться его взломом? Реально ли существование таких спец дата-центров?
Примечание:
2 mdri
Тематика вопроса навеяна "спецификой" страны, где я живу. :) Боюсь, Вам этого не понять. :)))
2 Крысёнок
Да нет, там была почитайте, если интересно тут по ссылке в ответах (Шифровка из центра). Там была очень большая шумиха, помогла не сама конституция, а то, что за него вступилась общественность и крупыне корпорации. Хотя за то, что было потом и есть сейчас я вряд ли бы поручился.
Примечание:
2 mdri & Крысёнок
Может от Крысёнка немного и попахивает паранойей, но я тут уже писал выше. Да поддельных теорем в математике не бывает, но! Но бывают неоткрытые. Вы смотрите код, вам говорят вот посмотри так и так, всё ладно и складно. Вы смотрите и правда! А то, что можно применить какой-то другой подход, при котором постановка задачи резко меняется вы не видите. Не закладки, а уязвимость самих принципов, о которых вполне могли знать разработчики заранее. Прецеденты были:
http://www.securitylab.ru/news/273883.php
http://www.xakep.ru/post/23478/default.asp
http://www.cyberinfo.ru/index.php?newsid=283
http://securityvulns.ru/Gnews574.html
http://www.google.com/search?rls=ru&q=%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8+%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F&ie=utf-8&oe=utf-8
Я задав вопрос, сам больше почерпнул относительно безопасности, чем в ответах. :))) Некоторые на ВиО, между прочим, как я заметил, отвечают, лишь бы ответить. ;)
Чем больше читаешь, тем больше приходишь к выводу, что по-большому счёту вся безопасность, при всех дырках, закладках, уязвимостях, и даже попытках этому противостоять, держится чуть ли не на честном слове.
Едиснтвенное, что я так толком и не нашёл, что-то конкретное, кроме домыслов на системы слежки типа СОРМ-2 и Carnivore. По каким принципам они фильтруют или берут весь контент для анализа. Как анализируют. Как ведётся и ведётся ли "досье". Судя по всему без волосатой лапы в спец. структурах, это вопрос риторический?